Ethercat tabanlı içme suyu sistemi üzerinde MITRE ICS saldırı simülasyonu ve tespiti

Abstract

Endüstriyel kontrol sistemleri, içerdiği teknoloji ve protokol çeşitliliğinden dolayı karmaşık sistemlerdir. Ancak kritik sistemler olduğundan olası herhangi bir saldırı durumunda yıkım etkisi de aynı oranda büyük olmaktadır. Bu yüzden kritik alt yapıların siber saldırılara karşı korunması ve sürekli izlenebilirliği önemli ve gereklidir. EKS çalışma yapısı olan OT, standart bilişim alt yapısından farklı performans ve güvenlik gereksinimlerine sahiptir. EKS sistemler, operasyonel süreçlerin gerçekleştiği saha cihazları ve bu cihazların yönetimini sağlayan kontrol sistemlerinden oluşmaktadır. Saldırganlar kontrol katmanından erişim sağladıktan sonra bütün sürece dahil olmaktadırlar. Bu durumun sonucu olarak kritik alt yapı sistemleri siber saldırılara karşı tehdit altındadır. Dolayısıyla sürekli izleme ve güvenlik denetimleri, kritik alt yapılar için de gerekli bir süreçtir. Bu çalışmada, kritik alt yapılardan biri olan su yönetim prosesi üzerinde siber saldırı ve tespit sistemine yönelik çalışmalar yapılmıştır. EtherCAT tabanlı çalışan su yönetim prosesi üzerinde saha cihazlarına yönelik toplamda 6 farklı saldırı vektörü MITRE ICS ATT&CK matrisindeki tekniklere göre geliştirilmiş ve bu saldırılar ağ trafiğinden elde edilen veriler ayrıştırılarak SVM algoritmasıyla tespit edilmiştir. Aynı proses üzerinde mühendislik bilgisayarı aracılığıyla kontrol merkezindeki SCADA sistemine yapılan saldırılarda ise MITRE ICS ATT&CK matrisinde bulunan 7 farklı teknik seçilerek saldırı senaryoları oluşturulmuştur. SCADA sistemine yönelik saldırı tespit sistemi için Wazuh HIDS kullanılmıştır. Her iki saldırının görselleştirilmesi ELK üzerinde yapılmıştır. Anahtar kelimeler: Endüstriyel kontrol sistemleri, saldırı tespit sistemi, MITRE ICS ATT&CK Matrisi

Industrial control systems are complex systems due to the technology and protocol diversity they contain. However, since there are critical systems, the destruction effect is equally great in any possible attack. Therefore, the protection and traceability of critical infrastructures against cyber attacks are important and necessary. OT, which has an EKS operating structure, has different performance and security requirements than the standard IT infrastructure. EKS systems consist of field devices where operational processes take place and control systems that provide management of these devices. Attackers are involved in the whole process after gaining access from the control layer. As a result, critical infrastructure systems are threatened by cyber attacks. Therefore, continuous monitoring and security audits are also a necessary process for critical infrastructures. In this study, studies on cyber attack and detection system were carried out on water management process, which is one of the critical infrastructures. On the EtherCAT based water management process, 6 different attack vectors for field devices were developed in accordance with the techniques in the MITRE ICS ATT&CK matrix, and these attacks were separated by data obtained from network traffic and determined by the SVM algorithm. Attack scenarios were created by selecting 7 different techniques in the MITRE ICS ATT&CK matrix for attacks on the SCADA system in the control center via the engineering computer on the same process. Wazuh HIDS was used for the intrusion detection system for the SCADA system. Visualization of both attacks was done on ELK. Keywords: Industrial control systems, Intrusion detection system, MITRE ICS ATT&CK Matrix