Audit Compliance and Forensics Frameworks for Improved Critical Infrastructure Protection

Abstract

As sociedades modernas dependem cada vez mais de produtos e serviços essenciaisfornecidos por Infraestruturas Críticas, muitas delas compostas por Sistemasde Controlo e Automação Industrial como centrais elétricas, redes de distribuiçãode energia, sistemas de transporte e instalações industriais. Estes sistemas estão atornar-se maiores e mais complexos, devido à crescente sofisticação e complexidadedos processos físicos que gerem e à crescente quantidade de dados heterogéneos quenecessitam de analisar, produzidos por um número crescente de dispositivos de controloe monitorização. Esses sistemas de controlo também dependem fortemente desistemas comuns de Tecnologias de Informação, cuja segurança, gestão e conformidadetambém devem ser considerados. Esse cenário requer novas estratégias paramelhorar as frameworks relacionadas de Proteção de Infraestruturas Críticas (PIC).A gestão de conformidade e a análise forense de ciber-segurança estão rapidamentea emergir como componentes essenciais das estratégias de PIC. No entanto, anatureza intrínseca dos sistemas envolvidos requer soluções especializadas que aindanão são comuns. Neste âmbito, o trabalho apresentado nesta tese investigou e propôsabordagens, ferramentas e frameworks inovadoras para melhorar as técnicas forensese de auditoria contínua para gestão de conformidade em cenários de PIC.Esta dissertação propõe melhorar as práticas de PIC, integrando as capacidadesde Auditoria Forense e de Conformidade numa estrutura unificada para melhoridentificar e compreender os incidentes de segurança passados e as situações de nãoconformidade. Para alavancar os recursos analíticos da abordagem proposta, foiconsiderado um modelo escalável que suporta a deteção de anomalias com basenum grande número de diferentes fontes, que geram dados heterogéneos a um ritmointenso. Adicionalmente, é também investigada a forma de agilizar os processosanalíticos sobre dados dispersos por diferentes bases de dados corporativas.

Modern societies are increasingly dependent on essential products and services providedby Critical Infrastructures (CI), many of them consisting of Industrial Automationand Control Systems (IACS) such as power plants, energy distributionnetworks, transportation systems and manufacturing facilities. These IACS arebecoming larger and more complex, due to the increasingly sophisticated physicalprocesses they manage and the growing amount of heterogeneous data they needto consider, generated by a increasing number of interconnected control and monitoringdevices. These IACS are also heavily dependent on common InformationTechnologies systems whose security, management, and compliance must also beconsidered. This evolving scenario requires new strategies to improve the associatedCritical Infrastructure Protection (CIP) frameworks.Compliance management and cyber-security forensic analysis are rapidly emergingas key components of CIP strategies. However, the intrinsic nature of the involvedIACS requires specialized, domain-specific solutions which are still not common.In this scope, the work presented in this thesis researched and proposedinnovative approaches, tools and frameworks to improve forensic techniques andcontinuous auditing for compliance management in CIP scenarios.This dissertation proposes to improve CIP by integrating Forensics and ComplianceAuditing (FCA) capabilities into a unified framework, to help identifying andunderstanding past security incidents and non-conformity situations. To leveragethe analytic capabilities of the proposed FCA framework, it entails a scalable modelhelping to detect anomalies from a large number of distinct sources producing dataat an intense pace. This dissertation also researches how to streamline the analyticprocesses over the living data dispersed across multiple and distinct corporatedatabases.