CC BY
57МЕТОДЫ И СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ, ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
DOI 10.54398/20741707_2023_1_48 УДК 004. 896
ИСПОЛЬЗОВАНИЕ ЦИФРОВОГО ДВОЙНИКА В ЗАДАЧАХ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ1
Статья поступила в редакцию 27.12.2022, в окончательном варианте - 17.01.2023.
Касимова Алина Ринадовна, Казанский национальный исследовательский технологический университет, 420006, Российская Федерация, г. Казань, ул. Карла Маркса, 68,
старший преподаватель, ORCID: 0000-0001-8927-9113, e-mail: alrkasimova@kstu.ru Золотарев Вячеслав Владимирович, Сибирский государственный университет науки и технологий, 660037, Российская Федерация, г. Красноярск, пр. им. газ. «Красноярский рабочий», 31,
кандидат технических наук, доцент, заведующий кафедрой безопасности информационных технологий, ORCID: 0000-0002-8054-8564, e-mail: zolotorev@sibsau.ru
Сафиуллина Лина Хатыповна, Казанский национальный исследовательский технологический университет, 420006, Российская Федерация, г. Казань, ул. Карла Маркса, 68,
кандидат технических наук, доцент, ORCID:0000-0002-2765-0973, e-mail: lina.kh.safiullina @mail.ru
Балыбердин Алексей Сергеевич, Казанский национальный исследовательский технологический университет, 420006, Российская Федерация, г. Казань, ул. Карла Маркса, 68,
доктор технических наук, доцент, 0RCID:0000-0002-8009-5040, e-mail: balyberdinalex @gmail.com
Для различных задач построения систем управления информационной безопасностью проблема использования цифрового двойника как компонента системы играет важную роль. Особенно это характерно для ситуаций, требующих сбора цифрового следа для эмпирически определенных ситуаций с высоким уровнем информационного риска. Кроме того, рассматривая связь между технологическим процессом предприятия и процессами управления информационной безопасности, специалист по защите информации нуждается в исследовании обратной связи. Это может быть реализовано в форме виртуальных или аппаратных лабораторных стендов, имитационных моделей, обучающихся на основе сценариев реального использования с учетом особенностей технологического процесса, накопленных оперативных данных. Цифровой двойник может быть как подключен к системе напрямую, обмениваясь с ней данными, так и использоваться в асимметричной схеме, когда обмен данными происходит в оговоренном заранее дискретном временном режиме. В статье рассмотрено применение технологии цифровых двойников автоматизированных систем управления промышленным предприятием для повышения уровня информационной безопасности компании. В качестве цифрового двойника в работе был использован киберполигон, созданный в виде информационной системы типового химического предприятия с применением специализированного ПО AMPIRE.
Ключевые слова: цифровой след, цифровой двойник, технологический процесс, информационная безопасность, киберполигон, автоматизированная система управления, АСУ, AMPIRE, виртуальная лаборатория
USING THE DIGITAL TWIN IN INFORMATION SECURITY MANAGEMENT
The article was received by the editorial board on 27.12.2022, in the final version — 17.01.2023.
Kasimova Alina R., Kazan National Research Technological University, 68 Karl Marks St., Kazan, 420006, Russian Federation,
Senior Lecture, ORCID: 0000-0001-8927-9113, e-mail: alrkasimova@kstu.ru Zolotarev Vyacheslav V., Siberian State University of Science and Technology, 31 Krasnoyarsky Rabochy Ave, Krasnoyarsk, 660037, Russian Federation,
Cand. Sci. (Engineering), Associate Professor, Head of Information Technologies Security Department, ORCID: 0000-0002-8054-8564, e-mail: zolotorev@sibsau.ru
Safiullina Lina Kh., Kazan National Research Technological University, 68 Karl Marks St., Kazan, 420006, Russian Federation,
Cand. Sci. (Engineering), Associate Professor, ORCID: 0000-0002-2765-0973, e-mail: lina.kh. safiullina@mail.ru
Balyberdin Alexey S., Kazan National Research Technological University, 68 Karl Marks St., Kazan, 420006, Russian Federation,
Doct. Sci. (Engineering), Associate Professor, ORCID: 0000-0002-8009-5040, e-mail: baly berdinalex@gmail.com
1 Исследование выполнено при финансовой поддержке Минцифры РФ (Грант ИБ). Проект № 40469-01/2022-д.
For various tasks of building information security management systems, the problem of using a digital twin as a component of the system plays an important role. This is especially true for situations requiring the collection of a digital footprint for empirically defined situations with a high level of information risk. In addition, considering the relationship between the technological process of an enterprise and the processes of information security management, an information security specialist needs to study feedback. This can be implemented in the form of virtual or hardware laboratory stands, simulation models, trained on the basis of real-world use scenarios, taking into account the features of the technological process, accumulated operational data. The digital twin can be either connected to the system directly, exchanging data with it, or used in an asymmetric scheme when data exchange occurs in a discrete time mode agreed in advance. In this article was an overview of digital twin technology of automated control systems to industrial enterprises to level up of information security in the company. In this work, the cyberpolygon was used as digital twin of an information system of a typical chemical enterprise using specialized AMPIRE software
Keywords: digital trace, digital twin, technological process, information security, cyberpolygon, automated control system, ACS, AMPIRE, virtual laboratory
Graphical annotation (Графическая аннотация)
■ ■ ■ ■ Уровень ■ знаний ■ ■ ■ ■ ww Knowledge level w w
Уровень данных Data Level
Уровень организации процессов Process organization level
Уровень инфраструктуры Infrastructure layer
Уровни управления ИБ организации Organizational information security
management levels
Сбор данных: сбор и анализ данных о проблемах информационной безопасности технологического процесса Data collection: collecting and analyzing data on process information security issues Валидация данных: использование цифрового двойника для работы с данными агрегированных баз данных об инфраструктурных уязвимостях Data validation: using a digital twin to work with aggregated database data on infrastructure vulnerabilities
Верификация данных: анализ сценариев использования инфраструктурных решений для подтверждения и верификации данных об уязвимостях Data Verification: Analysis of Infrastructure Solutions Use Cases for Validation and Verification of Vulnerability Data Использование данных: применение цифрового двойника как тестового стенда и в задачах управления изменениями в реальных технологических процессах Use of data: the use of the digital twin as a test bench and in the tasks of change management in real technological processes
Процессы управления ИБ для уровня данных Information security management processes for the data level
Управление информационной безопасностью с использованием цифрового двойника
Введение. Автоматизированные системы управления (АСУ) отвечают за мониторинг технологического процесса в режиме реального времени и контроль за критическими информационными инфраструктурами (КИИ) зачастую с использованием промышленных протоколов связи, не имеющих встроенные механизмы безопасности и изначально разрабатываемых для применения в закрытых средах [1, 2]. Вместе с тем стремление бизнес-структур к переходу в Индустрию 4.0 заставляет современные АСУ подключаться к сети Интернет и, следовательно, делает их более подверженными кибератакам.
Доля утечек информации в мире вследствие внешнего воздействия возросла с 35,6 % в 2018 году до 63,2 % в 2021 году [3]. Также идет и экспоненциальный рост разнообразия вектора сетевых атак [4]. Потенциальный злоумышленник может получить доступ к закрытым данным, эксплуатируя и уязвимости операционной системы (ОС) (22925 атак из числа обнаруженных в [3]), и прикладное программное обеспечение (ПО) информационных систем (16292 атак из числа обнаруженных в [3]), и средства социальной инженерии, где основной его целью становится персонал АСУ. Характер угроз сетевой безопасности постоянно меняется от распределенных атак типа (DDoS) до программ-вымогателей [5]. Следовательно, обеспечение сетевой безопасности - одна из ключевых задач организации или предприятия, содержащих в своем составе КИИ и АСУ [6]. Кроме того, для задач защиты АСУ ТП дополнительно возникнут вопросы управления технологическим процессом не только в плане безопасности, но и с учетом надежности, эргономичности или учета технологических рисков, вопросы архивирования технологических параметров (и исследования безопасности их использования в реальных ситуациях), работы с аварийной сигнализацией (в различных режимах ее применения). Эти дополнительные вопросы потребуют учета особенностей используемого программного обеспечения, в том числе тестирования его на реальных или виртуальных лабораторных стендах, изучения его безопасности, совместимости, надежности и прочих параметров.
Одной из важных проблем защиты АСУ является внедрение эффективной системы обнаружения вторжения (IDS) для промышленных систем: развертывание IDS поверх критичных по времени программируемых логических контроллеров может негативно повлиять на бесперебойную работу жестких контуров управления и контроля. Еще одна проблема заключается в создании и обслуживании тестовых стендов безопасности для IDS [6]. Использование действующей АСУ в качестве испытательного стенда не допускается из соображения конфиденциальности и безопасности. Кроме того, наличие испытательного стенда в виде физического объекта довольно дорого и требует много времени, что приводит к неполной его реализации и/или устареванию самой концепции.
В работе [7] рассмотрена методика моделирования виртуальной среды предприятия с учетом сценариев атак на предприятие потенциально опасных для АСУ, предложена схема организации цифрового двойника информационной системы предприятия и представлены результаты практического его применения для моделирования действий нарушителя. С точки зрения цифровых двойников в обучении сотрудников также интересен опыт подготовки сотрудников организаций реального сектора, основанный на существующих программах security awareness [8], тренингов и обучения кибербезопасности в целом [9].
Цифровой двойник. Концепцию цифровых двойников (digital twins) впервые представил публике еще в 2002 г. профессор Мичиганского университета Майкл Гривз, выступая с презентацией, посвященной созданию центра управления жизненным циклом продукта (PLM). В частности, он говорил о возможностях, открывающихся при создании виртуального пространства, которое дублировало бы реальное пространство и обменивалось с ним потоками данных.
В производстве цифровой двойник - это виртуальное представление физического продукта в том виде, в каком он спроектирован, построен и обслуживается; дополнен технологическими данными и аналитикой в режиме реального времени, основанными на точных конфигурациях физического продукта производственных систем или оборудования.
Цифровые двойники в целом могут быть использованы в любой отрасли и задаче, где это целесообразно; в рамках представленной работы показано использование цифрового двойника для задачи управления информационной безопасностью.
Интересными в рамках использования цифровых двойников в задачах управления информационной безопасностью могут быть алгоритмы сбора данных, безопасного тестирования известных уязвимостей и их влияния на технологический процесс, анализ возможности сбора цифровых свидетельств, обогащения баз данных и баз знаний инструментальных средств аналитики информационной безопасности.
Цифровые свидетельства, в свою очередь, могут быть использованы как компоненты цифрового следа, позволяя изучать как вектор атаки, так и действия специалистов по защите информации в рамках мониторинга и минимизации ущерба, а также восстановления системы после воздействия.
К средствам формирования цифровых свидетельств как цифровых следов могут быть отнесены: средства контроля утечек информации (DLP), средства анализа уязвимостей, системы анализа
и управления информационными рисками, средства криптографической защиты информации (СКЗИ), средства криминалистического анализа [10], средства предотвращения и обнаружения вторжений, системы управления событиями и инцидентами информационной безопасности, системы оркестрации средств защиты.
Минусы использования средств защиты на модели, абстрагированной от реального технологического процесса, в первую очередь заключаются в сложности интерпретации полученных экспериментальных данных; предлагаемое ниже решение на основе цифрового двойника снимает эту оговорку. Также проблемой является динамичность технологического процесса, его возможные изменения; в этом случае цифровой двойник должен либо меняться вместе с основным процессом в режиме реального времени, либо дискретно, с определенным временным шагом. Во втором случае может быть реализована асимметричная схема обмена информацией между цифровым двойником и реальным объектом, что упрощает как организацию такого взаимодействия, так и обеспечение его безопасности.
Далее предположим, что цифровой двойник используется как инструмент в высокоуровневой задаче управления информационной безопасностью. Очевидно, в этом случае необходимо использовать его на более высоком уровне управления, чем работа непосредственно со средствами защиты информации или организацией процессов внутри системы управления информационной безопасностью. В статье [11] ранее были рассмотрены такие возможности на уровне использования данных или знаний в управлении безопасностью (рис. 1).
Цифровой двойник в этом случае используется для реализации безопасного сбора и анализа данных внутри системы (поскольку фактически представляет собой «песочницу», контролируемое пространство). Также цифровой двойник может быть применен для валидации и верификации данных, применяется как тестовый стенд для задач управления изменениями и применения данных о функционировании системы защиты информации в режимах противодействия атаке и минимизации ущерба, управления инцидентами.
Рисунок 1 - Управление информационной безопасностью с использованием цифрового двойника: уровень данных
Работая с данными цифрового двойника, специалист по защите информации в рамках задач управления информационной безопасностью должен реализовать ряд стандартных процессов, которые позволят как эффективно использовать этот инструмент, так и формировать полезные возможности при его применении.
Основными процессами управления информационной безопасностью в данном случае должны быть (с учетом [10]):
• управление требованиями к безопасности хранения, обработки, синтеза и анализа данных образовательного контента и цифрового следа, основанное на непрерывном мониторинге цифровой среды, в которой развернут образовательный контент. При этом цифровая среда должна предполагать открытую (для внешнего мониторинга) и закрытую (для внутреннего использования) часть с соответствующим разграничением доступа. Необходимо обратить внимание на то, что цифровой двойник может использоваться как для образовательных задач, так и для непрерывного мониторинга реального процесса; целесообразно разделять эти возможности или делать несколько отдельных цифровых двойников;
• реализация процедур и сценариев обеспечения непрерывности технологического процесса или обогащения образовательного контента, включая сценарии нарушения работоспособности при развертывании системы, реализации изменений, оценки возможностей нарушения работоспособности. Этот процесс целесообразно кооперировать с процедурами разработки безопасного программного обеспечения, управления безопасностью развертывания виртуальных инфраструктур, управления нагрузкой и пр.;
• обучающие сценарии для формируемого набора действий при работе с цифровым следом.
Очевидно, что, работая с обучающими или имитирующими сценариями, цифровой двойник
будет формировать не только «сырые» данные, но и знания, которые могут быть использованы в дальнейшем при управлении информационной безопасностью реального объекта. В таком случае в упомянутой выше высокоуровневой задаче управления информационной безопасностью можно выделить процессы управления на уровне знаний.
На схеме ниже показан порядок использования знаний для обогащения баз цифрового двойника и реального объекта (рис. 2).
В качестве знаний могут быть полезны:
• сценарии действий;
• процедуры и регламенты реагирования на инциденты;
• методики, сценарии и регламенты оркестрации средств защиты информации;
• вектора атак и порядок эксплуатации уязвимостей;
• результаты исследования величины и мест возникновения ущерба инфраструктуре, процессам и/или данным;
• некорректная реализация отдельных элементов цифрового двойника, выявленная в ходе эксплуатации самого цифрового двойника или реального объекта, связанного с ним.
Любые знания, полученные при эксплуатации цифрового двойника, могут быть использованы в базах знаний экспертных систем, в образовательном процессе для специалистов по защите информации, работающих как с цифровым двойником, так и с реальным объектом. Базы знаний также могут и должны пополняться из внешних источников, таких как результаты работы экспертных групп в области информационной безопасности, рекомендации и исследования регуляторов, сообщения об уязвимостях и способах их эксплуатации и пр.
Рисунок 2 - Управление информационной безопасностью с использованием цифрового двойника: уровень знаний
С точки зрения описанного выше интересно рассмотреть следующие возможности. Во-первых, для образовательного процесса и процесса исследования характерна динамика связей между источниками знаний и базами знаний, а также эрозия используемых сценариев (часть тактических решений по использованию знаний может быстро устаревать, особенно в таких областях, как, к примеру, информационные технологии и информационная безопасность). Таким образом, насколько стабильна конкретная связь между источником и базой знаний не так важно, как используемая область
получения знаний для применения в последующем в решении задач управления информационной безопасностью.
Далее рассмотрен принцип и пример организации виртуальной лаборатории, реализующей описанный выше подход.
Виртуальная лаборатория на базе цифрового двойника. Рассматривая вариант реализации цифрового двойника для двух задач: моделирования технологического процесса и обучения специалистов по защите информации, целесообразно разделить задачу на несколько этапов, реализуемых последовательно с отдельными требованиями к каждому из них.
В первую очередь, цифровой двойник, используемый как тестовый стенд, должен иметь безопасное соединение как с устройствами управления основным технологическим процессом (если это требуется) как в случае обмена данными в реальном времени, так и в случае обмена данными в асинхронном режиме. Во-вторых, цифровой след, собираемый при работе с цифровым двойником, должен быть полезен для решения задач управления информационной безопасностью реального объекта.
Следовательно, последовательность шагов по интеграции цифрового двойника в качестве лабораторного стенда может быть следующей:
1. Оценка возможных источников данных для формирования цифрового следа. Ранее [10] авторами было указано, что целесообразно оценить формат и способ считывания данных цифрового двойника; но рассматривалось это для задачи образовательной, ограниченной в применении. Трактуя задачу более широко, специалист должен учесть и передачу данных цифрового следа на реальный объект, и их использование реальным объектом для модернизации собственной работы, и исследовательские функции цифрового двойника, и пополнение баз знаний средств защиты информации (если таковые имеются и используются).
2. Передача данных как элемент задачи управления безопасностью должна содержать формат самих данных, формат заголовков и метаданных, стандартные формы и протоколы, отчеты и поля баз данных, используемые для хранения. Кроме того, для передачи данных могут быть реализованы способы сжатия или предобработки получаемых данных цифрового следа.
3. Так как данные цифрового следа будут храниться как в базах данных реального объекта, так и в базах данных цифрового двойника, необходимо продумать способы хранения (архивирования) данных, в том числе технологических параметров и аварийной сигнализации. В число способов защиты данных должны входить контроль доступа, резервирование, управление ключами и коммуникациями и другие применимые в задаче средства управления безопасностью (контрмеры).
4. С точки зрения использования данных должны быть проанализированы вопросы доступа к данным, в том числе и с позиции использования автоматического доступа средствами оркестрации в системе управления информационной безопасностью. Интересным здесь является использование агрегированных данных в случае, если они собираются одновременно на реальном объекте и цифровом двойнике и используются совместно; но такая задача требует дополнительного изучения.
Таким образом, при использовании цифрового двойника реального объекта возникает положительная обратная связь с процедурой сбора цифровых свидетельств событий информационной безопасности, реализованной в цифровом двойнике (и/или реальном объекте) и процедурой повышения осведомленности специалистов по защите информации, реализующих задачи управления информационной безопасности в рамках работы с реальным объектом.
При этом, если используется несколько цифровых двойников, возможно реализовать и более сложные схемы работы, что (при возникновении необходимости) потребует сложных протоколов обмена информации между цифровыми двойниками и реальными объектами, послужившими для них прототипами или использующими их данные; в данном исследовании такая задача не ставилась.
Пример формирования части цифрового двойника - формирование виртуальной образовательной лаборатории (ВЛ). Здесь актуальными будут поддерживающие процессы управления данными, управления безопасностью взаимоотношений с заинтересованными сторонами. Основные процессы показаны на схеме ниже (рис. 3 [10]).
Рисунок 3 - Формирование виртуальной лаборатории, включая поддерживающие процессы управления ИБ
В таком случае обучение специалистов и/или тестирование отдельных сценариев, применяемых в технологическом процессе, будет использоваться ограниченно, в варианте «песочницы» без прямого выхода на управление технологическим процессом. Это позволит как проводить эксперименты, нарушающие целостность технологического процесса (и невозможные или нежелательные на реальном объекте), так и гарантировать широкую технологическую базу процесса обучения специалистов по защите информации в рамках повышения осведомленности в области информационной безопасности.
При необходимости на базе цифрового двойника могут формироваться отдельные кейсовые задания, которые дополняют или анализируют реальные сценарии по типу «что-если» [12].
Далее рассмотрим эксперимент на основе реально существующего цифрового двойника технологического процесса.
Эксперимент на основе цифрового двойника. Цифровой двойник информационной системы типового химического предприятия на базе программного комплекса AMPIRE используется в данном примере ограниченно, для тренировки специалистов по защите информации и повышения навыков в обнаружении и реагировании на инциденты безопасности [13, 14].
К функциональным возможностям цифрового двойника, помимо изначально предусмотренных идеей реализации [15], с точки зрения информационной безопасности [16, 17] относятся:
• создание экземпляров информационных систем на базе имеющихся шаблонов;
• управление пользователями;
• управление виртуальными нарушителями;
• проведение полноценных практических и лабораторных занятий;
• получение информации о тренировках;
• представление возможности взаимодействия между пользователями посредством встроенного мессенджера и системы тикетов;
• проведение оценивания всех участников тренировки.
На рисунке 4 представлена типовая схема локально-вычислительной сети (ЛВС) предприятия с АСУ ТП (симуляция сети с ИТ и SCADA-сегментами).
ЛВС представлена пятью зонами:
• сеть Интернет;
• демилитаризованная зона (DMZ);
• центр обработки данных (ЦОД);
• офисные пользователи;
• система ISC.
В качестве средства виртуализации используется специализированное ПО VMWare EXSI. На серверах установлены ОС Linux, для файлового сервера, серверов Active Directory (AD)
и Exchange - ОС Windows. На АРМ пользователей установлена ОС Windows и ОС Astra Linux SE 1.6. В качестве базы данных используется MySQL 5.5. IGSS Master используется на АРМ с IP-адресом 10.10.4.1.
Основным преимуществом ПО Ampire является возможность создания уязвимых узлов - виртуальных машин, эмулирующих различные элементы в реальной инфраструктуре компании, производства, университета и т.д. (сервер, сетевое оборудование, ПК пользователя) с известной уязвимостью или дефектом безопасности (CVE).
В таком случае инфраструктура цифрового двойника будет ограничиваться только теми зонами, в которых есть уязвимые узлы. Сначала будет компрометироваться уязвимый узел № 1, затем № 2 и т.д. ПО Ampire позволяет самостоятельно выбирать уязвимые узлы и комбинировать их между собой преподавателю, конфигурировать эти цепочки.
Рисунок 4 - Типовая схема ЛВС предприятия с АСУ
В качестве уязвимого узла будет выступать файловый сервер, имеющий уязвимость в windows-реализации SMB-протокола (CVE-2017-0144). Файловый сервер предоставляет центральный ресурс в сети для хранения и обеспечения совместного доступа к файлам пользователей сети.
Эксплоит EternalBlue, разработанный Агентством национальной безопасности (АНБ) США для эксплуатации уязвимости в протоколе Microsoft Server Message Block (SMB), продолжает представлять серьезную угрозу для многих организаций по всему миру более чем через четыре года после выпуска исправления.
Методы защиты:
• отключение SMBvl;
• установка обновлений от Microsoft;
• в большой сети провести мониторинг сетевого трафика с выявлением станций, использующих SMBvl.
Далее необходимо провести анализ возможности отключения SMBvl на них, а в случае невозможности анализ целесообразности использования этих хостов, возможности временной изоляции за WAF, а также планирование их последующей модернизации.
Рассмотрим несколько вариантов реализации:
Первый вариант (типовой)
Внешний нарушитель производит поиск активных хостов в сегменте внешнего периметра предприятия DMZ, сканирование их на предмет открытых HTTP/HTTPS портов. Далее осуществляется поиск страницы аутентификации в обнаруженном во время сканирования веб-приложении и брутфорс атака. Используя веб-почту для доступа к серверу совместной работы Microsoft Exchange Server, определяется адрес для RDP-подключения, а также аутентификационные данные подключения. Сканирование доступных сегментов сети ЦОД на поиск файлового сервера к уязвимости MS17-010, эксплуатация уязвимости MS17-010 и получение доступа к файловому серверу. Помимо уязвимости CVE-2017-0144 уязвимости подключения (простой пароль, подключение по RDP).
Второй вариант (конфигуратор)
Нарушитель (внутренний или внешний) получает доступ к SSH-серверу, используя брутфорс атаку, при условии знания IP-адреса машины и открытого ssh-порта. Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1. Нарушитель, сформировав и передав на узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код.
К основным способам защиты от CVE-2017-0144 могут служить следующие рекомендации:
• установка системных обновлений безопасности;
• грамотная политика использования электронной почты в организации;
• отключение SMBvl, используя инструкции, предоставленные Microsoft.
На типовом сценарии отрабатывали навыки как начинающие специалисты по информационной безопасности (далее начинающие), так и специалисты по информационной безопасности (далее специалисты). Усредненный результат их работы представлен на рисунке 5.
Во время первой попытки начинающим не удалось добиться положительных результатов, несмотря на предварительную теоретическую подготовку, в то время как специалисты достигли своей цели в заранее определенный временной промежуток (90 минут).
Во время второй попытки и начинающие, и специалисты успешно справились с поставленными задачами.
Неоднократный «прогон» одного и того же типового сценария приведет к автоматическому заучиванию действий, которые ведут к успеху, и в реальной ситуации отключит критическое мышление специалиста ИБ, не позволив ему адекватно оценить ситуацию.
Рисунок 5 - Результаты устранения уязвимостей на цифровом двойнике
По итогам работы на цифровом двойнике отрабатываются навыки анализа событий информационной безопасности, заведение карточек инцидентов, расследование инцидентов. Основная цель -устранение уязвимостей и описание вектора атаки (Cyber Kill Chain).
Заключение. В статье приведены возможности использования цифрового двойника как инструментального дополнения к задаче управления информационной безопасностью. На базе ранее представленных схем показано место цифрового двойника в управлении информационной безопасностью, описаны особенности и порядок его интеграции в задачу.
Само по себе использование цифровых двойников может существенно расширить возможности специалиста по защите информации, особенно для реальных объектов, не предполагающих некоторые режимы работы как экспериментальные (в частности, моделирование реальных атакующих действий, встречающихся как составная часть векторов атак). Цифровые двойники в этом случае могут дать необходимый эмпирический опыт.
Отдельно рассмотрено использование цифрового двойника как образовательной составляющей как в рамках повышения осведомленности, так и в исследовательских целях. В этом случае асинхронно подключенный к реальному объекту (прототипу) цифровой двойник используется как «песочница», в которой специалисты по защите информации реализуют различные обучающие сценарии.
Также в статье рассмотрен типовой сценарий, включающий уязвимости подключения сервера и CVE-2017-0144, организованный на ПО AMPIRE, позволяющий оценить навыки специалистов по информационной безопасности. Оценка навыков показала, что использование цифровых двойников позволяет выработать навыки решения типовых задач у начинающих специалистов и впоследствии его развить на решение нетипичных задач.
Библиографический список
1. Kuznetsova N. Building a digital twin of the main automated systems of an industrial enterprise to determine the level of information security / N. Kuznetsova, T. Karlova, A. Bekmeshov // Ergodesign. - 2021. - Vol. 2021, № 2. - P. 97-102.
2. Varghese, S. A. Digital Twin-based Intrusion Detection for Industrial Control Systems / S. A. Varghese et al. - 2022.
3. Экспертно-аналитический центр InfoWatch. Отчёт об исследовании утечек информации ограниченного доступа в 2021 году // Infowatch. - 2022. - P. 1-32.
4. Петрищева, К. Г Разработка цифрового двойника городской инфраструктуры как инструмента обеспечения информационной безопасности / К. Г. Петрищева // Российская наука и образование сегодня: проблемы и перспективы. - 2022. - Vol. 4, № 1 (43). - P. 53-57.
5. Абрамов, В. И. Цифровые двойники - эффективные инструменты цифровой трансформации компании / В. И. Абрамов, А. А. Туйцына // Цифровая трансформация экономики. - 2020. - Vol. 7. - P. 33-39.
6. Varghese, S. A. Digital Twin-based Intrusion Detection for Industrial Control Systems / S. A. Varghese et al. - 2022.
7. Касимова, А. Р. Использование цифровых двойников при построении системы безопасности предприятия / А. Р. Касимова, Л. Х. Саифуллина // Международный форум KAZAN DIGITAL WEEK - 2022 : сборник материалов / сост.: Р. Ш. Ахмадиева, Р. Н. Минниханов ; под общ. ред. чл.-корр. Академии наук Республики Татарстан, д-ра техн. наук, проф. Р. Н. Минниханова. - Казань : ГБУ «НЦБЖД», 2022. - Ч. 1. - С. 291-298.
8. Ali Zani, A. A review of security awareness approaches: Towards achieving communal awareness / A. Ali Zani, A. Norman, N. Ghani // Cyber Influence and Cognitive Threats. - Academic Press, 2020. - P. 97-127. - Режим доступа: https://aisel.aisnet.org/pacis2018/278, свободный. - Заглавие с экрана. - Яз. англ. (дата обращения: 20.10.2021).
9. Kim, B.-H. Development of cyber information security education and training system / B.-H. Kim, K.-C. Kim, S.-E. Hong, S.-Y Oh // Multimedia Tools and Applications. - 2017. - № 76 (4). - P. 6051-6064.
10. Попов, А. М. Проблема управления информационной безопасностью при создании цифрового двойника дисциплины / А. М. Попов, В. В. Золотарев, Е. Ю. Кунц // Прикаспийский журнал: управление и высокие технологии. - 2022. - № 2. - С. 109-118.
11. Золотарев, В. В. Модель и алгоритм управления информационной безопасностью образовательной организации высшего образования с учетом требований управления на основе данных / В. В. Золотарев, М. А. Лапина // Прикаспийский журнал: управление и высокие технологии. - 2022. - № 4.
12. Sillanpaa, M. Social Engineering Intrusion: A Case Study / M. Sillanpaa, J. Hautamaki // IAIT2020 : The 11th International Conference on Advances in Information Technology. - 2020. - P. 1-5.
13. Хорзова, И. С. Применение возможностей киберполигона для подготовки и повышения квалификации специалистов по информационной безопасности / И. С. Хорзова // Актуальные вопросы эксплуатации систем охраны и защищенных телекоммуникационных систем. - 2021. - Vol. 2. - P. 46-47.
14. Mantulenko, V. V. Prospects of Digital Footprints Use in the Higher Education / V. V. Mantulenko. - 2021. -P. 581-589.
15. Stavropoulos, P. Digital twins in industry 4.0 / P. Stavropoulos, D. Mourtzis // Design and Operation of Production Networks for Mass Personalization in the Era of Cloud Technology. - Elsevier, 2022. - P. 277-316.
16. Rafisovich Gapsalamov, A. Approaches to Information Security in Educational Processes in the Context of Dig-italization / A. Rafisovich Gapsalamov et al. // TEM Journal. - 2020. - P. 708-715.
17. Holmes, D. Digital Twins and Cyber Security - solution or challenge? / D. Holmes et al. // 2021 6th South-East Europe Design Automation, Computer Engineering, Computer Networks and Social Media Conference (SEEDA-CECNSM). - IEEE, 2021. - P. 1-8.
References
1. Kuznetsova, N., Karlova, T., Bekmeshov, A. Building a digital twin of the main automated systems of an industrial enterprise to determine the level of information security. Ergodesign, 2021, vol. 2021, no. 2, pp. 97-102.
2. Varghese, S. A. et al. Digital Twin-based Intrusion Detection for Industrial Control Systems, 2022.
3. Ekspertno-analiticheskiy tsentr InfoWatch. Otchyot ob issledovanii utechek informatsii ogranichennogo dostupa v 2021 godu [Expert-analytical center InfoWatch. 2021 Restricted Information Leakage Study Report]]. Infowatch, 2022, pp. 1-32.
4. Petrishcheva, K. G. Razrabotka tsifrovogo dvoynika gorodskoy infrastruktury kak instrumenta obespecheniya informatsionnoy bezopasnosti [Development of a digital twin of urban infrastructure as a tool for ensuring information security]. Rossiyskaya nauka i obrazovaniye segodnya: problemy iperspektivy [Russian Science and Education Today: Problems and Prospects], 2022, vol. 4, no. 1 (43), pp. 53-57.
5. Abramov, V. I., Tuitsyna, A. A. Tsifrovyye dvoyniki - effektivnye instrumenty tsifrovoy transformatsii kompanii [Digital twins are effective tools for digital transformation of a company]. Tsifrovaya transformatsiya ekonomiki [Digital transformation of the economy], 2020, vol. 7, pp. 33-39.
6. Varghese, S. A. et al. Digital Twin-based Intrusion Detection for Industrial Control Systems, 2022.
7. Kasimova, A. R., Safiullina, L. Kh. Ispolzovanie tsifrovykh dvoynikov pri postroenii sistemy bezopasnosti predpriyatiya [Use of digital twins in building the security system of the enterprise]. Mezhdunarodnyy forum KAZAN DIGITAL WEEK - 2022 : sbornik materialov [Proceedings of the International Forum KAZAN DIGITAL WEEK - 2022]. Kazan: State budgetary institution «Scientific Center of Safety Research», 2022, p. I, pp. 291-298.
8. Ali Zani A., Norman A., Ghani N. A review of security awareness approaches: Towards achieving communal awareness. Cyber Influence and Cognitive Threats. Academic Press, 2020, pp. 97-127. https://aisel.aisnet.org/pacis2018/278 (дата обращения 20.10.2021).
9. Kim, B.-H., Kim, K.-C., Hong, S.-E., Oh, S.-Y. Development of cyber information security education and training system. Multimedia Tools and Applications, 2017, no. 76 (4), pp. 6051-6064.
10. Popov, A. M., Zolotarev, V. V., Kunts, E. Yu. Problema upravleniya informatsionnoy bezopasnostyu pri sozdanii tsifrovogo dvoynika distsipliny [The problem of information security management when creating a digital twin of the discipline]. Prikaspiyskiy zhurnal: upravlenie i vysokie tekhnologii [Caspian Journal: Control and High Technologies], 2022, no. 2, pp. 109-118.
11. Zolotarev, V. V., Lapina, M. A. Model i algoritm upravleniya informatsionnoy bezopasnostyu obrazovatelnoy organizatsii vysshego obrazovaniya s uchetom trebovaniy upravleniya na osnove dannykh [Model and algorithm of information security management of an educational organization of higher education taking into account the requirements of data-based management]. Prikaspijskij zhurnal: upravlenie i vysokie tekhnologii [Caspian Journal: Control and High Technologies], 2022, no. 4.
12. Sillanpaa, M., Hautamaki, J. Social Engineering Intrusion: A Case Study. IAIT2020: The 11th International Conference on Advances in Information Technology, 2020, pp. 1-5.
13. Khorzova I. S. Primenenie vozmozhnostey kiberpoligona dlya podgotovki i povysheniya kvalifikatsii specialis-tov po informatsionnoy bezopasnosti [Application of the capabilities of the cyberpolygon for the training and advanced training of specialists in information security]. Aktualnye voprosy ekspluatatsii sistem okhrany i zashchishchennykh tele-kommunikatsionnykh system [Actual issues of operation of security systems and protected telecommunication systems], 2021, vol. 2, pp. 46-47.
14. Mantulenko, V. V. Prospects of Digital Footprints Use in the Higher Education, 2021, pp. 581-589.
15. Stavropoulos, P., Mourtzis, D. Digital twins in industry 4.0. Design and Operation of Production Networks for Mass Personalization in the Era of Cloud Technology. Elsevier, 2022, pp. 277-316.
16. Rafisovich Gapsalamov, A. et al. Approaches to Information Security in Educational Processes in the Context of Digitalization. TEM Journal, 2020, pp. 708-715.
17. Holmes, D. et al. Digital Twins and Cyber Security - solution or challenge? 2021 6th South-East Europe Design Automation, Computer Engineering, Computer Networks and Social Media Conference (SEEDA-CECNSM). IEEE, 2021, pp. 1-8.
