УДК 004.056.5

Особенности формирования SIEM-правил в АСУТП

Подтопельный Владислав Владимирович − старший преподаватель кафедры Информационной безопасности Балтийской государственной академии рыбопромыслового флота Калининградского государственного технического университета.

Аннотация: Рассматриваются особенности классификации правил систем управления событиями безопасности в АСУТП. Определяются классификационные признаки и маркеры правил SIEM. Определяется особенности формирования правил SIEM с учетом протокольных технологий и системных компонентов уровней АСУТП.

Ключевые слова: состояние системы, несанкционированный доступ, сигнатура, угроза, протокол.

Сегодня, в связи появлением множества угроз АСУТП (автоматизированные системы управления технологическими процессами), возникла необходимость контролировать состояние защищенности автоматизированной системы обработки промышленных данных. Данная задача может быть решена с помощью функционала SIEM (системы управления событиями безопасности) для АСУТП. Однако существует множество проблем описания событий, связанных с информационной защитой промышленных сетей[1,2].

Организация подсистем АСУТП сложна и специфична (существуют отличные от общепринятых стандартов требования к трансляции данных, особенный порядок их обработки, предполагающий поддержку режима real-time). При этом построение инфраструктуры производственных предприятий предполагает строгую иерархичную организацию служб, а так же распределение компонентов и подсистем АСУТП в соответствии функционально-технологической принадлежностью. Соответственно, при создании правил SIEM для информационной инфраструктуры предприятия следует учитывать фактор дифференциация подсистем, в которых передача данных основана на промышленных протоколах.

При построении правил следует рассмотреть следующие слои промышленных систем:

  • системы удаленного управления;
  • слой корпоративных информационные системы (КИС) ;
  • слой диспетчерских систем;
  • слой контроля полевыми устройствами;
  • слой контроллеров датчиков, уровень датчиков.

При этом часть АСУТП используют технологии Ethernet и, соответственно, стек протоколов TCP/IP, которые часто применяются для осуществления утечки информации и сетевых вторжений злоумышленниками. Таким образом, при необходимости обнаружить утечку данных, реализуемую через компоненты АСУТП и их легитимные функции, требуется формировать множество описаний различных нормальных и аномальных состояний систем с учетом особенностей протокольных сред слоев автоматизированного комплекса. Состояния можно группировать по следующим признакам:

  • уровень АСУ;
  • тип события с указателем на предыдущее событие;
  • компонент;
  • время.

Описание состояний каждого слоя (группы) позволят выявить утечку данных характерную для рассматриваемого уровня АСУТП. Для рассмотрения событий (они представлены в виде последовательности различных маркеров программного и аппаратного типа), следует обратить внимание на типы отчетных записей, маркирующих зарегистрированное состояние контролируемой подсистемы. К данным типам записей следует отнести следующие данные:

  • задержки при передаче данных;
  • искажения информации при передаче данных;
  • изменения настроек систем передачи данных и тд.

Для рассмотрения событий в комплексе (для определения специфики последовательности подозрительных операций связанных единой угрозой) требуется определить принципы связывания их в событийные порядки, и, в итоге, получить комплексные множества событий, каждое из которых соответствует реализации какой-либо угрозы.

Последовательности событий, маркирующих наступившие состояние системы, можно классифицировать по принадлежности к тому уровню АСУТП, на котором предположительно происходит конечная утечка данных или последняя подозрительная операция. Соответственно, учитывая уровневую спецификацию, можно выделить следующие классы:

  1. Последовательность (состояния) уровня КИС;
  2. Последовательности (состояния) слоя диспетчеризации;
  3. Последовательности (состояния) слоя полевых устройств.

Те события, которые однозначно нельзя трактовать как подозрительные и вредоносные, необходимо проанализировать, исходя из того, что они могут принадлежать множеству операций по осуществлению НСД (несанкционированный доступ). В данном случае НСД трактуется, как определенная последовательность (по времени и локации) действий, цель которых причинение ущерба системе или ее компрометация. Реализовав определенную операцию или набор таковых, злоумышленник достигает промежуточной или конечной цели, последовательно переводя систему в нужное ему состояние.

Можно выделить особенности состояний (они представлены в виде описаний), входящих в рассматриваемые последовательности:

  1. Особенности состояния зондирования. В данном состоянии фиксируются ранние по времени подозрительные действия локального и сетевого типа на определенном слое АСУТП. В сигнатурных характеристиках описания состояния указывается: служба, компонент, IP-адрес, маска, порты источника действий, маркеры «referеnce», маркеры задержки при передачи информации в сети и TTL (время существования пакета). Присутствует массивный опрос всех сервисов.
  2. Особенности состояния предположительного нарушения политики безопасности. В описании состояния будет присутствовать: запись «referеnce», фиксируемая во время подозрительной операции и после нее, фиксация в системе узла операций чтения и записи информации технологического характера, которая обнаруживается в сетевом пакете. Это состояние - начало вредоносных действий злоумышленника, которое фиксируется в сопряжении с компонентом сервиса, IP-адресом узла сети.
  3. Особенности состояния предположительного проникновения и эскалации. В описании состояния регистрируется операции, связанные с повышенными привилегиями. Используя их, злоумышленник применяет сетевые сервисы для организации утечки данных и перехода между уровнями АСУТП легитимным образом. Таким образом, эскалация приводит систему в состояние активной реализации повышенных привилегий. В описании состояния также входит:
  • ссылки на внешние источники типа «referеnce»,
  • байтовые маркеры служб HMI-систем, 
  • DCS-систем, служб OPC-сервер,
  • байтовые маркеры протокола пакеты HLP, описывающие все остальные уровни. Отдельно следует выделить маркеры протоколов HART, CAN (два нижних уровня эталонной сетевой модели ISO/OSI: физический и канальный[4,85]).
  1. Особенности состояния «нанесения ущерба». При формировании описания данного состояния фиксируется временной период утраты функциональности системы трансляции данных (задержка передачи данных промышленных протоколов типа CAN, ModBus, HART приводит к нарушению режима работы real-time), либо фиксируется непредусмотренный режим ее работы[3]. В правиле анализа состояний необходимо определить интенсивность отказов системы трансляции, и так же фиксируется промежуток времени между двумя отказами при передаче данных по промышленным протоколам.

Используя приведенные состояния в различных последовательностях, можно создать комплексные описания событийных рядов, связанных НСД, для правил SIEМ многоуровневых систем АСУТП. Особенности определения типа описаний подозрительных событий в АСУТП, связаны с принадлежностью проверяемых пакетов к определенному слою системы, на котором используются отличные от других уровней (слои) технологии передачи данных. Кроме того, изучая фиксируемое событие и состояния системы в последовательности переходов от одной стадии НСД к другой, можно определить меру опасности рассматриваемой операции с учетом специфики уровня системы и особенностей промышленных протокольных сред.

Список литературы

  1. Меры защиты информации в государственных информационных системах. Методический документ ФСТЭК России: утв. ФСТЭК России 11.03.2014. – М., 2014
  2. Бирюков, А.А. Информационная безопасность: защита и нападение / А.А. Бирюков. – 2-е изд., перераб. и доп. – М.: ДМК Пресс, 2017. – 434с.
  3. Горбачев И.Е., Глухов А.П. Моделирование процессов нарушения информационной безопасности критической инфраструктуры// Труды СПИИРАН. – Москва, 2015. – Вып. 1(38). – С. 112 – 135.
  4. Нестеров, С.А. Основы информационной безопасности [Электронный ресурс]: учебное пособие / С.А. Нестеров. – Электрон. дан. – Санкт-Петербург: Лань, 2018. – 324 с.

Интересная статья? Поделись ей с другими: