ICS hálózati szenzor
Az ipari létesítmények kitűnő célpontok a kiber támadásoknak, mivel nagy fizikai és anyagi károkat lehet a szabotálásukkal okozni. Ezenkívül ezeknek a létesítményeknek a vezérlőrendszere elég bonyolultak, ezért elég nehéz követni, hogy éppen mi történik bennük. Ezek a rendszerek eredetileg el voltak szigetelve az Internettől, és ezért az operátorok nem nagyon törődtek a kiber biztonsággal. De napjainkra egyre nagyobb problémát jelent, hogy ezek a rendszerek egyre jobban ki vannak téve az Internetnek. Az ipari létesítmények vezérlését az Ipari Vezérlő Rendszerek végzik (Industrial Control System ICS).
Az ICS rendszerek elég komplexek, naponta rengeteg esemény keletkezik bennük, és habár ezek általában le vannak naplózva, hatalmas feladat lenne manuálisan átnézni őket, anomáliákat és gyanús tevékenységeket keresni bennük. A Biztonsági Művelet Központok (Security Operations Center SOC) erre lettek kitalálva. Ezeknek a rendszereknek az a feladatuk, hogy monitorozzák az ICS-eket, kövessék a részeiket és a bennük zajló eseményeket. Ezekből meg hasznos jelentéseket és statisztikákat gyártsanak, hogy megkönnyítsék az operátorok munkáját. Ebben a projektben az volt a célom, hogy tervezzek egy SOC keretrendszert ingyenes szoftverekkel egy ICS megfigyelésére, és bemutassam a SOC koncepció előnyeit.
Ahhoz hogy meg tudjuk védeni az ICS-t tudnunk kell, hogy éppen mi folyik benne, tehát adatokat kell gyűjtenünk az ICS-ről. Ehhez használtam aktív és passzív adatgyűjtési technikákat is. Az iparban a passzív módszer a preferált, mert nincs semmi ráhatása a rendszerre, csak lehallgatja a forgalmát, és aztán elemzi a forgalom csomagjait. Ez azért fontos, mert az ipari rendszerek ütemezése elég szigorú, a monitorozó rendszernek nem lehet nagy ráhatása az ICS-re, vagy különben a rendszer nem fog helyesen üzemelni. Habár az iparban nem ajánlott, használtam aktív technikákat is, ahol a monitorozó rendszer kérdezgeti az ICS részeit időközönként. Egy speciális algoritmust használtam, amivel tudtam a ráhatást enyhíteni. Egyéb fontos tulajdonsága a monitorozó rendszernek a személyre szabhatósága, mert moduláris, tehát az operátorok létrehozhatják a saját moduljaikat, és bővíthetik vele az adatgyűjtő rendszert.
Miután gyűjtöttünk adatokat a rendszerről, fel kell dolgozni őket, hogy hasznos információkat szerezzünk. Ehhez a Biztonsági Információ és Esemény Kezelőre (Security Information and Event Management SIEM) van szükségünk. Ezeknek a szoftvereknek az a feladatuk, hogy összegyűjtsék az adatokat a monitorozó rendszerektől, rendezzék és tárolják őket, nyújtsanak keresési lehetőségeket. Ezenkívül riasztás és statisztika készítés is még egyéb hasznos funkciójuk, és ezzel csinálnak információt az adatból. A projektben egy piaci SIEM ingyenes verzióját használtam. Hiányoznak belőle bizonyos funkciók, de semmi olyan, amit ne tudtam volna megoldani. Miután konfiguráltam a SIEM-et is a keretrendszer technikailag készen állt a tesztelésre. Létrehoztam különböző forgatókönyveket és támadási szkripteket, amiket tudtam futtatni a rendszeren. Ezek a tipikus lépéseket tartalmazták, mint például felderítés, sérülékenység kihasználása, és a konkrét támadás. A végén a rendszer a lépéseket sikeresen detektálta, és továbbította a SIEM felé, amit le is tudtam kérdezni. Ennek a rendszernek a feladata a detekció, tehát amikor érzékelte a támadás lépéseit, akkor a célt sikeresen elértük.
szerző
-
Semsei Dániel Andor
Mérnök informatikus szak, mesterképzés
mesterképzés (MA/MSc)
konzulens
-
Dr. Holczer Tamás
adjunktus, Hálózati Rendszerek és Szolgáltatások Tanszék