Symulacja cyberataku na potrzeby szkoleń Europejskiej Agencji Bezpieczeństwa Sieci i Informacji

foto: Marek Pawłowski / NCBJ

Laboratorium cyberbezpieczeństwa CyberLab w Świerku rozwija swoją działalność badawczą i współpracę międzynarodową. Pod koniec zeszłego roku w laboratorium zostały wygenerowane przykłady ruchu sieciowego odbywającego się podczas ataku cybernetycznego na sieć przemysłową. Dane te posłużą do szkolenia ekspertów bezpieczeństwa przez Europejską Agencję Bezpieczeństwa Sieci i Informacji (ENISA) i niedawno zostały włączone do pakietu materiałów szkoleniowych Agencji.

Najczęściej do celów szkoleniowych ruch sieciowy jest po prostu symulowany, ale wtedy odbiega on mocno od rzeczywistości. „W naszym przypadku symulowane były rzeczywiste ataki na instalacje przemysłowe, a nie zapisy danych odzwierciedlających taki atak” - wyjaśnia mgr inż. Marcin Dudek, NCBJ. „Dane, które dostarczyliśmy, zostały rzeczywiście nagrane za pomocą narzędzi typu tcpdump. Aby były realistyczne, musiały one być nagrane w środowisku korzystającym z prawdziwego sprzętu, a takim sprzętem dysponuje właśnie CyberLab. Dane będą służyły uczestnikom kursów uczącym się jak analizować i wykrywać tego typu ataki. Dostaną oni nagrany ruch sieciowy i wg. scenariusza ćwiczenia będą musieli ustalić, czy był atak, a jeśli tak, to jaki.”

Pomysłodawcą i podmiotem biorącym udział w przygotowaniu materiałów treningowych dla ENISA była polska firma ComCERT, a NCBJ udostępnił i był partnerem w zakresie prac prowadzonych w laboratorium. Przygotowane materiały treningowe są gotowe do wykorzystania w czasie ćwiczeń. M.in. zawierają one kompletne informacje dla prowadzących szkolenie oraz gotowe zadania dla ćwiczących.

Śledzenie ruchu sieciowego jest przydatne zarówno w analizie tego, co się dzieje, gdy powstał jakiś problem techniczny, jak i w analizie incydentu po ataku cybernetycznym. Dane zawierają informacje o wszystkim, co było przesyłane między urządzeniami w danym oknie czasowym. M.in. analiza ruchu sieciowego pomogła naukowcom z CyberLab w wykryciu podatności w sterowniku Siemens S7-1500, o czym donosiliśmy dwa miesiące temu.

Laboratorium CyberLab działa w strukturze Parku Naukowo-Technologicznego Świerk (PNT) będącego jednostką organizacyjną Narodowego Centrum Badań Jądrowych. Personel CyberLab stanowią pracownicy PNT. Park świadczy m.in. usługi badawcze dla małych i średnich przedsiębiorstw na warunkach pomocy de minimis.

foto: Marek Pawłowski / NCBJ