Security Information and Event Management Systems Monitoring Automation Systems
Frigård, Juho (2019)
Frigård, Juho
2019
Automaatiotekniikan DI-ohjelma - Degree Programme in Automation Engineering
Tekniikan ja luonnontieteiden tiedekunta - Faculty of Engineering and Natural Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2019-11-13
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-201910234062
https://urn.fi/URN:NBN:fi:tuni-201910234062
Tiivistelmä
This thesis studies how suitable Security Information and Event Management systems (SIEM systems) are for monitoring automation system log data. Motivation for this study has been the growing number of cybersecurity threats faced by industrial automation systems and the disruptive effects cyber-attacks can have on industries, vital infrastructure and the everyday life of people. The research material for this study was gathered from various literary sources as well as automation engineering lectures, studies and personal work experience in the field of cybersecurity.
This thesis provides information for adding resilience for cybersecurity threats faced by industrial automation systems. Growing cybersecurity threats and legislations such as the EU NIS Directive emphasise the need for better situational awareness and management for cybersecurity related events. The findings of this thesis help improve the design of automation system log management and SIEM systems, both of which improve the systems capabilities for counteracting cybersecurity threats.
The major finding of this study is that by default automation systems and SIEM systems are not highly compatible. Automation systems are complicated and highly tuned environments with special requirements for which SIEM systems are not originally designed. Integrating SIEM systems in a meaningful way with automation system would require major changes in both.
The biggest issue is the log data itself. In automation systems, device logs stay in the devices, whereas SIEM needs that log data to be brought to a centralised location. Furthermore, the log data will most likely not be adequate for analysis as is, and it would require enriching. Implementing modifications to correct these issues would be major transformational process to an automation system.
From the automation engineer perspective the process and its reliability and availability are the most important aspects in relation to the functionality of the system. Therefore, their focus is on operational technology security. On the other hand, SIEM system focuses on information technology security and it will be an additional service that comes in use in rare special circumstances. For this reason, selling SIEM for automation systems is difficult.
Furthermore, in automation systems, device logs are only inspected after an error situation, whereas SIEM aims to detect issues before they have a disruptive impact on the system. This mitigates damages and makes any countermeasures faster. However, systems such as SIEM would require monitoring which adds workload and the people monitoring SIEM would require expertise in both automation engineering and cybersecurity. Furthermore, monitoring the events in themselves is not enough, as the SIEM system has to be monitored as well in order to make sure it is working in the desired way.
Automation systems are unique environments and adding SIEM requires extensive customisation. Smart event detection systems use machine learning and AI to detect anomalies in a system’s activity rather than identifying markers of known malicious activity. This way they require less hands-on customisation and are more compatible with industrial control systems of various types and sizes. The future of cybersecurity management in automation systems is in implementing smart detection systems and automated responses for better compatibility with operational technology environments and faster countermeasures. Tässä diplomityössä tutkitaan, kuinka turvallisuusinformaation ja –tapahtumien hallintajärjestelmät (SIEM, Security Information and Event Management) soveltuvat valvomaan automaatiojärjestelmien lokidataa. Teollisuusautomaatiojärjestelmiin kohdistuvien kyberturvallisuusuhkien kasvu sekä näiden aiheuttamat seuraukset teollisuudelle, infrastruktuurille ja ihmisten joka-päiväiseen elämään ovat olleet tämän työn keskeisinä motivaattoreina. Tutkielman aineisto on koottu kirjallisista lähteistä, automaatiotekniikan luennoilta, opinnoista ja työkokemuksesta kyberturvallisuusalalla.
Tutkimus tarjoaa tietoa kyberturvallisuusuhkien ennaltaehkäisemiseen teollisuusautomaatiojärjestelmissä. Kasvavat kyberturvauhat ja EU:n NIS direktiivi lisäävät tarvetta tarkan tilannekuvan luomiselle ja kybertapahtumien valvonnalle yhteiskunnan tärkeiden palvelujen tuottajille. Tutkimustulokset tarjoavat apua automaatiojärjestelmien lokienhallinnan ja SIEM-järjestelmien suunnittelussa, joilla molemmilla tarjotaan suojaa kyberturvauhkia vastaan.
Keskeisin tutkimushavainto on automaatiojärjestelmien ja SIEM-järjestelmien yhteensopimattomuus. Automaatiojärjestelmät ovat monimutkaisia, pitkäikäisiä ja tarkoin säädettyjä toimintaympäristöjä, joiden erityisvaatimuksille SIEM-järjestelmiä ei ole alun perin suunniteltu. SIEM-järjestelmän integroiminen mielekkäästi automaatiojärjestelmään vaatisi suuria muutoksia molempiin järjestelmiin.
Yksi suurimmista ongelmista on lokidatan siirtäminen laitteelta toiselle. Automaatiojärjestelmissä laitteiden lokit jäävät laitteiden muisteihin, kun SIEM-järjestelmä tarvitsisi niiden tuontia keskitettyyn sijaintiin. Laitteiden tuottama lokidata ei myöskään todennäköisesti sovellu sellaisenaan, jotta SIEM-järjestelmillä pystyisi tekemään tilannekuvatarkoituksiin riittävää analyysia. Lokidata pitäisi rikastaa esimerkiksi vähintään laitteen sijaintitiedolla. Tällaisten muutosten tekeminen vaatii suuria muutoksia automaatiojärjestelmiin.
Automaatioinsinöörille automaatiojärjestelmässä tärkeintä on itse prosessi sekä tämän luotettavuus ja saatavuus. Tästä näkökulmasta SIEM-järjestelmä olisi lisäpalvelu, josta on hyötyä vain harvinaisissa erikoistilanteissa. Tästä syystä SIEM-järjestelmien myynti automaatiojärjestelmiin on vaikeaa. Automaatiojärjestelmissä lokeja tarkastellaan vain, kun jokin laite vaikuttaa toimivan väärin, mutta SIEM-järjestelmillä on tarkoitus havaita ongelmat ennen suuria vaikutuksia kohdejärjestelmälle. Etukäteistoimenpiteillä voidaan vähentää seurauksien vaikutuksia ja lyhentää vastatoimien vasteaikaa. SIEM-järjestelmät kuitenkin tarvitsevat valvontaa, mikä lisää työtaakka, ja valvontaa suorittavilta henkilöiltä vaaditaan asiantuntijuutta sekä automaatiotekniikasta että kyberturvallisuudesta. Lisäksi pelkkä tapahtumien valvonta ei riitä vaan koko SIEM-järjestelmää täytyy valvoa ja kehittää jatkuvasti, jotta se toimisi halutulla tavalla.
Automaatiojärjestelmät ovat ainutlaatuisia ympäristöjä ja SIEM järjestelmän lisääminen vaatii laajaa räätälöintiä. Älykkäät tapahtumien havaitsemisjärjestelmät käyttävät koneoppimista ja tekoälyä tunnistamaan poikkeavia toimintoja järjestelmässä sen sijaan, että ne yrittäisivät tunnistaa tunnettuja haitallisia ohjelmia tai hyökkäyksiä. Tällä tavalla ne vaativat vähemmän käytännön mukauttamista ja ovat paremmin yhteensopivia erityyppisten ja erikokoisten automaatiojärjestelmien kanssa. Automaatiojärjestelmien kyberturvallisuuden hallinnan tulevaisuus onkin älykkäiden havainnointijärjestelmien ja automatisoitujen vastatoimien teknologioissa. Niillä saadaan aikaan parempi yhteensopivuus teollisten automaatiojärjestelmien kanssa ja niiden avulla voidaan toteutettua nopeampia vastatoimenpiteitä.
This thesis provides information for adding resilience for cybersecurity threats faced by industrial automation systems. Growing cybersecurity threats and legislations such as the EU NIS Directive emphasise the need for better situational awareness and management for cybersecurity related events. The findings of this thesis help improve the design of automation system log management and SIEM systems, both of which improve the systems capabilities for counteracting cybersecurity threats.
The major finding of this study is that by default automation systems and SIEM systems are not highly compatible. Automation systems are complicated and highly tuned environments with special requirements for which SIEM systems are not originally designed. Integrating SIEM systems in a meaningful way with automation system would require major changes in both.
The biggest issue is the log data itself. In automation systems, device logs stay in the devices, whereas SIEM needs that log data to be brought to a centralised location. Furthermore, the log data will most likely not be adequate for analysis as is, and it would require enriching. Implementing modifications to correct these issues would be major transformational process to an automation system.
From the automation engineer perspective the process and its reliability and availability are the most important aspects in relation to the functionality of the system. Therefore, their focus is on operational technology security. On the other hand, SIEM system focuses on information technology security and it will be an additional service that comes in use in rare special circumstances. For this reason, selling SIEM for automation systems is difficult.
Furthermore, in automation systems, device logs are only inspected after an error situation, whereas SIEM aims to detect issues before they have a disruptive impact on the system. This mitigates damages and makes any countermeasures faster. However, systems such as SIEM would require monitoring which adds workload and the people monitoring SIEM would require expertise in both automation engineering and cybersecurity. Furthermore, monitoring the events in themselves is not enough, as the SIEM system has to be monitored as well in order to make sure it is working in the desired way.
Automation systems are unique environments and adding SIEM requires extensive customisation. Smart event detection systems use machine learning and AI to detect anomalies in a system’s activity rather than identifying markers of known malicious activity. This way they require less hands-on customisation and are more compatible with industrial control systems of various types and sizes. The future of cybersecurity management in automation systems is in implementing smart detection systems and automated responses for better compatibility with operational technology environments and faster countermeasures.
Tutkimus tarjoaa tietoa kyberturvallisuusuhkien ennaltaehkäisemiseen teollisuusautomaatiojärjestelmissä. Kasvavat kyberturvauhat ja EU:n NIS direktiivi lisäävät tarvetta tarkan tilannekuvan luomiselle ja kybertapahtumien valvonnalle yhteiskunnan tärkeiden palvelujen tuottajille. Tutkimustulokset tarjoavat apua automaatiojärjestelmien lokienhallinnan ja SIEM-järjestelmien suunnittelussa, joilla molemmilla tarjotaan suojaa kyberturvauhkia vastaan.
Keskeisin tutkimushavainto on automaatiojärjestelmien ja SIEM-järjestelmien yhteensopimattomuus. Automaatiojärjestelmät ovat monimutkaisia, pitkäikäisiä ja tarkoin säädettyjä toimintaympäristöjä, joiden erityisvaatimuksille SIEM-järjestelmiä ei ole alun perin suunniteltu. SIEM-järjestelmän integroiminen mielekkäästi automaatiojärjestelmään vaatisi suuria muutoksia molempiin järjestelmiin.
Yksi suurimmista ongelmista on lokidatan siirtäminen laitteelta toiselle. Automaatiojärjestelmissä laitteiden lokit jäävät laitteiden muisteihin, kun SIEM-järjestelmä tarvitsisi niiden tuontia keskitettyyn sijaintiin. Laitteiden tuottama lokidata ei myöskään todennäköisesti sovellu sellaisenaan, jotta SIEM-järjestelmillä pystyisi tekemään tilannekuvatarkoituksiin riittävää analyysia. Lokidata pitäisi rikastaa esimerkiksi vähintään laitteen sijaintitiedolla. Tällaisten muutosten tekeminen vaatii suuria muutoksia automaatiojärjestelmiin.
Automaatioinsinöörille automaatiojärjestelmässä tärkeintä on itse prosessi sekä tämän luotettavuus ja saatavuus. Tästä näkökulmasta SIEM-järjestelmä olisi lisäpalvelu, josta on hyötyä vain harvinaisissa erikoistilanteissa. Tästä syystä SIEM-järjestelmien myynti automaatiojärjestelmiin on vaikeaa. Automaatiojärjestelmissä lokeja tarkastellaan vain, kun jokin laite vaikuttaa toimivan väärin, mutta SIEM-järjestelmillä on tarkoitus havaita ongelmat ennen suuria vaikutuksia kohdejärjestelmälle. Etukäteistoimenpiteillä voidaan vähentää seurauksien vaikutuksia ja lyhentää vastatoimien vasteaikaa. SIEM-järjestelmät kuitenkin tarvitsevat valvontaa, mikä lisää työtaakka, ja valvontaa suorittavilta henkilöiltä vaaditaan asiantuntijuutta sekä automaatiotekniikasta että kyberturvallisuudesta. Lisäksi pelkkä tapahtumien valvonta ei riitä vaan koko SIEM-järjestelmää täytyy valvoa ja kehittää jatkuvasti, jotta se toimisi halutulla tavalla.
Automaatiojärjestelmät ovat ainutlaatuisia ympäristöjä ja SIEM järjestelmän lisääminen vaatii laajaa räätälöintiä. Älykkäät tapahtumien havaitsemisjärjestelmät käyttävät koneoppimista ja tekoälyä tunnistamaan poikkeavia toimintoja järjestelmässä sen sijaan, että ne yrittäisivät tunnistaa tunnettuja haitallisia ohjelmia tai hyökkäyksiä. Tällä tavalla ne vaativat vähemmän käytännön mukauttamista ja ovat paremmin yhteensopivia erityyppisten ja erikokoisten automaatiojärjestelmien kanssa. Automaatiojärjestelmien kyberturvallisuuden hallinnan tulevaisuus onkin älykkäiden havainnointijärjestelmien ja automatisoitujen vastatoimien teknologioissa. Niillä saadaan aikaan parempi yhteensopivuus teollisten automaatiojärjestelmien kanssa ja niiden avulla voidaan toteutettua nopeampia vastatoimenpiteitä.