Proces

Získajú sa log súbory operačného systému a uskutočnených operácií v súvislosti s týmito komponentmi, ktoré sa následne analyzujú na základe známych a široko dostupných návodov. Analýza incidentu pri akomkoľvek zariadení obsahuje päť základných krokov (obr.).

Postup analýzy incidentu

Obr. Postup analýzy incidentu v systémoch SCADA

Ide o nasledovné kroky:

1. Prieskum: V tejto fáze musia vyšetrovatelia porozumieť všetkým potenciálnym zdrojom v systéme SCADA, v ktorých sa môže nachádzať pôvod útoku. Navyše, do úvahy je potrebné brať každý systém súvisiaci so skúmaným systémom SCADA. Týka sa to predovšetkým prístupových terminálov, záznamových serverov a smerovačov.

2. Identifikácia dôkazov: Začiatkom tejto fázy je identifikácia typu skúmaného systému. Hneď, ako je toto známe, je ďalším krokom identifikácia použitého operačného systému, výrobcov a konkrétnych modelov PLC systémov, koncepcie siete a implementácie. Procesu identifikácie môžu asistovať dokumentácia výrobcov, špecifikácia koncepcie, sieťové diagramy a zariadenia rozhrania človek-stroj.

3. Zhromaždenie dôkazov: Táto fáza zahŕňa zber dát zo všetkých systémov s pamäťovými komponentmi identifikovanými v kroku 2. Pod drobnohľad by sa mal dostať aj prenos dát v sieti medzi jednotlivými komponentmi, ako napr. medzi riadiacou a spravovacou sieťou a medzi systémom SCADA a internetom.

4. Analýza dôkazov: Počas analýzy sa v zozbieraných dátach identifikujú dôkazy. Na základe získaných dát sa vytvorí časový plán aktivít. Hlavné kategórie analýzy incidentu je možné definovať aplikovaním myšlienky abstraktných vrstiev.

  • Analýza fyzického média: Analýza fyzického média prekladá obsah štruktúry úložnej pamäte na štandardné rozhranie (napr. IDE alebo SCSI). Ide napr. pevné disky, karty compact flash a pamäťové čipy.
  • Analýza správy médií: V tejto analýze sú zdroje dôkazov organizované na základe istých kritérií súvisiacich s dátovou štruktúrou. Medzi príklady tejto aktivity patrí rozdelenie pevného disku na oddiely, usporiadanie niekoľkých diskov do jedného pamäťového celku a integrácia niekoľkých pamäťových čipov do jedného pamäťového priestoru.
  • Analýza súborového systému: Analýza vrstvy súborového systému, ktorý prekladá byty a sektory oddielu do adresárov  a súborov, zahŕňa prezeranie adresárov a obsahu súborov s cieľom obnovenia vymazaných súborov.
  • Aplikačná analýza: Súčasťou tejto analýzy je prezeranie záznamových a konfiguračných súborov, obrázkov a dokumentov. Vstupné dáta prichádzajú typicky zo súborového systému, ale aplikácie ako databázy môžu čítať priamo z disku.
  • Analýza siete: V tejto vrstve sa vykonáva správa sieťových paketov a IDS poplachov. Patrí sem aj analýza záznamov sieťových servisov, firewallu alebo webového servera.
  • Analýza pamäte: Analýza obsahuje identifikáciu kódu, ktorý vykonával proces a extrakciu citlivých dát uložených do tohto kódu.

5. Dokumentácia procesu a výsledkov: V každej analýze procesu je nevyhnutnosťou udržiavať komplexnú dokumentáciu. Musia sa uchovávať detailné záznamy o čase, dátume, zodpovednej osobe a ďalšie podstatné informácie. Týmto spôsobom sa napomôže tomu, že počas analýzy nebude s dôkazmi nikto manipulovať  a v prípade budúcich incidentov bude táto dokumentácia základným informačným zdrojom.

Organizačné štruktúry a procedúry

Na zrealizovanie hore spomenutých krokov v rámci organizácie je potrebné mať zavedenú príslušnú štruktúru a procesy s dôrazom na dobrú odozvu na incident a následnú analýzu a prešetrenie. Tradične sa program analýzy incidentu spúšťa po dokončení po zmiernení dôsledkov incidentu a obnove systémov. Nastavenie funkcie odozvy na incident nie je triviálne, existuje však mnoho zdrojov popisujúcich základné funkcie a organizačné úlohy v súvislosti s ich zodpovednosťami.

Operácie odozvy na incident sú dôležité, pretože ak sú zle navrhnuté, môžu brzdiť úsilie pri následnej analýze incidentu a takisto môže dôjsť k poškodeniu alebo strate dôležitých dôkazov. Každopádne, dobre naplánovaná funkcia analýzy v rámci procedúry odozvy na incident môže veľmi dobre fungovať vrátane odovzdania dát pre účely prípadného trestného stíhania.

Hlavnými komponentmi odozvy na kybernetický incident so zabudovaným vyšetrovacím komponentom sú nasledovné:

  1. Detekcia
  2. Iniciovanie odozvy
  3. Vykonanie odozvy na incident/Zhromažďovanie dôkazov
  4. Zotavenie sa z incidentu/Analýza dôkazov
  5. Uzavretie prípadu incidentu/Odovzdanie hlásenia o procese

Z dôvodu jedinečnosti dát a prepojení medzi informačnými zdrojmi v oblasti riadiacich systémov by mal analýzu zozbieraných dôkazov vykonať tím zložený z odborníkov dôkladne sa vyznajúcich  v systéme.

Pokračovanie v budúcom čísle.

www.enisa.europa.eu