A.R.I.C. Network Defense System
Cyberbezpieczeństwo dla przemysłu.
Dynacon A.R.I.C. Network Defense System to platforma bezpieczeństwa cybernetycznego, która zapewnia organizacjom możliwość pozyskiwania, przetwarzania i przechowywania różnorodnych źródeł danych bezpieczeństwa na dużą skalę w celu wykrywania anomalii w środowiskach przemysłowych i umożliwienia organizacjom szybkiego reagowania na nie.
Dynacon w roku 2016, jako pierwsza firma w Kraju, wprowadziła na rynek system cyberbezpieczeństwa przemysłowego.
W roku 2018, jako pierwsza firma w Polsce, Dynacon, wdrożył pierwsze systemy cyberbezpieczeństwa w infrastrukturze przemysłowej.
Jeden z modułów (IDCS) całej platformy jest dystrybuowany i rekomendowany między innymi przez:
| Nazwa Firmy | Zakres | Broszura PDF |
Kontakt do osoby odpowiedzialnej |
| Schneider Electric |
Pełny system cyberbezpieczeństwa wewnątrz automatyki przemysłowej zapewniając pełne zarządzanie cyberbezpieczeństwem przemysłowym. System jest kompatybilny z rozwiązaniami Schneider Electric
|
 |
Piotr Jaskólski; piotr.jaskolski@se.com |
| SIEMENS |
Rozwiązanie instalowane na urządzeniach aktywnych sieci firmy SIEMENS, powiększające możliwości urządzeń o Sondę bezpieczeństwa, kolekcjonowanie danych, detekcję, analitykę, funkcje reakcyjne Rozwiązanie jest kompatybilne z systemami automatyki przemysłowej firmy SIEMENS |
 |
Piotr Pietrucha; piotr.pietrucha@siemens.com |
Dynacon A.R.I.C. NDS to platforma bezpieczeństwa cybernetycznego, która zapewnia organizacjom możliwość pozyskiwania, przetwarzania i przechowywania różnorodnych źródeł danych bezpieczeństwa na dużą skalę w celu wykrywania anomalii w środowiskach przemysłowych i umożliwienia organizacjom szybkiego reagowania na nie.
Jak pokazuje powyższy diagram, platforma A.R.I.C. NDS zapewnia 4 kluczowe możliwości:
1. 1. Security Data Lake / Vault - Platforma zapewnia efektywny sposób przechowywania wzbogaconych danych telemetrycznych przez długi czas. Ten zbiór danych jest wymagany dla inżynierów i analityków umożliwiając analizę i bezpieczeństwa i zapewnia mechanizm wyszukiwania i zapytań operacyjnych.
2. Pluggable Framework - Platforma zapewnia nie tylko bogaty zestaw parserów dla popularnych źródeł danych (pcap, netflow, bro, snort, fireye, sourcefire), ale także zapewnia podłączalną strukturę do dodawania nowych niestandardowych parserów dla nowych źródeł danych, dodawania nowych usług wzbogacania dostarczać więcej informacji kontekstowych do nieprzetworzonych danych przesyłanych strumieniowo, podłączane rozszerzenia dla źródeł informacji o zagrożeniach oraz możliwość dostosowywania operacyjnych pulpitów bezpieczeństwa.
3. Aplikacja zabezpieczająca - A.R.I.C. NDS zapewnia standardowe funkcje podobne do SIEM (ostrzeganie, środowisko wywiadu dotyczącego zagrożeń, agentów do pozyskiwania źródeł danych), ale także narzędzia do odtwarzania pakietów, przechowywania dowodów i usługi namierzania, powszechnie używane przez analityków SOC.
4. Platforma analizy zagrożeń - firma A.R.I.C. NDS zapewni techniki obronne nowej generacji, które polegają na wykorzystaniu klas algorytmów wykrywania anomalii i uczenia maszynowego, które można stosować w czasie rzeczywistym podczas przesyłania strumieniowego zdarzeń.
A.R.I.C. NDS integruje różne technologie open source do dużych zbiorów danych, aby zaoferować scentralizowane narzędzie do monitorowania i analizy bezpieczeństwa. A.R.I.C. NDS zapewnia możliwości agregacji dzienników, pełnego indeksowania przechwytywanych pakietów, przechowywania, zaawansowanej analizy behawioralnej i wzbogacania danych, jednocześnie stosując najbardziej aktualne informacje o zagrożeniach do telemetrii bezpieczeństwa i to w ramach jednej platformy.
A.R.I.C. NDS można podzielić na 4 obszary:
1. Mechanizm do przechwytywania, przechowywania i normalizowania wszelkiego rodzaju danych telemetrycznych z bardzo dużą szybkością. Ponieważ dane telemetryczne są stale generowane, wymaga to zastosowanie metody pozyskiwania danych z dużą prędkością i wysyłania ich do rozproszonych jednostek przetwarzających w celu zaawansowanych obliczeń i analiz.
2. Przetwarzanie w czasie rzeczywistym i stosowanie wzbogacania danych, o takie informacje o zagrożeniach jak, geolokalizacja, lokalizacja logiczna w magistrali, lokalizacja logiczna poza magistralą (np. identyfikacja źródeł danych urządzeń Modbus RTU), informacje DNS, informacje diagnostyczne Profinet, itp, do gromadzonych danych telemetrycznych. Natychmiastowe zastosowanie tych informacji do przychodzącej telemetrii zapewnia kontekst i świadomość sytuacyjną, a także informacje „kto” i „gdzie”, które są kluczowe dla dochodzenia.
3. Efektywne przechowywanie informacji w oparciu o sposób wykorzystania informacji:
3.1. Dzienniki i dane telemetryczne są przechowywane w taki sposób, że można je wydajnie wydobywać i analizować pod kątem zwięzłego wglądu w bezpieczeństwo
3.2. Możliwość wyodrębniania i rekonstrukcji pełnych pakietów pomaga analitykowi odpowiedzieć na pytania, takie jak kto był prawdziwym napastnikiem, jakie dane wyciekły i gdzie te dane zostały wysłane
3.3. Długoterminowe przechowywanie nie tylko zwiększa widoczność w czasie, ale także umożliwia zaawansowane analizy, takie jak techniki uczenia maszynowego, które można wykorzystać do tworzenia modeli na podstawie informacji. Przychodzące dane można następnie oceniać względem tych przechowywanych modeli w celu zaawansowanego wykrywania anomalii.
4. Interfejs, który zapewnia analitykowi bezpieczeństwa scentralizowany widok danych i alertów przekazywanych przez system. Interfejs firmy A.R.I.C. NDS przedstawia podsumowania alertów z informacjami o zagrożeniach wraz ze wzbogaconymi danymi specyficznymi dla tego alertu na jednej stronie. Ponadto analitykowi przedstawiane są zaawansowane możliwości wyszukiwania i narzędzia do wyodrębniania pełnych pakietów w celu zbadania bez konieczności korzystania z dodatkowych narzędzi.
Duże zbiory danych w OT
Big data jest naturalnym rozwiązaniem dla potężnych analiz bezpieczeństwa. Platforma A.R.I.C. NDS integruje szereg elementów, aby zapewnić skalowalną platformę do analizy bezpieczeństwa, obejmującą takie funkcje, jak przechwytywanie pełnego pakietu, przetwarzanie strumienia, przetwarzanie wsadowe, wyszukiwanie w czasie rzeczywistym i agregacja telemetryczna. W systemie A.R.I.C. NDS jednym z celów jest powiązanie dużych zbiorów danych z analizą bezpieczeństwa i dążenie do rozszerzalnej scentralizowanej platformy, pracującej w architekturze rozproszonej, aby skutecznie umożliwić szybkie wykrywanie i szybką reakcję na zaawansowane zagrożenia bezpieczeństwa przemysłowego.
Poniżej przedstawiono główny proces przepływu i analizy danych
Krok 1 - Bufor zdarzeń danych telemetrycznych
Wszystkie nieprzetworzone (surowe dane) zdarzenia z każdego źródła danych telemetrii bezpieczeństwa, przechwycone przez Dynacon IDC lub niestandardową sondę A.R.I.C. NDS zostaną przeniesione do własnego obszaru danych w kontekstowej bazie danych. Nadejście zdarzenia telemetrycznego do bufora pozyskiwania, oznacza początek rozpoczęcia przetwarzania danych w A.R.I.C. NDS.
Krok 2 - Przetwarzanie (analiza, normalizacja, walidacja i oznaczanie)
Każde nieprzetworzone zdarzenie zostanie przeanalizowane i znormalizowane do standardowej płaskiej struktury JSON. Każde zdarzenie zostanie ujednolicone w co najmniej 7-krotkowej strukturze JSON. Dzieje się tak, aby silnik korelacji topologii dalej w dół mógł korelować komunikaty z różnych topologii przez te pola. Standardowe nazwy pól są następujące:
mac_src_add: źródłowy adres warstwy 2
mac_dst_add: docelowy adres warstwy 2
ip_src_addr: źródłowy adres IP warstwy 3
ip_dst_addr: docelowy adres IP warstwy 3
ip_src_port: port źródłowy warstwy 4
ip_dst_port: port docelowy warstwy 4
protokół: protokół warstwy 4
sygnatura czasowa (epoch)
original_string: przyjazna dla człowieka reprezentacja ciągu wiadomości
Na tym etapie można również zweryfikować nieprzetworzone zdarzenie i oznaczyć je dodatkowymi metadanymi, które będą używane w dalszym procesie
Krok 3 - Wzbogać
Po przeanalizowaniu i znormalizowaniu surowych danych dla zdarzenia telemetrycznego bezpieczeństwa, następnym krokiem jest wzbogacenie różnych elementów znormalizowanych danych. Przykładami wzbogacenia są GEO, gdzie zewnętrzny adres IP jest wzbogacony o informacje GeoIP (współrzędne geograficzne (szerokość / długość geograficzna + miasto / region / kraj)) lub wzbogacenie HOST, gdzie adres IP zostaje wzbogacony o dane hosta (np .: adres IP odpowiada hostowi X, który jest częścią farma serwerów dla aplikacji DCS).
Krok 4 - Etykieta
Po wzbogaceniu, zestaw danych zdarzenia telemetrycznego, przechodzi przez proces etykietowania. Działania podejmowane w tej fazie obejmują sprawdzanie odniesień do informacji o zagrożeniach, gdzie elementy zdarzenia telemetrycznego mogą być używane do wyszukiwania informacji o źródłach danych o zagrożeniach, takich jak kanały Stix / Taxii (The industry standards for Cyber Threat Intelligence) lub inne usługi agregujące dane o zagrożeniach. Te usługi wywiadowcze dotyczące zagrożeń będą następnie „oznaczać” zdarzenie telemetryczne metadanymi informacji o zagrożeniach, gdy nastąpi ich wykrycie.
Inne typy usług obejmują wykonywanie / ocenianie modeli analitycznych przy użyciu modelu jako wzorca usługi z napływającymi zdarzeniami telemetrycznymi.
Krok 5 – Alarmuj i przechowuj
W tej fazie pewne zdarzenia telemetryczne mogą inicjować alarmy. Te typy zdarzeń telemetrycznych są następnie indeksowane w magazynie indeksu alertów. Zdarzenie telemetryczne może wywołać alert wywołany przez szereg czynników, w tym:
1. Typ zdarzenia - samo nieprzetworzone zdarzenie telemetryczne jest alertem.
2. Identyfikacja zagrożenia - jeśli system wykryje zagrożenie na podstawie danych z telemetrii, zostanie ono oznaczone jako alert.
Również na tym etapie wszystkie wzbogacone i oznaczone etykietami dane zdarzeń telemetrycznych są indeksowane i utrwalane w rozproszonej bazie danych w celu długoterminowego przechowywania. Przechowywanie tych zdarzeń pozwala na stworzenie magazynu danych bezpieczeństwa w przedsiębiorstwie, który umożliwia przeprowadzanie dalszych analiz.
Krok 6 - Portal interfejsu użytkownika oraz usługi danych i integracji
Kroki od 1 do 6 zapewniają mechanizm pozyskiwania, analizowania, normalizowania, wzbogacania, etykietowania, indeksowania i przechowywania wszystkich danych telemetrycznych dotyczących bezpieczeństwa z różnych zestawów źródeł danych w przedsiębiorstwie w jednym magazynie danych bezpieczeństwa. Dzięki temu platforma A.R.I.C. NDS może zapewnić zestaw usług różnym rolom w zespole cyberbezpieczeństwa, aby mogli wydajniej wykonywać swoje zadania. Niektóre z tych usług obejmują:
1. Wyszukiwanie w czasie rzeczywistym i interaktywne pulpity nawigacyjne / portale - pojedynczy panel dla analityków operacji bezpieczeństwa, który może wyświetlać alerty i korelować alerty ze szczegółowymi zdarzeniami telemetrycznymi, które spowodowały alert.
2. Usługi modelowania danych / inżynierii funkcji - ponieważ platforma A.R.I.C. NDS normalizuje i wzbogaca dane oraz przechowuje je w magazynie danych bezpieczeństwa w ustandaryzowanych lokalizacjach, platforma może udostępniać różne modele analityczne. Modele te będą miały specyfikacje wymaganej macierzy cech, a zatem proces inżynierii cech, który jest najbardziej złożonym aspektem analizy, zostaje znacznie uproszczony. Usługi modelowania danych wymagane dla macierzy cech będą dostarczane przez narzędzia takie jak Jupyter, IPython i Zeppelin.
Warstwy integracji i rozszerzalności - Jedną z najpotężniejszych funkcji platformy A.R.I.C. NDS jest możliwość dostosowania jej do własnych potrzeb / wymagań, co obejmuje:
· Przetwarzanie nowych źródeł danych
· Dodawanie nowych parserów
· Dodanie nowych usług wzbogacania
· Dodawanie nowych źródeł danych dotyczących źródeł cyber zagrożeń
· Budowanie, wdrażanie i wykonywanie nowych modeli analitycznych
· Integracja z silnikami przepływu pracy klasy enterprise
· Dostosowywanie pulpitów i portali zabezpieczeń
Krok 7a - Szybkie pobieranie danych telemetrycznych
W przypadku danych telemetrycznych o dużej objętości, takich jak przechwytywanie pakietów (PCAP), Netflow / YAF i Bro / DPI, dedykowane sondy A.R.I.C. NDS odbywa się bezpośrednio z sond TAP lub interfejsów sieciowych oraz dedykowanych kolektorów IDCS.
Krok 7b - Pobieranie danych telemetrycznych
W przypadku większości źródeł danych telemetrii bezpieczeństwa, z plików, za pomocą, syslog, REST, http jest realizowane za pomocą dedykowanego modułu A.R.I.C. NDS.