Forensic Readiness in ICS/SCADA Manufacturing Networks, Bahador Boroumand

Bahador Boroumand

Kurzfassung

Im Falle eines IT-Sicherheitsvorfalls in kritischen Infrastrukturen, insbesondere in den Kernbereichen von ICS/SCADA, d. h. Produktionsnetzwerken, ist die forensische Bereitschaft
(auf englisch: Forensic Readiness) bezüglich industrieller Steuerungen und anderen vernetzten Komponenten von großer Bedeutung. Ein umfassender Plan zur Identifizierung und Bewahrung bestimmter Informationen innerhalb einer Infrastruktur kann die allgemeine Sicherheit sowie die Möglichkeiten zur Wiederherstellung von Diensten im Falle von Cyber-Angriffen optimieren. Dem Erreichen eines angemessenen Niveaus an forensischer Bereitschaft in Industrienetzwerken stehen jedoch viele Komplikationen gegenüber, da unterschiedliche Systeme und Technologien verschiedene Methoden erfordern, um die Eigenschaften jedes spezifischen Netzwerks und seiner Komponenten anzusprechen. Zu diesem Zweck gibt es viele Softwarelösungen, die dazu dienen können, eine transparente Gesamtschau über wichtige Informationen innerhalb eines Industrienetzwerks darzustellen. Diese Programme werden häufig unter SIEM (aus englisch: Security Information and Event Management) kategorisiert und bieten Überwachungsfunktionen sowie Identifizierung von Endpunkten, in den bedeutsame Daten abgelegt und später als digitale Beweise verwendet werden können.

Schlagwörter: ICS, SCADA, Forensic, SIEM

Abstract

In the event of an IT security incident in critical infrastructure, especially in the core areas of Industrial Control Systems i.e. manufacturing networks, forensic readiness related
to industrial controllers and other networked components is of major importance. Having a comprehensive plan for identification and preservation of certain information within an infrastructure can enhance the general security as well as service restoration possibilities in case of cyber attacks. However, achieving a reasonable level of forensic readiness in industrial networks faces many complications as di erent systems and technologies require versatile methods to bespeak the properties of each specific network and its components. Fortunately, there are many software solutions that could help illustrating a transparent overview of important information within industrial networks. This software are often categorized under Security Information and Event Management, that will provide monitoring capabilities as well as identification of endpoints inside infrastructure where important data are stored and could later be used as digital evidence.

Keywords: ICS, SCADA, Forensic, SIEM