УДК 004.056.5
Особенности формирования SIEM-правил в АСУТП
Подтопельный Владислав Владимирович − старший преподаватель кафедры Информационной безопасности Балтийской государственной академии рыбопромыслового флота Калининградского государственного технического университета.
Аннотация: Рассматриваются особенности классификации правил систем управления событиями безопасности в АСУТП. Определяются классификационные признаки и маркеры правил SIEM. Определяется особенности формирования правил SIEM с учетом протокольных технологий и системных компонентов уровней АСУТП.
Ключевые слова: состояние системы, несанкционированный доступ, сигнатура, угроза, протокол.
Сегодня, в связи появлением множества угроз АСУТП (автоматизированные системы управления технологическими процессами), возникла необходимость контролировать состояние защищенности автоматизированной системы обработки промышленных данных. Данная задача может быть решена с помощью функционала SIEM (системы управления событиями безопасности) для АСУТП. Однако существует множество проблем описания событий, связанных с информационной защитой промышленных сетей[1,2].
Организация подсистем АСУТП сложна и специфична (существуют отличные от общепринятых стандартов требования к трансляции данных, особенный порядок их обработки, предполагающий поддержку режима real-time). При этом построение инфраструктуры производственных предприятий предполагает строгую иерархичную организацию служб, а так же распределение компонентов и подсистем АСУТП в соответствии функционально-технологической принадлежностью. Соответственно, при создании правил SIEM для информационной инфраструктуры предприятия следует учитывать фактор дифференциация подсистем, в которых передача данных основана на промышленных протоколах.
При построении правил следует рассмотреть следующие слои промышленных систем:
- системы удаленного управления;
- слой корпоративных информационные системы (КИС) ;
- слой диспетчерских систем;
- слой контроля полевыми устройствами;
- слой контроллеров датчиков, уровень датчиков.
При этом часть АСУТП используют технологии Ethernet и, соответственно, стек протоколов TCP/IP, которые часто применяются для осуществления утечки информации и сетевых вторжений злоумышленниками. Таким образом, при необходимости обнаружить утечку данных, реализуемую через компоненты АСУТП и их легитимные функции, требуется формировать множество описаний различных нормальных и аномальных состояний систем с учетом особенностей протокольных сред слоев автоматизированного комплекса. Состояния можно группировать по следующим признакам:
- уровень АСУ;
- тип события с указателем на предыдущее событие;
- компонент;
- время.
Описание состояний каждого слоя (группы) позволят выявить утечку данных характерную для рассматриваемого уровня АСУТП. Для рассмотрения событий (они представлены в виде последовательности различных маркеров программного и аппаратного типа), следует обратить внимание на типы отчетных записей, маркирующих зарегистрированное состояние контролируемой подсистемы. К данным типам записей следует отнести следующие данные:
- задержки при передаче данных;
- искажения информации при передаче данных;
- изменения настроек систем передачи данных и тд.
Для рассмотрения событий в комплексе (для определения специфики последовательности подозрительных операций связанных единой угрозой) требуется определить принципы связывания их в событийные порядки, и, в итоге, получить комплексные множества событий, каждое из которых соответствует реализации какой-либо угрозы.
Последовательности событий, маркирующих наступившие состояние системы, можно классифицировать по принадлежности к тому уровню АСУТП, на котором предположительно происходит конечная утечка данных или последняя подозрительная операция. Соответственно, учитывая уровневую спецификацию, можно выделить следующие классы:
- Последовательность (состояния) уровня КИС;
- Последовательности (состояния) слоя диспетчеризации;
- Последовательности (состояния) слоя полевых устройств.
Те события, которые однозначно нельзя трактовать как подозрительные и вредоносные, необходимо проанализировать, исходя из того, что они могут принадлежать множеству операций по осуществлению НСД (несанкционированный доступ). В данном случае НСД трактуется, как определенная последовательность (по времени и локации) действий, цель которых причинение ущерба системе или ее компрометация. Реализовав определенную операцию или набор таковых, злоумышленник достигает промежуточной или конечной цели, последовательно переводя систему в нужное ему состояние.
Можно выделить особенности состояний (они представлены в виде описаний), входящих в рассматриваемые последовательности:
- Особенности состояния зондирования. В данном состоянии фиксируются ранние по времени подозрительные действия локального и сетевого типа на определенном слое АСУТП. В сигнатурных характеристиках описания состояния указывается: служба, компонент, IP-адрес, маска, порты источника действий, маркеры «referеnce», маркеры задержки при передачи информации в сети и TTL (время существования пакета). Присутствует массивный опрос всех сервисов.
- Особенности состояния предположительного нарушения политики безопасности. В описании состояния будет присутствовать: запись «referеnce», фиксируемая во время подозрительной операции и после нее, фиксация в системе узла операций чтения и записи информации технологического характера, которая обнаруживается в сетевом пакете. Это состояние - начало вредоносных действий злоумышленника, которое фиксируется в сопряжении с компонентом сервиса, IP-адресом узла сети.
- Особенности состояния предположительного проникновения и эскалации. В описании состояния регистрируется операции, связанные с повышенными привилегиями. Используя их, злоумышленник применяет сетевые сервисы для организации утечки данных и перехода между уровнями АСУТП легитимным образом. Таким образом, эскалация приводит систему в состояние активной реализации повышенных привилегий. В описании состояния также входит:
- ссылки на внешние источники типа «referеnce»,
- байтовые маркеры служб HMI-систем,
- DCS-систем, служб OPC-сервер,
- байтовые маркеры протокола пакеты HLP, описывающие все остальные уровни. Отдельно следует выделить маркеры протоколов HART, CAN (два нижних уровня эталонной сетевой модели ISO/OSI: физический и канальный[4,85]).
- Особенности состояния «нанесения ущерба». При формировании описания данного состояния фиксируется временной период утраты функциональности системы трансляции данных (задержка передачи данных промышленных протоколов типа CAN, ModBus, HART приводит к нарушению режима работы real-time), либо фиксируется непредусмотренный режим ее работы[3]. В правиле анализа состояний необходимо определить интенсивность отказов системы трансляции, и так же фиксируется промежуток времени между двумя отказами при передаче данных по промышленным протоколам.
Используя приведенные состояния в различных последовательностях, можно создать комплексные описания событийных рядов, связанных НСД, для правил SIEМ многоуровневых систем АСУТП. Особенности определения типа описаний подозрительных событий в АСУТП, связаны с принадлежностью проверяемых пакетов к определенному слою системы, на котором используются отличные от других уровней (слои) технологии передачи данных. Кроме того, изучая фиксируемое событие и состояния системы в последовательности переходов от одной стадии НСД к другой, можно определить меру опасности рассматриваемой операции с учетом специфики уровня системы и особенностей промышленных протокольных сред.
Список литературы
- Меры защиты информации в государственных информационных системах. Методический документ ФСТЭК России: утв. ФСТЭК России 11.03.2014. – М., 2014
- Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. – 2-е изд., перераб. и доп. – М.: ДМК Пресс, 2017. – 434с.
- Горбачев И.Е., Глухов А.П. Моделирование процессов нарушения информационной безопасности критической инфраструктуры// Труды СПИИРАН. – Москва, 2015. – Вып. 1(38). – С. 112 – 135.
- Нестеров, С.А. Основы информационной безопасности [Электронный ресурс]: учебное пособие / С.А. Нестеров. – Электрон. дан. – Санкт-Петербург: Лань, 2018. – 324 с.