/ / Cyber-Intrusion in SCADA-System erkennen

Cyber-Intrusion im SCADA-System erkennen

Cyber-Intrusion im SCADA-System erkennen

Cyber-Intrusion im SCADA-System erkennen

Wie erkennt man das Eindringen?

Scada Intrusion Prevention

Scada Intrusion Prevention

Eines der Axiome der Internetsicherheit ist, dass dies extrem wichtig ist zu versuchen, Eindringlinge zu verhindern In die eigenen Systeme und Datenbanken ist es unerlässlich, dass Eindringlinge erkannt werden, wenn sie auftreten.

Ein Eindringling, der die Kontrolle über einen Stationscomputer erlangt, kann den Computercode ändern oder ein neues Programm einfügen. Die neue Software kann so programmiert werden, dass sie leise Daten erfasst (möglicherweise einschließlich der Anmeldekennwörter legitimer Benutzer) und senden Sie die Daten zu einem späteren Zeitpunkt an den Eindringling.

Es kann so programmiert werden, dass die Stromversorgungssysteme zu einem späteren Zeitpunkt oder bei Erkennung eines zukünftigen Ereignisses betrieben werden. Es kann ein eingerichtet werden Mechanismus (manchmal auch als "Hintertür" bezeichnet) das erlaubt dem Eindringling zu einem späteren Zeitpunkt leicht Zugang erhalten.

Ob kein offensichtlicher Schaden Wurde zum Zeitpunkt des Eindringens ausgeführt, kann es sehr schwierig sein, festzustellen, dass die Software geändert wurde.

Wenn beispielsweise das Ziel des Angriffs darin bestand, einen unberechtigten Zugriff auf Versorgerdaten zu erlangen, wird die Tatsache, dass eine andere Partei vertrauliche Daten liest, möglicherweise nie bemerkt. Auch wenn die Einbruch führt zu Schäden (B. absichtliches Öffnen eines Schutzschalters an einem kritischen Stromkreis), es ist vielleicht gar nicht so offensichtlich, dass die falsche Operation eher auf eine Sicherheitsverletzung als auf einen anderen FehlerB. ein Spannungsübergang, ein Relaisfehler oder ein Software-Fehler).

Aus diesen Gründen ist es wichtig, Eindringlinge zu erkennen wenn sie auftreten. Zu diesem Zweck haben einige Hersteller von IT-Sicherheitssystemen Intrusion Detection Systeme (IDS) entwickelt.

Diese Systeme sind darauf ausgelegt, Einbrüche aufgrund einer Vielzahl von Faktoren zu erkennen, darunter vor allem:

  1. Kommunikationsversuche von nicht autorisierten oder ungewöhnlichen Adressen und
  2. Ein ungewöhnliches Aktivitätsmuster.

Sie erzeugen Protokolle verdächtiger Ereignisse. Die Eigentümer der Systeme müssen dann die Protokolle manuell überprüfen und feststellen, welche echten Eindringlinge und welche Fehlalarme darstellen.

Foto von Cryptango - Sicherung der industriellen Kommunikation

Foto von Cryptango - Sicherung der industriellen Kommunikation


Unglücklicherweise, Es gibt keine einfache Definition welche Arten von Aktivitäten sollten als ungewöhnlich eingestuft und weiter untersucht werden.

Um die Situation zu erschweren, haben Hacker es gelernt verstecken ihre Netzwerk-Sonden so erwecken sie keinen Verdacht.

Darüber hinaus sollte erkannt werden, dass die Gefahr besteht, dass zu viele Ereignisse als zu wenig als verdächtig gekennzeichnet werden.

Die Benutzer werden bald lernen, die Ausgabe eines IDS zu ignorieren, das zu viele falsche Ereignisse ankündigt.

(Es gibt jedoch externe Organisationenbieten den Service an, die Ausgabe von IDS zu studieren und die Ergebnisse dem Eigentümer zu melden. Sie helfen dem Systembesitzer auch, die Parameter des IDS abzustimmen und stärkere Schutzfunktionen in das zu schützende Netzwerk einzubauen.)

Um die Sache zu erschweren, wurden die meisten IDSs entwickelt Unternehmensnetzwerke mit öffentlich zugänglichen Internetdiensten. Weitere Forschungen sind erforderlich, um zu untersuchen, was eine ungewöhnliche Aktivität in einer SCADA = SA-Umgebung darstellt.

SA und andere Steuerungssysteme tun dies im Allgemeinen nichtverfügen über Protokollierungsfunktionen, um zu ermitteln, wer versucht, Zugriff auf diese Systeme zu erhalten. Im kommerziellen Bereich und in Zusammenarbeit mit den National Laboratories wird an der Entwicklung von Intrusion Detection-Fähigkeiten für Steuersysteme gearbeitet.

</ p>

Zusammenfassung

In Summe, die Kunst, Eindringlinge zu erkennen Die Steuerungs- und Diagnosesysteme der Unterstationen stecken noch in den Kinderschuhen. Bis zur Entwicklung zuverlässiger automatischer Werkzeuge müssen sich die Systembetreiber in zwei Bereichen umsetzen:

  1. Eindringlinge verhindern vom Auftreten und
  2. Wiederherstellen von ihnen, wenn sie auftreten.

Ressource: Electric Power Substations Engineering - J. D. McDonald (Get by Amazon)

Bemerkungen: