Czym jest system SFDS?

SCADA Fault Detection System jest rozwiązaniem stworzonym w celu zaadresowania największych zagrożeń dla sieci przemysłowej – zakłócenia dostępności, ciągłości działania oraz integralności danych. Głównym zadaniem systemu jest nieprzerwane monitorowanie jak największej ilości komponentów infrastruktury przemysłowej w nieinwazyjny sposób celem natychmiastowego wykrycia awarii lub nieautoryzowanej ingerencji. Dzięki systemowi SFDS możliwe stało się maksymalne skrócenie czasu od momentu wykrycia awarii/anomalii do fizycznej reakcji umożliwiającej zażegnanie problemu.

DOCELOWI ODBIORCY SYSTEMU SFDS TO:

dedykowani1

Przedsiębiorstwa przemysłu paliwowego

dedykowani2

Przedsiębiorstwa z branży magazynowej (w tym z branży alkoholowej)

dedykowani3

Przedsiębiorstwa transportu kolejowego, drogowego i morskiego

dedykowani4

Przedsiębiorstwa z branży spożywczej (w tym z branży kosmetycznej i farmaceutycznej)

RZECZYWISTY SPOSÓB DZIAŁANIA SYSTEMU

Elementy infrastruktury klienta takie jak urządzenia monitorujące, bazy danych, systemy kontroli procesów produkcyjnych, sterowniki PLC oraz inne elementy wrażliwe na nadużycia lub awarie zostają wyposażone w dedykowanych agentów systemu SCADA Fault Detection System – SFDS Local Agents. Zadaniem agentów jest nieprzerwane pobieranie informacji z wrażliwych miejsc w infrastrukturze przemysłowej, wstępne przetwarzanie oraz wysyłanie do komponentu agregującego informacje z danego obszaru (np. baza paliw, kompleks magazynów). Zebrane informacje są przetwarzane przez autorski mechanizm wykrywania anomalii w systemach przemysłowych SFDS Rule Manager. Moduł ten umożliwia wykrywanie zdarzeń według określonych, definiowalnych przez operatora systemu reguł.

Interfejs użytkownika – wyszukiwanieimage

FUNDAMENT SYSTEMU – SFDS AGENTS

SFDS Agents tworzą zarówno agenci działający w oparciu o specjalistyczne oprogramowanie stworzone przez naszych inżynierów, jak i agenci zbudowani w oparciu o dedykowane urządzenia. Siłą agentów systemu SFDS jest ich różnorodność oraz możliwość dopasowania do infrastruktury każdego klienta. System umożliwia definiowanie dowolnej ilości agentów w ramach jednej lokalizacji.

OBSZARY DZIAŁANIA SFDS AGENTS

  • Pobieranie informacji o stanie infrastruktury przemysłowej ze sterowników PLC w celu wykrywania awarii jak również niepożądanego wykorzystania przez pracowników lub osoby trzecie
  • Monitorowanie dostępności urządzeń i systemów automatyki przemysłowej w celu wykrywania awarii, a także nieautoryzowanego przełączania w tryb pracy manualnej (np.pobranie paliwa ze zbiornika z pominięciem systemów rejestrujących tankowania)
  • Monitorowanie wejść/wjazdów do obiektów w celu rejestracji dostępu fizycznego do obiektów przez klientów i ich kontrahentów
  • Monitorowanie systemów świadczących usługi zdalnego dostępu do infrastruktury klienta takich jak VPN pod kątem dostępu pracowników, firm współpracujących oraz osób trzecich z umożliwieniem korelacji zarejestrowanych sesji z innymi zdarzeniami
  • Monitorowanie modyfikacji baz danych pod kątem zmian informacji w nich przechowywanych, usuwania rekordów, zmian struktury z umożliwieniem korelacji z biznesową stroną przetwarzanych danych
  • Zbieranie informacji o czynnościach podejmowanych na stanowiskach dyspozytorskich (zarządczych) pod kątem nadużyć ze strony pracowników
  • Monitorowanie poziomu paliwa, temperatury oraz wilgotności w zbiornikach paliw w oparciu o komunikację z systemami automatyki przemysłowej takich jak Enraf
  • Monitorowanie serwerów aplikacyjnych pod kątem wykorzystania lokalnych zasobów takich jak np. procesor czy pamięć RAM w celu wykrywania przeciążeń serwerów
  • Monitorowanie systemów kontroli dostępu oraz systemów alarmowych pod kątem nieautoryzowanego dostępu np. do pomieszczeń krytycznych poza wyznaczonym czasem pracy
  • Monitorowanie temperatury, wilgotności oraz sygnałów nietypowych (awaria klimatyzacji, sygnalizacja ze strony automatyki) w pomieszczeniach krytycznych, jak np. serwerownie, pomieszczenia z urządzeniami przemysłowymi
  • Monitorowanie sesji użytkowników zalogowanych w systemach operacyjnych i bazach danych w celu wykrywania nieautoryzowanego dostępu oraz do wykorzystania przy późniejszej korelacji (np. w bazie danych zostały zmienione dane, w alarmie znajdzie się szczegółowa informacja, kto był w niej zalogowany )
  • Monitorowanie serwerów plików pod kątem nieautoryzowanego dostępu lub modyfikacji danych
  • Zbieranie informacji i nagrań z systemu monitorowania CCTV w celu udokumentowania powstałych zdarzeń oraz ich korelacji w połączeniu z innymi alarmami (np. kradzież paliwa, nieuprawniony dostęp do krytycznych pomieszczeń)

INNOWACYJNA SIŁA SYSTEMU TO SILNIK REGUŁ Z MOŻLIWOŚCIĄ KORELACJI ZDARZEŃ

System SFDS przetwarza informacje na podstawie reguł obsługiwanych przez moduł SFDS Rule Manager w celu wykrywania awarii i anomalii w systemach i urządzeniach klienta. Zbieranie danych przez wyspecjalizowane programy – lokalnych agentów- jest głównym źródłem informacji dla systemu SFDS. System ten przetwarza surowe dane przesyłane przez agentów, a następnie pomaga w ich interpretacji i korelacji. Informacje techniczne, w połączeniu z opisem biznesowym, dostarczają klientowi kompletny zestaw informacji umożliwiających rzetelną analizę incydentów.

Dzięki modularnemu silnikowi korelacji otrzymywany komunikat nie ogranicza się jedynie do prezentowania prostej informacji o wystąpieniu pojedynczego zdarzenia, ale także dostarcza komplet informacji o możliwych przyczynach powstania problemu oraz osobach/urządzeniach związanych z incydentem. Nieprzerwane zbieranie przez agentów systemu SFDS informacji o bieżącym stanie infrastruktury systemów i urządzeń klienta umożliwia powiązanie incydentu ze zdarzeniami, które miały miejsce zarówno tuż przed jego wystąpieniem, jak i zaraz po nim. Na tej podstawie operator systemu dostaje kompleksowy zestaw informacji, który umożliwia podjęcie konkretnych działań w celu naprawy i/lub ograniczenia skutków incydentu.

Przykładowe zdarzenia z systemu CCTVimage

ZDARZENIA Z SYSTEMU CCTV

Obok prezentujemy przykładowe zdarzenia z systemu CCTV, informujące m.in. o braku sygnału z kamery. W powiązanych obiektach alarmu widać wszystkie szczegóły dotyczące zdarzenia, jak na przykład lokalizacja kamery, jej unikalny identyfikator oraz inne informacje.

PRZYDATNE FUNKCJONALNOŚCI SYSTEMU

System posiada możliwość integracji z Active Directory, dzięki czemu można budować role dostępu do aplikacji w oparciu o drzewo domenowe. Dla maksymalizacji efektywności pracy z systemem przez jego użytkowników przewidziana została możliwość wysyłania powiadomień w formie wiadomości e-mail oraz SMS.
SFDS posiada rozbudowany moduł dashboard, na bieżąco informujący o zdarzeniach w infrastrukturze klienta na mapie pozwalającej objąć wzrokiem nawet rozproszone lokalizacje.

Moduł dashboard – rozproszone lokalizacjeimage

ARCHITEKTURA SYSTEMU

Na przykładzie przedsiębiorstwa z branży paliwowej, wykorzystującego urządzenia automatyki przemysłowej, obok prezentowana jest architektura systemu. Schemat opisuje rozproszoną architekturę rozwiązania SFDS, z uwzględnieniem dostępu do urządzeń ze świata IT (moduł ADS) oraz przykładową sieć Honeypot.

SFDS Global Controller to system agregujący informacje oraz je prezentujący poprzez interfejs aplikacji webowej. Poprzez SFDS GC prezentowane są wykryte zdarzenia, wygenerowane w wyniku działania silnika reguł w połączeniu z korelacją informacji zebranych przez inne komponenty systemu SFDS. SFDS GC, będąc centralnym komponentem systemu udostępniającego interfejs dla operatorów, umożliwia śledzenie aktualnego stanu infrastruktury przemysłowej.

SFDS Local Controller to komponent mający na celu gromadzenie danych z lokalnych agentów i ich korelację, a następnie przesyłanie do SFDS Global Controller w celu dalszej prezentacji.

SFDS Local Agents to zbiór agentów rozmieszonych we wrażliwych elementach infrastruktury klienta.

Strefa zaufana SFDS Local Agents to strefa zawierająca zaufane komponenty infrastruktury, np. sterowniki PLC. Agenci działający w tej strefie dostarczają informacje niepodatne na modyfikacje jak np. baza danych, do której dostęp administracyjny ma kilkanaście osób

Strefa  niezaufana SFDS Local Agents to strefa monitorująca rozwiązania firm trzecich lub takich, które są podatne na modyfikacje przez wiele osób.

Architektura systemuimage

Moduł systemu SFDS

Attack Detection System jest to dedykowany system klasy SEM dla IT, który natywnie integruje się z systemem SFDS. Uruchomienie modułu ADS pozwala na wykrywanie autonomicznych zdarzeń w infrastrukturze IT oraz sekwencji zdarzeń świadczących o ataku na organizację. Możliwe jest także wykorzystanie pozyskanych informacji do korelacji ze zdarzeniami wykrytymi w automatyce przemysłowej.

WYKRYWANIE ATAKÓW CYBERNETYCZNYCH

Automatyka przemysłowa często nie może się obyć bez świata IT – każda infrastruktura w pewnym momencie musi skorzystać z bazy danych, switchy czy routerów. Atak na organizację posiadającą automatykę przemysłową może być przeprowadzony przy wykorzystaniu sieci IT (np. poprzez sieć DMZ).

ADS pozwala na wykrywanie ataków ukierunkowanych na urządzenia i systemy IT działające na rzecz automatyki przemysłowej. Fakt zaistnienia ataku jest wykrywany na podstawie analizy generycznych zdarzeń (np. utworzenie użytkownika o lokalnego w systemie Windows, który jest wpięty AD) skorelowanych ze sobą. Dzięki temu istnieje możliwość wykrycia ataku we wczesnym etapie, jeszcze przed ingerencją w urządzenia automatyki.

Generowane alarmy prezentowane są w tej samej konsoli, co alarmy z systemu SFDS, dzięki czemu operator nie musi logować się do oddzielnych systemów aby zobaczyć komplet informacji.

KORELACJA INFORMACJI Z AUTOMATYKI ZE ŚWIATEM IT

    Wykorzystanie modułu ADS umożliwia przy wystąpieniu alarmu z SFDS wykonanie korelacji z:

  • informacją o sesjach z systemów VPN w sposób umożliwiający rejestrację wykonanych połączeń do sieci korporacyjnej
  • listą logowań użytkowników do baz danych
  • listą logowań użytkowników do systemów operacyjnych
  • eskalacją uprawnień użytkownika w systemie operacyjnym lub bazie danych
  • dodaniem i usunięciem użytkownika w krótkim czasie
  • usunięciem dziennika zdarzeń w systemie Windows
  • restartem serwera
  • wysłaniem wiadomości email np. na prywatne konto

WSPIERANE PROTOKOŁY

Moduł ADS posiada wiele sposobów podłączania źródeł logów – możliwe jest nie tylko nasłuchiwanie w celu przetwarzania logów wysyłanych przez elementy infrastruktury Klienta, ale także może pobierać je samodzielnie.

ADS posiada zaimplementowane natywne sposoby odbierania/pobierania logów:

  • Syslog – wspiera wersje zgodne ze standardami opisanymi w RFC, a także mniej standardowe jak np. te wysyłane przez urządzenia Cisco. Istnieje także możliwość wykonania parsowania logów niestandardowych.
  • GELF (Graylog Extended Log Format) – jest to rozszerzona wersja sysloga opracowana przez twórców oprogramowania Graylog. Format ten umożliwia przesłanie większej ilości informacji niż tylko płaskie linijki z logiem.
  • OPSEC LEA – protokół wspierany przez urządzenia Checkpoint.
    Za pośrednictwem tego API istnieje możliwość pobierania zdarzeń z infrastruktury urządzeń Checkpoint, w tym zdarzeń security. W tym obszarze ADS jest stroną pobierającą dane.
  • Bazy danych – wiele z aplikacji przechowuje logi w bazach danych. Logi aplikacji Klienta stanowią źródło ciekawych informacji, dlatego można je także uwzględnić w module SEM. W tym obszarze ADS jest stroną pobierającą dane.

HONEYPOTY – KONTROLOWANE WYKRYWANIE WŁAMAŃ

System ADS posiada moduły związane ze środowiskiem wykrywającym włamania w sposób kontrolowany – tzw. honeypoty. W ofercie dostępne są trzy rodzaje honeypotów:

  • DMZ
  • WiFi
  • SCADA

Komponenty przygotowane są w sposób umożliwiający stosunkowo łatwe przełamanie zabezpieczeń, lecz zabezpieczonych na tyle aby wykryte ataki pochodziły od osób posiadających specjalistyczną wiedzę. Takie założenie pozwoli wyeliminować osoby atakujące dla zabawy od osób, których działania mogą być ukierunkowane na konkretną organizację (atak profilowany).

Sieć honeypotów jest oddzielana od sieci produkcyjnej klienta w celu uniemożliwienia przeniknięcia do niej. Architektura honeypotów została przygotowana tak, aby atakujący mógł uzyskać dostęp do sieci (honeypot Wifi lub DMZ) i odnieść wrażenie przedostania się do sieci automatyki przemysłowej (moduł SCADA).

Każdy z honeypotów ma zadanie uwiarygodnić autentyczność bycia siecią właściwą klienta poprzez emulację prawdziwego ruchu oraz informacji zawartych na samych urządzeniach. Atakujący po włamaniu zazwyczaj przeszukuje zdobyte urządzenia/maszyny pod kątem cennych informacji, np. dokumentacji sieci czy infrastruktury.

W trakcie wdrożenia honeypotów u klienta wspólnie z nim przygotowywane są dokumenty mające nakierować atakującego na kontakt fizyczny z infrastrukturą przedsiębiorstwa. Przykładowym zdarzeniem może być dokumentacja zawierająca informację o skrzynce serwisowej znajdującej się przy szlabanie, z której jest dostęp do sieci produkcyjnej klienta – jeśli zostało wykryte włamanie na hosta zawierającego takie informacje, należy spodziewać się pojawienia atakującego fizycznie w przedstawionym miejscu.

Ponadto honeypoty są dostrajane do fizycznych warunków klienta – np. siła sygnału Wifi jest obcinana to poziomu, który będzie wymagał podejścia bliższego do budynków, gdzie jest monitoring CCTV. Takie działanie umożliwi zarejestrowanie atakującego na nagraniu z kamery.

JAKIE KORZYŚCI WYNIKAJĄ Z WDROŻENIA SYSTEMU SFDS?

  • bieżące monitorowanie stanu infrastruktury przemysłowej w organizacji pod kątem awarii mogących destabilizować pracę firmy
  • monitorowanie systemów klienta i urządzeń automatyki przemysłowej w celu wykrywania działań nieautoryzowanych przez pracowników i/lub osoby trzecie
  • jeden interfejs dostarczający wyczerpujące informacje o aktualnej i archiwalnej kondycji infrastruktury przemysłowej, przekładający się na zwiększenie wydajności pracy
  • minimalizacja kosztów skutków incydentów poprzez zbieranie maksymalnej ilości informacji towarzyszących zdarzeniom
  • spadek kosztów związanych z utrzymaniem wysoko wykwalifikowanych specjalistów
Zapytaj o szczegóły