Cyber Situational Security Awareness Architecture (CSSA) for Industrial Control Systems
Master thesis
Permanent lenke
http://hdl.handle.net/11250/2617748Utgivelsesdato
2019Metadata
Vis full innførselSamlinger
Sammendrag
Dette prosjektet legger grunnlaget for en cyber sikkerhets situasjonell forståelses arkitektur for industrielle kontrollsystemer. Videre svarer den på forsknings spørsmål om resultater og kontekst for penetrasjonstesting samt krav for digital forensics relevant til arkitekturen. Helheten i dette er at det tilbys beskyttelse før, under og etter et angrep. Penetrasjonstesting fungerer som forebyggende arbeid. Den situasjonelle forståelses arkitekturen gir sanntids monitorering. Digital forensics bidrar med situasjonell forståelse ved å undersøke hendelser som har inntruffet. Arkitekturen vil i tillegg kunne anvende lagrede historiske data i korrelasjonen som avdekker angrep. Informasjonen fra korrelasjons steget kan hjelpe til med å avdekke fremtidige trender. Dette betyr at arkitekturen også bør kunne bidra i mer enn sanntid. Samarbeid om deling av cyber threat intelligence med sikkerhets miljøer er viktig for å danne seg et trusselbilde. Arkitekturen anvender teknologi for å automatisere delingen av cyber threat intelligence på en sikker måte med flere forskjellige sikkerhets miljøer uten å blottlegge sensitiv informasjon. Informasjon samlet fra interne og eksterne kilder blir korrelert og resultatene blir presentert i visualiserings fasen. This thesis covers the ground work for a cyber security situational awareness architecture for industrial control systems. Furthermore, it answers research questions about requirements for capturing context and results from penetration testing in industrial control systems and requirements for forensics data collection relevant to the architecture. The purpose is to provide protection provided in different chronological stages. Penetration testing works as preventative work. The situational awareness architecture provides real time monitoring. Digital forensics provide additional understanding of an incident after it has occurred. The architecture will also be able to utilize stored historical data and data shared by external communities in the correlation process. In addition to uncover attacks against the organization, the information produced by the correlation phase should be useful in predicting trends. This means that the architecture should be able to contribute with more than real-time situational awareness. Normalization of information is a part of the architecture, where it transforms information into standard formats. Sharing of cyber threat intelligence with communities is important in order to create a proper threat overview and facilitating collaboration to uncover threats. The architecture utilizes technology to automate sharing of cyber threat intelligence in a secure manner with different communities without leaking sensitive information or reveal inner workings of the organization. After the information collected from internal and external sources are correlated, the results is presented in the visualization phase.