Using Process State for Detection of Cyberattacks
Description
Full text not available
Abstract
I dag er trusler fra det digitale domenet mer relevante enn noensinne. Dette kan skyldes det ustabile globale landskapet og økende teknologisk tilkobling. Følgelig har det blitt stadig mer kritisk å beskytte operasjonell teknologi mot cybersikkerhetstrusler.
Effektive tiltak mot disse truslene innebærer integrering av cybersikkerhetsrammeverk. Selv om IEC 62443-standarden er mye brukt, har den vist begrensninger når det gjelder operasjonell risikoanalyse. NIST Cybersecurity Framework er et annet rammeverk, basert på en beste praksis-filosofi, og er ment som et supplement til eksisterende rammeverk. For å adressere mangler i operasjonell risikoanalyse har SINTEF initiert et prosjekt for å utvikle en modell for operasjonell risikoanalyse som samsvarer med NIST og utfyller IEC 62443.
Andre strategier for å motvirke cybersikkerhetstrusler involverer angrepsdeteksjon. Selv om inntrengingsdeteksjonssystemer ofte brukes for å oppdage cyberangrep ved å overvåke nettverkstrafikk i industrielle kontrollsystemer, klarer de ikke å oppdage angrep i den fysiske prosessen. Denne oppgaven utforsker en alternativ tilnærming: å oppdage cyberangrep ved å overvåke den fysiske prosessens tilstand. Denne strategien kan varsle de tidlige stadiene av et igangsatt angrep på den fysiske prosessen, og dermed muliggjøre raske preventive tiltak. To metoder har blitt implementert og testet: en modellbasert tilnærming som krever domeneekspertise, og en avviksbasert metode. For å muligjøre testingen av deteksjons metodene ble et simulert miljø utviklet for å generere prosessdata for en industrielt kontrollert prosess. Rapporten beskriver implementasjonen, testresultater og evalueringer. Videre har den vurdert hvordan et slikt deteksjonsprinsipp kan bidra til modellen for operasjonell risikoanalyse. Today, threats from the cyber domain are more relevant than ever. This may be dueto the unstable global landscape and increasing technological connectivity. Consequently,safeguarding operational technology against cybersecurity threats has become increasinglycritical.Effective measures against these threats involve the integration of cybersecurity frameworks.While the IEC 62443 standard is widely used, it has shown limitations in operationalrisk analysis. The NIST Cybersecurity Framework is another framework, based ona best practice philosophy, and intended as a supplement to existing frameworks. To addressshortcomings in operational risk analysis, SINTEF has initiated a project to developan operational risk analysis model that aligns with NIST and complements IEC 62443.Other strategies to counter cybersecurity threats involve attack detection. While intrusiondetection systems are commonly used to detect cyberattacks by monitoring networktraffic in industrial control systems, they fall short of detecting attacks in the physicalprocess. This thesis explores an alternative approach: detecting cyber attacks by monitoringthe physical process state. This strategy can signal the early stages of an initiatedattack on the physical process, enabling swift preventive measures. Two methods havebeen implemented and tested: a model-based approach requiring domain expertise, and anoutlier-based method. To facilitate testing, a simulated environment generating processdata for an industrially controlled process was developed. The report details implementationspecifics, test results, and evaluations. Moreover, it has evaluated how such adetection principle can contribute to the operational risk analysis model.