Implementation of a Security Information Event Management System in an Industrial Control System

Abstract

Utfordringene ved å fortsatt holde dagens systemer sikre under den konstante utviklingen de har bringer med seg utfordringer som ikke har blitt taklet før. Bruken av små enheter med lav prosesseringskraft har vært populært for å holde kostnadene nede i større systemer. Nyskapningen av disse som tillater at de kobler seg opp mot mer komplekse enheter åpner opp muligheter som aldri har blitt sett før både for produsentene og angripere. For å holde tritt med trusselbildet trenger vi bedre sikkerhetstiltak og verktøy som passer til oppgavene de skal utføre. Når enheter er essensielle for å forsyne en hel by med elektrisitet kan dukke under av et angrep som kan utføres gjennom enkle midler, burde samfunnet i helhet være ute etter gode og sikre løsninger. En vei å gå for å finne disse løsningene kan være ved å implementere disse enhetene virtuelt som gir mulighet til testing og utprøvning av forskjellige implementasjoner og variabler. Hensikten med dette prosjektet er derfor å undersøke hvordan slike enheter kan bli satt sammen i systemer som kan produsere tilnærmet lik trafikk til et levende miljø, og finne ut hvilke løsninger som egner seg best for å sikre de mot potensielle angrep. Testene i dette prosjektet ble utført ved implementasjonen og installasjonen av en Programmable Logic Controller satt sammen med en vanntank, en human machine interface og to forskjellige sikkerhetsløsninger som skal tilsvare et industrielt kontrollsystem. Dette systemet ble da undersøkt for hvor komplett systemet er i forhold til hvor mye det ligner på et reelt system og trafikken det produserer. Med systemet testet ut ble det installert et Intrusion Detection System og en Security Information Event Management løsning som sikkerhetstiltak. Disse ble sammenlignet i forhold til bruk av tid på installasjon, dokumentasjon tilgjengelig, helhetlighet av løsningen, mulig informasjon som kunne hentes ut og hvor godt de detekterte angrep. Resultatene fra testene viser at det virtuelle industrielle kontrollsystemet produserer tilnærmet lik trafikk og at det oppfører seg likt som et fullverdig industrielt kontrollsystem. Gjennom installasjonen og implementasjonen av en IDS og SIEM vises det at kompleksiteten til sistnevnte er av en mye større grad. Likevel er mulighetene og egenskapene til en godt oppsatt SIEM så instrumentelle til god sikkerhet at det sees på som en bedre løsning enn en IDS i et industrielt kontrollsystem. Begge løsningene klarer å detektere angrep, men når det blir testet et komplekst ManIn-The-Middle angrep er det bare SIEMen som har nok informasjon til å gjøre en riktig vurdering. Disse resultatene begrunnes med resultater av simuleringene, resultater av forsøk på detektering av angrep og kriterier satt for å måle forskjellige aspekter ved implementasjon og installasjon.