Bezpečnostní analýza průmyslového kontrolního systému

Abstract

Priemyselné kontrolné systémy majú dôležitú úlohu v mnohých nenahraditeľných systémoch ako sú napríklad elektrárne, čističky vôd alebo ropovody. Bezpečnosť týchto systémov si nepochybne zaslúži pozornosť, no nasadzovanie pokročilých bezpečnostných metód nie je bežnou praxou. Príklady ako útok ?slammer? červom na jadrovú elektráreň David-Besse alebo ?Struxnet? útok na jadrové centrifúgy v Iráne dokazujú vážnosť bezpečnostných hrozieb v kontrolných systémoch. Na predídenie potenciálnych škôd sú potrebné nové bezpečnostné metódy. Operátori kontrolných systémov sa obávajú narušení zabehnutých systémov. Akceptujú iba metódy, ktoré neohrozia systém. Detekcia útokov v pasívne zachytených dátach je akceptovanou možnosťou. Behaviorálne systémy na detekciu anomálií sú možným riešením. Aby plnili svoju úlohu, takéto algoritmy musia byť správne nakonfigurované. Táto práca prezentuje asistenčnú platformu ktorá umožňuje interaktívnu konfigurácie, ohodnotenie a porovnanie výkonu modulov na detekciu anomálií. Asistenčnú platformu sme otestovali s modulmi vyvinutými v IBM Research na dátach zachytených v priemyselnom bezpečnostnom laboratóriu vytvorenom nadnárodnou spoločnosťou na generovanie a distribúciu energie. Kvalita asistenčnej platformy bola ohodnotená na základe testovania s užívateľmi.

Industrial Control Systems (ICS) are important for functioning of many critical facilities such as power plants, water treatment facilities or gas pipelines. Although security of such systems deserves attention, application of thorough security intelligence approaches to ICS is not a standard practice. Examples such as the slammer worm infection at US Davis-Besse nuclear plant, or the Struxnet ICS attack on nuclear centrifuges in Iran show the significance of the security threats in ICS. New security methods capable of better ICS protection are needed to prevent potential damages. ICS operators are afraid of system disruptions and require that the security measures are unobtrusive to the system. Taking concerns of operators in mind, analysis of passively collected network data and detection of intrusions in the collected data is an acceptable method for achieving improved ICS security. Behavior based anomaly detection algorithms for ICS are a viable solution. Such algorithms need to be configured properly to perform well. This thesis proposes an assistant platform for interactive configuration, evaluation and comparison of anomaly detection modules. The result is a functioning product that applies techniques of parameter configuration, data labeling, algorithm results evaluation as well as navigating and filtering of the results in an interactive way. The proposed solution allows users to select anomaly detection module and parameter sets that fit their labeling of anomalies and preferences for balancing precision and recall. The thesis discusses features and design of such a platform for an ICS environment. The thesis also presents results of a user testing conducted with five participants in which the users work with the platform to compare performance of anomaly detection modules developed by IBM Research on a data collected in an Industrial Cyber Security Lab.