Обнаружение Cyber Intrusion в системе SCADA
Как распознать вторжение?
Предотвращение вторжений в Scada
Одна из аксиом кибербезопасности заключается в том, что, хотя крайне важно попытаться предотвратить вторжения в свои системы и базы данных, важно, чтобы интрузии были обнаружены, если они действительно происходят.
Нарушитель, который получает контроль над компьютером подстанции, может модифицировать компьютерный код или вставить новую программу. Новое программное обеспечение может быть запрограммировано на то, чтобы спокойно собирать данные (возможно, включая пароли регистрации законных пользователей) и отправлять данные злоумышленнику позднее.
Он может быть запрограммирован для работы устройств энергосистемы в будущем или при распознавании будущего события. Он может создать механизм (иногда называемый «backdoor»), который позволит злоумышленнику легко получить доступ в будущем.
Если во время вторжения не было очевидного ущерба, может быть очень сложно обнаружить, что программное обеспечение было изменено.
Например, если целью вторжения было получение несанкционированного доступа к служебным данным, тот факт, что другая сторона читает конфиденциальные данные, никогда не может быть замечен. Даже когда вторжение действительно приводит к повреждению (например, преднамеренно открывая автоматический выключатель в критической цепи), может быть совершенно не очевидно, что ложная операция была вызвана нарушением безопасности, а не каким-либо другим сбоем (например, переходный режим напряжения, отказ реле или ошибка программного обеспечения).
По этим причинам важно стремиться обнаруживать вторжения, когда они происходят. С этой целью ряд производителей систем информационной безопасности разработали системы обнаружения вторжений (IDS).
Эти системы предназначены для распознавания вторжений на основе различных факторов, в том числе в первую очередь:
- Коммуникации, предпринятые по неавторизованным или необычным адресам и
- Необычный характер деятельности.
Они генерируют журналы подозрительных событий. Затем владельцам систем необходимо вручную проверять журналы и определять, какие представляют собой настоящие вторжения, и которые являются ложными тревогами.
Фото Cryptango - обеспечение промышленной связи
К сожалению, нет простого определения того, какие виды деятельности следует классифицировать как необычные и исследовать дальше.
Чтобы сделать ситуацию более сложной, хакеры научились маскировать свои сетевые зонды, чтобы они не вызывали подозрений.
Кроме того, следует признать, что существует слишком большая опасность того, что слишком много событий помечены как подозрительные, так как их слишком мало.
Вскоре пользователи научатся игнорировать вывод IDS, который объявляет слишком много ложных событий.
(Тем не менее, существуют внешние организации, которые предлагают услуги по изучению результатов IDS и сообщают результаты собственнику. Они также помогут владельцу системы настроить параметры IDS и включить более строгие защитные функции в сети, которая будет защищена.)
Сложнее, большинство IDS были разработаны для корпоративных сетей с общедоступными интернет-услугами. Дополнительные исследования необходимы для исследования того, что будет представлять собой необычную деятельность в среде SCADA = SA.
В общем, SA и другие системы управления не имеют функций регистрации, чтобы определить, кто пытается получить доступ к этим системам. На коммерческой арене предпринимаются усилия, и Национальные лаборатории разрабатывают возможности обнаружения вторжений для систем управления.
Резюме
Таким образом, искусство обнаружения вторжений в системы контроля и диагностики подстанций все еще находится в зачаточном состоянии. До тех пор, пока не будут разработаны надежные автоматические инструменты, владельцам систем придется приложить свои основные усилия в двух областях:
- Предотвращение вторжений от
- Восстановление от них, когда они происходят.
Ресурс: Инженерные электростанции - JD McDonald (Получить его от Amazon)