Phát hiện xâm nhập mạng trong hệ thống SCADA

Hệ Thống SCADA điều khiển và giám sát quy trình sản xuất cà phê (Tháng BảY 2019).

$config[ads_text] not found
Anonim

Phát hiện xâm nhập mạng trong hệ thống SCADA

Làm thế nào để nhận ra sự xâm nhập?

Phòng chống xâm nhập Scada

Một trong những tiên đề của an ninh mạng là mặc dù nó là cực kỳ quan trọng để cố gắng ngăn chặn xâm nhập vào hệ thống và cơ sở dữ liệu của một người, nó là điều cần thiết mà xâm nhập được phát hiện nếu chúng xảy ra.

Kẻ xâm nhập kiểm soát máy tính trạm biến áp có thể sửa đổi mã máy tính hoặc chèn chương trình mới. Phần mềm mới có thể được lập trình để thu thập dữ liệu một cách lặng lẽ ( có thể bao gồm mật khẩu đăng nhập của người dùng hợp pháp ) và gửi dữ liệu đến kẻ xâm nhập sau này.

Nó có thể được lập trình để vận hành các thiết bị hệ thống điện tại một số thời điểm trong tương lai hoặc khi công nhận một sự kiện trong tương lai. Nó có thể thiết lập một cơ chế ( đôi khi được gọi là một '' backdoor '' ) mà sẽ cho phép kẻ xâm nhập dễ dàng truy cập vào một thời điểm trong tương lai .

Nếu không có thiệt hại rõ ràng đã được thực hiện tại thời điểm xâm nhập, nó có thể rất khó phát hiện rằng phần mềm đã được sửa đổi.

Ví dụ: nếu mục tiêu của sự xâm nhập là truy cập trái phép vào dữ liệu tiện ích, thực tế là một bên khác đang đọc dữ liệu bí mật có thể không bao giờ được chú ý. Ngay cả khi sự xâm nhập gây ra thiệt hại ( ví dụ, cố ý mở một bộ ngắt mạch trên một mạch quan trọng ), có thể không rõ ràng rằng hoạt động sai là do vi phạm an toàn chứ không phải một số lỗi khác ( ví dụ:, lỗi chuyển tiếp hoặc lỗi phần mềm ).

Vì những lý do này, điều quan trọng là phải cố gắng để phát hiện xâm nhập khi chúng xảy ra . Để kết thúc này, một số nhà sản xuất hệ thống bảo mật CNTT đã phát triển các hệ thống phát hiện xâm nhập (IDS).

Các hệ thống này được thiết kế để nhận ra sự xâm nhập dựa trên nhiều yếu tố, bao gồm chủ yếu:

  1. Truyền thông đã cố gắng từ các địa chỉ trái phép hoặc bất thường và
  2. Một mô hình hoạt động bất thường.

Chúng tạo ra các bản ghi các sự kiện đáng ngờ . Các chủ sở hữu của các hệ thống sau đó phải kiểm tra các bản ghi thủ công và xác định các đại diện cho sự xâm nhập thực sự và đó là báo động giả.

Ảnh của Cryptango - đảm bảo truyền thông công nghiệp

Thật không may, không có định nghĩa dễ dàng về loại hoạt động nào nên được phân loại là không bình thường và được điều tra thêm.

Để làm cho tình hình trở nên khó khăn hơn, tin tặc đã học cách ngụy trang đầu dò mạng của họ để họ không khơi dậy sự nghi ngờ.

Ngoài ra, cần phải nhận ra rằng có quá nhiều nguy cơ có quá nhiều sự kiện bị gắn cờ là đáng ngờ vì có quá ít.

Người dùng sẽ sớm tìm hiểu để bỏ qua đầu ra của một IDS thông báo quá nhiều sự kiện giả mạo.

(Tuy nhiên, có các tổ chức bên ngoài cung cấp dịch vụ nghiên cứu đầu ra của IDS và báo cáo kết quả cho chủ sở hữu. Họ cũng sẽ giúp chủ sở hữu hệ thống điều chỉnh các thông số của IDS và kết hợp các tính năng bảo vệ mạnh mẽ hơn trong mạng để được bảo vệ .)

Làm cho vấn đề trở nên khó khăn hơn, hầu hết IDS đã được phát triển cho các mạng công ty với các dịch vụ internet có thể truy cập công cộng . Cần nghiên cứu thêm để điều tra những gì sẽ tạo thành hoạt động bất thường trong môi trường SCADA = SA.

Nói chung, SA và các hệ thống điều khiển khác không có chức năng ghi nhật ký để xác định ai đang cố truy cập vào các hệ thống này. Những nỗ lực đang được tiến hành trong lĩnh vực thương mại và với các phòng thí nghiệm quốc gia để phát triển khả năng phát hiện xâm nhập cho các hệ thống điều khiển.

Tóm lược

Tóm lại, nghệ thuật phát hiện xâm nhập vào hệ thống kiểm soát và chẩn đoán trạm biến áp vẫn còn trong giai đoạn trứng nước. Cho đến khi các công cụ tự động đáng tin cậy được phát triển, các chủ sở hữu hệ thống sẽ phải nỗ lực lớn trong hai lĩnh vực:

  1. Ngăn chặn sự xâm nhập xảy ra và
  2. Phục hồi từ chúng khi chúng xảy ra.

Tài nguyên: Kỹ thuật Trạm biến áp điện - JD McDonald (Lấy từ Amazon)

Hướng dẫn & bài viết liên quan đến điện

TÌM KIẾM: Bài viết, phần mềm & hướng dẫn