Präventive Maßnahmen zur reaktiven Incident-Response im industriellen Umfeld, Marius Kilian Semerau

Marius Kilian Semerau

Kurzfassung

Angriffe auf IT-Infrastrukturen finden immer häufiger statt. Aber auch im industriellen Umfeld nimmt die Anzahl der Angriffe zu. Dabei werden Produktionsanlagen von Angreifern direkt ins Visier genommen. Ziel der Angreifer ist es dabei die Produktion zu ver- oder behindern. Auf Grund dieser Problematik sind auch einige Wandlungen in der entsprechenden Gesetzeslage im Gange. Diese verpflichten Unternehmen, insbesondere kritische Infrastrukturen, dazu, mit IDS und SIEM Lösungen ihre Systeme zu überwachen. Ziel ist es eine Open-Source Lösung für eine solche Überwachung an Industrieanlagen aufzubauen und somit die Machbarkeit auf industrieller Ebene zu prüfen. Bei vermehrten Angriffen kommt es auch vermehrt zu Forensik und Incident-Response Fällen in der Industrie. Im Zuge dessen wird der Nutzen des Open-Source IDS für solche Fälle geprüft und beschrieben.

Schlagwörter: Intrusion Detection, Operational Technologie, Forensik, DFIR, Wazuh, Zeek, Suricata, Snort, Modbus, Profinet

Abstract

Attacks on IT infrastructures are becoming more and more frequent. But the number of attacks in the industrial environment is also increasing. In this cases attackers are targeting productionlines directly. Their goal is to prevent the productionlines from working normally or stop them. Due to this problematic issue, some changes in the corresponding legislation are also underway. This legislations obligate companies, especially critical infrastructures, to controll their systems with IDS or SIEM solutions. Our Target is to create a open-source solution for monitoring industrial plants. With this the feasibility of such systems in industrial environments should be examined. With increasing number of attacks, the number of forensic investigations and incident response cases in the industry increases also. In the course of this, the usefulness of the open-source IDS for such cases is examined and described.

Keywords: Intrusion Detection, Operational Technologie, Forensic, DFIR,Wazuh, Zeek, Suricata, Snort, Modbus, Profinet