A Distributed Platform for Security Event Handling in Industrial Control Networks

Abstract

Durante os últimos anos, os Industrial Automation and Control Systems (IACSes) tornaram-se mais distribuídos. A actual idade de Big Data e Internet of Things (IoT) também trouxe novos desafios, como tratar grandes quantidades de dados heterogéneos em tempo-real. Sem soluções eficientes e escaláveis para processamento de todos os eventos gerados por cada fonte de dados (como um componente de deteção segurança ou sensores de telemetria), muitas informações valiosas podem se perder ou não serem detetadas a tempo. Sistemas de Security Information and Event Management (SIEM), que são ferramentas dedicadas responsáveis por processar e gerir adequadamente eventos de segurança, são portanto um componente crítico na segurança de um IACS. Tipicamente os sistemas SIEM são caros, não tem flexibilidade de personalização ou não são totalmente personalizados para ambientes distribuídos e abordagens Big Data. Para abordar essas questões, neste trabalho é proposto, projetado e implementado, uma plataforma eficiente para processar eventos provenientes de várias fontes, capaz de escalar facilmente de acordo com as necessidades do IACS, capaz de efectuar pre-processamento por domínio, bem como, análises globais (streaming e batch), no topo dos eventos de segurança. Além disto, a plataforma proposta é distribuída e permite geo-replicação de dados. Mais ainda, esta usa tecnologias actuais, open-source, como forma de melhorar o tratamento dos eventos de segurança em Industrial Control Networks (ICNs), e envolver a comunidade open-source a trabalhar numa solução comum para este problema.

During the past few years, Industrial Automation and Control Systems (IACSes) have become more distributed. The current age of Big Data and the Internet of Things (IoT) also brings new challenges to these systems, like the need to handle large amounts of heterogeneous data in real-time. Without efficient and scalable solutions for processing all the events generated by each data source (such as security related detection components or telemetry sensors), a lot of valuable insights may get lost or not be detected on time. Security Information and Event Management (SIEM) systems, which are dedicated tools responsible for properly processing and managing security related events, are therefore critical components for the security and safety of an IACS. Typical SIEM systems are expensive, lack customization flexibility or are not fully optimized for distributed environments and big data processing approaches. To address those issues, in this work is proposed, designed, and implemented an efficient framework for processing events coming from several sources, able to easily scale according to the IACS needs, capable of performing per-domain pre-processing, as well as global stream and batch analysis, on the top of security events. Furthermore, the proposed framework is distributed and allows geo-replication of data. Moreover, it uses cutting-edge open-source technologies as a way to advance security event handling in Industrial Control Networks (ICs), and to involve the open-source community in working towards a common solution to this problem.