Az Industry 4.0 koncepció megvalósításakor az egyik legnagyobb kihívás az IT biztonsági aspektus. Az újonnan létrejövő kiber-fizikai megoldásokban az eddig jobbára zártan működő termelési/vezérlési/irányítási rendszerek nyitottá válnak, a „normál” informatikai infrastruktúrába integrálódnak. Jelentősen súlyosbítja a kockázatot hogy az új rendszerekben használt technológiák ( IoT, cloud computing, big data…) tovább bővítik az integrációs kört olyan, a vállalati IT rendszeren kívül eső elemekkel/szolgáltatásokkal, melyek biztonsági felügyelete újabb problémákat vet fel az alkalmazó vállalatoknál.

Az új technológiákkal, kommunikációs csatornákkal, hálózati protokollokkal, decentralizált döntési/automatizált beavatkozási megoldásokkal kibővülő vállalati informatikának újfajta kockázatokkal kell megküzdenie az információbiztonság alappilléreinek (CIAA - Confidentiality, Integrity, Availability, Accountability) tekintett IT biztonsági szempontok mentén pl.:

• Sértetlenség:
  • termelés szabotázs
  • termelési minőségromlás
  • indokolatlan/túlzott erőforrás felhasználás
  • hamisított alkatrészek/szolgáltatások
• Rendelkezésre állás:
  • rendszer leállása nem biztonságos/nem újra indítható állapotban
  • termelékenység csökkenése
• Bizalmasság:
  • ipari kémkedés
  • terméklopás
  • adatvédelem megsértése munkavállaló/ügyfél oldalon
• Elszámoltathatóság
  • törvényerejű bizonyítékképzés

Az új IT biztonsági kockázatok csökkentésére a teljes szervezeten és a kibővülő IT infrastruktúra mindenrészére átnyúló, intelligens ellenőrzés támogató megoldásokra van szükség az azonosítás, hitelesítés, jogosultság kezelés és legfőképpen az esemény monitoring területén. Ebben nyújt segítséget önnek Sealog termékcsaládunk kiemelkedő digitálisnyom gyűjtő képessége, mely a kritikus folyamatok mentén keletkező különböző típusú információk elemzésével képes egyszerre több feladatot is megoldani:

• csökkentheti az Industry 4.0 mentén keletkező IT biztonsági fenyegetéseket
• támogatja az Industry 4.0 termelés monitoring koncepcióját

Cél

Egy többlépcsős informatikai fejlesztés végrehajtásával egy összetett szervezet, vállalatcsoport csoportbiztonsági szintű konszolidált hátterének megteremtése, amelynek keretében központilag kell kialakítani a különböző szervezeti egységek, tagvállalatok szabályos működésének felügyeletét, adatszolgáltatási kötelezettségének monitorozását és a visszaélések kezelését.


 

Üzleti igény/eredmény

Központi log gyűjtő és elemző szoftver bevezetésével az alkalmazások és rendszerek (telekommunikációs platformok, hálózati eszközök, szerverek, operációs rendszerek, stb.) naplóinak/eseményeinek egységes gyűjtése, elemezhetőségének biztosítása elsősorban biztonsági szempontból, az alábbiak szerint:

• a rendszerekben zajló hozzáférések/tevékenységek visszakereshetősége,
• központi szabályozást áthágó rendellenes beavatkozások kiszűrése,
• gyanús hozzáférések folyamatos figyelése,
• riasztások lehetőségének biztosítása,
• riportok generálása a naplóállományok alapján,
• információvédelmi incidensek biztonsági vizsgálatának gyorsítása.

A szervezeti egységekben, tagvállalatokban meghatározott működési és/vagy minőségbiztosítási és/vagy információbiztonsági szabályrendszerek ellenőrzése helyileg történik, az előforduló incidensek a lokális felhasználás mellett bekerülnek a központi eseményelemzőbe is.

Megoldás

Az integrált alkalmazás kialakítása projektláncolat keretében történik. Első lépés az üzletileg kritikus központfelügyeleti rendszerek bekötése, majd a különböző szervezeti egységeknél, tagvállalatoknál üzemelő minősített rendszerek eseményadatai kerültek betöltésre. Az egyre szélesebb alapokon nyugvó adatkör olyan központi elemzési lehetőséget biztosít, amely – meghagyva az egyes tagvállalatok specifikus igényeit kiszolgáló helyi logelemző rendszereket – összvállalati szintre emeli a kritikus események kezelését és felügyeli a rendszerek használatát. A megoldás biztosítja, hogy a különböző szervezeti egységek különböző folyamatainak helyi szabályozásokra épülő ellenőrzése mellett a biztonsági ágazat összesített szinten figyelni/elemezni tudja az egyes területek teljesítményét. Moduláris felépítést tekintve Rendszeradminisztráció, Üzemeltetés, Biztonsági menedzsment és Információszolgáltatás modulok kiepítése javasolt, közös platformról kiszolgálva a különböző biztonsági területeket. A többlépcsős architektúrában az egyes tagvállalati szabályrendszereken nyugvó ellenőrzések eseményeinek központi rendszerbe töltésével a felhasználói átfogó képet kapnak például:

• a feldolgozott adatok állapotáról és/vagy hibáiról és/vagy esetleges hézagairól,
• riasztások számáról, eloszlási statisztikájáról,
• az egyes incidensek állapotáról,

‒ azaz lényegében a teljes szervezet biztonsági teljesítményéről.

Cél

A megfigyelni kívánt alany (rendszer és/vagy szervezet és/vagy személy és/vagy alkalmazás és/vagy eszköz) önmagához vagy referenciacsoporthoz képest szokatlan viselkedésének felismerése.

 

Üzleti igény/eredmény

A rendelkezésre álló működést leíró adatokat úgy lehessen megvizsgálni, hogy:

• ne kelljen szabályrendszert definiálni az anomáliák kiszűrésére
• tényadatok alapján automatikusan megállapításra kerülhessen a normál viselkedés (profilozás)
• a profilhoz képest szokatlan viselkedést/működést mutassa meg a rendszer
• referencia csoportok normál viselkedéséhez is hasonlítsa az adott alany viselkedését

Az elemzés eredményeként szülessen meg egy olyan, gyanúgeneráláson alapuló lista, mely rangsorolja, hogy az alany működését leíró rekordok közül melyek voltak a leggyanúsabbak (legjobban eltértek a normál viselkedéstől). Az eredmény lista mutassa meg azt is, hogy az adott rekordban melyek voltak a leggyanúsabb paraméterek.

Megoldás

Kiindulási alapként a SeaLog keretrendszer által összegyűjtött digitális nyomokból kiválaszthatjuk azokat az elemeket, melyek minél pontosabban leírják az alany viselkedését. A lényeges, meghatározó adatkörökből a ki lehet alakítani egy olyan, ún. objektum-attribútum mátrixot, mely nem csak a nyers adatokat, hanem az azokra épülő mérőszámokat is tartalmazhat. Az előkészített mátrixot a SeaLog hasonlóságelemző modulja feldolgozza, és táblázatosan illetve grafikusan is megmutatja az elemzés eredményét. A gyanúérték szerint sorrendbe állított rekordok mellet megjelöli azt is, hogy a működést leíró sok adat közül melyek voltak azok, amelyek a legjobban hozzájárultak a gyanú kialakulásához. Ezen kívül megmutatja azokat az adatköröket, melyek lényegtelenek voltak az elemzés eredményei szempontjából (ami annyit is jelent, hogy nem voltak befolyással az alany viselkedésére). Ezek kihagyásával és más adatkör bevonásával az elemzést újra futtatva finomítani lehet az eredményen.

Néhány elemzési példa:

• Informatikai rendszerben működési rendellenességek kiszűrése:

• a működés leírására kiválasztott adatkörök (tulajdonságok): hibás/sikeres loginok száma, felhasználó felvétele, rendszerdátum változtatása, tűzfal műveletek admin jogosultággal, memória elfogyás, CPU terhelés, jelszóváltás…
• a tényleges működést leíró rekordok (objektum): az elemzés alá vont időszakot 4 órás sávokra bontva csoportosítottuk az adatokat
• az elemzés erős rendszergazdai jogokhoz köthető tevékenységet tapasztalt, késő esti, éjjeli időszakban
• rövid vizsgálat kiderítette, hogy egy komplikációkkal teli szerverfrissítés okozta a rendellenes tevékenységet

• Gyanús bankkártya tranzakciók kiszűrése:

• az egyes tranzakciók tényleges értékeit (dátumok, devizák, pénzösszegek, helyszínek, fogadó felek, bankkártya és tranzakció típusok…) tartalmazó, milliós nagyságrendű az elemzendő állomány
• referencia csoportok képzése értékkészlet alapján
• az önmagához és a referencia csoportokhoz képest generált gyanúk egymásra rétegezése ad egy összesített gyanúmértéket
• a gyanúmértékkel jellemezhető tételek között több visszatérő érték szerepel
• bizonyos fogadók/címzettek, tranzakció típusok esetében erősen hatnak egymásra

• Kérdőív alapú HR kockázat elemzés:

• elégedettségi felméréshez kiadott kérdőívekre beérkezett válaszok alapján inkonzisztens személyiségek feltárása
• a viselkedést leíró tulajdonságok a kérdőív kérdései voltak (7 azonosító, 33 értékelő)
• egy személy által kitöltött kérdőív képzett egy objektumot
• minden kérdés a maradék 39 kérdés függvényében került elemzésre, melynek eredménye kimutatta:

• melyek azok a személyek, akik nem magyarázható válaszsorozatokkal szolgáltak
• illetve az utolsó kérdések hitelessége „szignifikánsan” alacsonyabb, mint a többi kérdésre adott válaszok

Cél

A hálózati eszközök működésének központi monitorozása, üzemeltetési és információvédelmi szempontok alapján.

Üzleti igény/eredmény: a heterogén hardver és szoftver elemekből álló struktúrált hálózat egyes elemeinek logjait, illetve ezen elemek felügyeletére bevezetett megoldások adatait összegyűjtésével  egy központi monitorozó rendszer kialakítása. Egy felületen megjeleníthetők a különböző területek elemzett adatai, az adatok összekapcsolásával, korrelációs elemzésével új, eddig rejtett összefüggéseket lehet felderíteni. Továbbfejlesztési lehetőségként integrálhatók és elemezhetők a határvédelmi és végpontvédelmi megoldások adatai is.

Megoldás

A megvalósításának első lépéseként a tűzfalakról (pl. CISCO) származó logok gyűjthetők össze. Az előzetes elemzések és előfeldolgozások alapján meghatározhatók azok az állományok (adatok, információk), amelyek szükségesek a cél eléréséhez. Az elemző felület és a szabványos szabálygyűjtemény (pl. CISCO-PIX&ASA) felhasználásával olyan rendellenességek mutathatók ki, amelyek relevánsak lehetnek mind üzemeltetési, mind információbiztonsági szempontból. Néhány példa a felfedezhető eseményekre:

• Támadás - DNS Request for All Records: alapvetően egy információs üzenet, azonban adott esetben jelenthet felderítési kísérletet is, ezért meg kell vizsgálni az üzenetben található távoli IP címet, hogy megbízható kategóriába tartozik-e.
• Támadás – Fragmented ICMP Traffic: Ennek jelzésnek az indikálása a „Large ICMP Echo Request Denial of Service” sérülékenység lehetséges kihasználását jelzi.
• Lehetséges támadás - Deny protocol reverse path check: Valaki megpróbál spoof-olni egy IP címet egy bejövő kapcsolaton. Ez lehet egy támadás része, amely a tűzfal ellen irányul.

A talált eseményekre riasztási szabályokat lehet beállítani, amelyek az események előfordulásakor e-mail riasztást küldenek az illetékeseknek. Ezen események előfordulásáról statisztikákat, kimutatásokat, jelentéseket készíthetünk. Részleteket feltárni (lefúrni) képes grafikonok teszik lehetővé, hogy a könnyen áttekinthető aggregált adatokból el tudjunk jutni a részeletes, nyers log adatokig, így nyomon tudjuk követni, hogy pontosan mi okozta a rendellenességet.

A további hálózati elemek és határvédelmi megoldások logjainak bekötésével lehetőség nyílik a teljes hálózati struktúra komplex monitorozása. Az SLA grafikonos megjelenítés biztosítja, hogy a különböző területek üzembiztonsági és információbiztonsági állapota egyszerűen követhető és kézben tartható legyen.