Intrusion and Anomaly Detection in Industrial Automation and Control Systems

Abstract

In the domain of Industrial Automation and Control Systems (IACS), security was traditionally downplayed to a certain extent, as it was originally deemed as an exclusive concern of Information and Communications Technology (ICT) systems. But things were about to change. Relying on air-gaping to ensure IACS security has proven to be unrealistic and, ultimately, irresponsible. The myth of the air-gap, as well as other preconceived notions about implicit IACS security, constituted dangerous fallacies that were debunked once successful attacks become known. Ultimately, the industry started shifting away from this dangerous mindset, discussing how to properly secure those systems. In many ways, IACS security should not be treated differently from modern ICT security. For sure, IACS have distinct characteristics, assets, protocols and even priorities that should be considered – but security should never an optional concern. There is an established idea that, given the sensitive nature of such environments, extra care should be taken when adding security controls or changing anything else, for that purpose – the old if it works don’t touch it mindset. Together with economic reasons, this has been one of the main causes for the proliferation of insecure, outdated and legacy systems in sensitive production environments. With cyberattacks becoming increasingly commonplace, IACS often constitute desirable targets, for many reasons. Practices such as the continuous disregard for secure protocols in mission-critical systems, the systematic deferral of crucial updates or the delay in the implementation of proper security mechanisms are just making things worse. This calls for a suitable approach to IACS protection, encompassing: (1) the development of proper security assessment mechanisms/techniques; and (2), the means to mitigate and fix existing security issues. This dissertation is mainly focused on the first aspect, even though it also provides contributions to the second. This dissertation proposes an holistic and data-driven framework capable of leveraging distinct techniques to increase the situational awareness and provide continuous and near real-time monitoring of Industrial Control Systems (ICS) infrastructures. For such purposes, this thesis proposes an evolution of the Security Information and Event Management (SIEM) concept, geared towards providing a unified security data monitoring solution by leveraging recent advances in the field of real-time Big Data analytics. This evolved SIEM relies on a wide range of open-source components which, despite being presumed to be a good match for the Supervisory Control And Data Acquisition (SCADA) security monitoring needs, are yet not widely explored in the literature. In the same way, the most recent machine-learning-based anomaly-detection techniques (which are becoming increasingly prominent in the cybersecurity field) were also analyzed and studied, in order to understand their benefits for developing and advancing IACS cyber-intrusion detection processes. The proposed mechanisms were developed and validated in the scope of the CockpitCI FP7 and ATENA H2020 projects.

No domínio dos Sistemas de Automação e Controle Industrial (IACS) a segurança foi tradicionalmente descurada, sendo considerada como uma preocupação exclusiva dos sistemas de Tecnologia da Informação e Comunicação (TIC). Mas as coisas estavam prestes a mudar. Depender do air-gap para garantir a segurança de um IACS provou ser irrealista e, em última circunstância, irresponsável. Esse mito, bem como outras noções preconcebidas sobre segurança implícita, constituíram falácias perigosas que foram desmascaradas assim que ataques bem-sucedidos foram conhecidos. Por fim, a indústria começou a afastar-se dessa mentalidade perigosa, passando a empenhar-se em proteger efectivamente esses sistemas. Na verdade, de muitas maneiras, a segurança dos IACS não deve ser tratada de forma diferente da segurança de um sistema de TIC moderno. De facto, os IACS têm características, componentes, protocolos e mesmo prioridades distintas que devem ser consideradas – mas a segurança nunca deve ser uma preocupação opcional. Há uma ideia pré-estabelecida de que, dada a natureza sensível de tais ambientes, devem ser tomados cuidados extras ao introduzir mecanismos de segurança ou alterar qualquer outra coisa – o chavão de se funciona, não mexer. No entanto, juntamente com razões económicas, essa tem sido uma das principais causas para a proliferação de sistemas inseguros, desatualizados e legados em ambientes de produção. À medida que os ciberataques se têm tornado cada vez mais comuns, os IACS são frequentemente alvos desejáveis, por variadas razões. Práticas como o uso de protocolos inseguros em sistemas críticos, o adiamento sistemático atualizações críticas ou o protelamento da implementação de mecanismos de segurança, são práticas que agravam esta situação. É pois necessária uma abordagem adequada para a proteção dos IACS, abrangendo: (1) o desenvolvimento de mecanismos / técnicas de avaliação de segurança adequados; e (2), meios para mitigar e corrigir os problemas de segurança existentes. Esta dissertação está focada principalmente no primeiro aspeto, ainda que soluções, medidas de mitigação e medidas reativas sejam igualmente propostas ao longo do texto. Esta dissertação propõe uma abordagem holística e orientada a dados capaz de alavancar diferentes técnicas por forma a reforçar a consciência situacional e fornecer uma monitorização contínua (e quase em tempo real) de um determinado IACS. Para tal, e tendo em conta os recentes avanços na área das ferramentas de análise de dados em tempo real e Big Data, é proposta uma evolução do conceito de Security Information and Event Management (SIEM), focada no fornecimento de uma solução unificada de monitorização de dados de segurança. Este conceito de SIEM melhorado baseia-se numa ampla gama de componentes de código aberto que, apesar de presumivelmente formarem uma boa combinação para suprir as necessidades de monitorização da segurança dos IACS, ainda não são amplamente explorados na literatura. Da mesma forma, as mais recentes técnicas de deteção de anomalias baseadas em Machine Learning (ML) (cada vez mais proeminentes no campo da cibersegurança) são também analisadas e estudadas, a fim de compreender os seus benefícios para o desenvolvimento dos processos de deteção de intrusão em IACS. Os mecanismos propostos foram desenvolvidos e validados no âmbito dos projectos CockpitCI FP7 e ATENA H2020.