УДК 004.056.5
Подтопельный Владислав Владимирович − старший преподаватель кафедры Информационной безопасности Балтийской государственной академии рыбопромыслового флота Калининградского государственного технического университета.
Аннотация: Рассматриваются особенности классификации правил систем управления событиями безопасности в АСУТП. Определяются классификационные признаки и маркеры правил SIEM. Определяется особенности формирования правил SIEM с учетом протокольных технологий и системных компонентов уровней АСУТП.
Ключевые слова: состояние системы, несанкционированный доступ, сигнатура, угроза, протокол.
Сегодня, в связи появлением множества угроз АСУТП (автоматизированные системы управления технологическими процессами), возникла необходимость контролировать состояние защищенности автоматизированной системы обработки промышленных данных. Данная задача может быть решена с помощью функционала SIEM (системы управления событиями безопасности) для АСУТП. Однако существует множество проблем описания событий, связанных с информационной защитой промышленных сетей[1,2].
Организация подсистем АСУТП сложна и специфична (существуют отличные от общепринятых стандартов требования к трансляции данных, особенный порядок их обработки, предполагающий поддержку режима real-time). При этом построение инфраструктуры производственных предприятий предполагает строгую иерархичную организацию служб, а так же распределение компонентов и подсистем АСУТП в соответствии функционально-технологической принадлежностью. Соответственно, при создании правил SIEM для информационной инфраструктуры предприятия следует учитывать фактор дифференциация подсистем, в которых передача данных основана на промышленных протоколах.
При построении правил следует рассмотреть следующие слои промышленных систем:
При этом часть АСУТП используют технологии Ethernet и, соответственно, стек протоколов TCP/IP, которые часто применяются для осуществления утечки информации и сетевых вторжений злоумышленниками. Таким образом, при необходимости обнаружить утечку данных, реализуемую через компоненты АСУТП и их легитимные функции, требуется формировать множество описаний различных нормальных и аномальных состояний систем с учетом особенностей протокольных сред слоев автоматизированного комплекса. Состояния можно группировать по следующим признакам:
Описание состояний каждого слоя (группы) позволят выявить утечку данных характерную для рассматриваемого уровня АСУТП. Для рассмотрения событий (они представлены в виде последовательности различных маркеров программного и аппаратного типа), следует обратить внимание на типы отчетных записей, маркирующих зарегистрированное состояние контролируемой подсистемы. К данным типам записей следует отнести следующие данные:
Для рассмотрения событий в комплексе (для определения специфики последовательности подозрительных операций связанных единой угрозой) требуется определить принципы связывания их в событийные порядки, и, в итоге, получить комплексные множества событий, каждое из которых соответствует реализации какой-либо угрозы.
Последовательности событий, маркирующих наступившие состояние системы, можно классифицировать по принадлежности к тому уровню АСУТП, на котором предположительно происходит конечная утечка данных или последняя подозрительная операция. Соответственно, учитывая уровневую спецификацию, можно выделить следующие классы:
Те события, которые однозначно нельзя трактовать как подозрительные и вредоносные, необходимо проанализировать, исходя из того, что они могут принадлежать множеству операций по осуществлению НСД (несанкционированный доступ). В данном случае НСД трактуется, как определенная последовательность (по времени и локации) действий, цель которых причинение ущерба системе или ее компрометация. Реализовав определенную операцию или набор таковых, злоумышленник достигает промежуточной или конечной цели, последовательно переводя систему в нужное ему состояние.
Можно выделить особенности состояний (они представлены в виде описаний), входящих в рассматриваемые последовательности:
Используя приведенные состояния в различных последовательностях, можно создать комплексные описания событийных рядов, связанных НСД, для правил SIEМ многоуровневых систем АСУТП. Особенности определения типа описаний подозрительных событий в АСУТП, связаны с принадлежностью проверяемых пакетов к определенному слою системы, на котором используются отличные от других уровней (слои) технологии передачи данных. Кроме того, изучая фиксируемое событие и состояния системы в последовательности переходов от одной стадии НСД к другой, можно определить меру опасности рассматриваемой операции с учетом специфики уровня системы и особенностей промышленных протокольных сред.
Список литературы