Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-8551
Main Title: Information security for industrial applications
Subtitle: detection of anomalous values in industrial automation technology infrastructures
Translated Title: Informationssicherheit in industriellen Anwendungen
Translated Subtitle: Detektion anomaler Werte in industriellen Automatisierungsinfrastrukturen
Author(s): Horn, Christian
Advisor(s): Krüger, Jörg
Seifert, Jean-Pierre
Referee(s): Krüger, Jörg
Seifert, Jean-Pierre
Meier, Michael
Granting Institution: Technische Universität Berlin
Type: Doctoral Thesis
Language Code: en
Abstract: The society that we are living in today makes essential demands on the security of supply for people, especially in large urban metropolitan areas. At the same time, attempts are being made to meet these requirements with the help of technological developments, particularly in automation technology. The implementation of information and communication systems for smart control of machines and plants in domains such as critical infrastructures, goods production, transport or home is making increasing progress. This cyber infrastructure as a secondary infrastructure has reached a high degree of complexity and automation and the dependence of primary infrastructures on it is constantly growing. Securing these infrastructures, especially in security-critical areas, is one of the central challenges for operators. Attacks on these cyber infrastructures in security-critical areas such as Stuxnet or Duqu demonstrated the fundamental vulnerability of even encapsulated systems. The increasing connection to the Internet, for example via wireless technologies at the field level, further increases the vulnerability of these systems. This applies not only to the individual layers of the IT architecture and the control technology installed, but also to organizational structures and work processes as well as the security technology, which is intended to physically protect systems from unauthorized access. This increasing threat situation to systems due to increasing expansion of attack surfaces requires new methods for detection of attacks in order to be able to react efficiently and in a controlled manner. This work analyses the current state of basic principles, threats, attack models and countermeasures for automation infrastructures. It is revealed that measures are particularly necessary to detect anomalies and that related work has not been developed with practical application context requirements in mind. Therefore, the need of operators to develop a methodology to derive a detection concept was addressed. This methodology is developed on basis of requirements and data from eleven real use cases, four critical infrastructures, six production companies and one academic example. The resulting generalized concept can be used as a template in conjunction with the methodology to generate application-specific concepts for new use cases much faster. A prototypical implementation is evaluated based on practical requirements and attack scenarios. The realistic test environment utilized in this works is parametrized with real data from the respective application scenario. It is shown that a decision fusion of different detection services and data sources has a better detection performance than individual solutions. Furthermore, analysis, implementation and evaluation lead to several new findings that lead to new research questions that could be answered by further work. Last, but not least, a new attack vector was found during experiments: the fastest wins. This attack requires a well calculated timing in conjunction with access to the subnet of a Programmable Logic Controller.
Die Gesellschaft, in der wir heute leben, stellt wesentliche Anforderungen an die Versorgungssicherheit der Menschen, speziell in großen urbanen Metropolen. Zeitgleich wird versucht, diesen Anforderungen mithilfe der technologischen Entwicklung, insbesondere in der Automatisierungstechnik, beizukommen. Die Implementierung von zahlreichen Systemen und Kommunikationsverbindungen zur intelligenten Steuerung von Maschinen und Anlagen in Domänen wie kritischen Infrastrukturen, Warenproduktion, Transport oder Zuhause schreitet dabei zunehmend voran. Diese Cyber-Infrastruktur als Sekundärinfrastruktur hat einen hohen Grad an Komplexität und Automatisierung erreicht und die Abhängikeit der Primärinfrastrukturen von dieser wächst stetig. Die Absicherung dieser Infrastrukturen, insbesondere in sicherheitskritischen Bereichen, stellt eine der zentralen Herausforderungen für die Betreiber dar. Angriffe auf diese Cyber-Infrastrukturen in sicherheitskritischen Bereichen wie Stuxnet oder Duqu demonstrieren die prinzipielle Verwundbarkeit selbst gekapselter Systeme. Die zunehmende Vernetzung mit dem Internet, etwa über kabellose Technologien auf der Feldebene, erhöht die Verwundbarkeit der Systeme weiter. Dies bezieht sich sowohl auf die einzelnen Schichten der IT-Architektur und die verbaute Steuerungstechnik, als auch auf die organisationalen Strukturen und Arbeitsprozesse sowie die Sicherheitstechnik, die die Anlagen vor unautorisiertem Zugang physisch schützen soll. Die zunehmende Bedrohung der Systeme durch die tendenziell steigende Ausweitung der Angriffsflächen erfordert neue Verfahren zur Detektion von Angriffen, um effizient und kontrolliert reagieren zu können. Diese Arbeit analysiert den aktuellen Stand der Grundprinzipien, Bedrohungen, Angriffsmodelle und Gegenmaßnahmen für Automatisierungsinfrastrukturen. Daraus ergibt sich, dass insbesondere Gegenmaßnahmen zur Erkennung von Anomalien notwendig sind und verwandte Arbeiten nicht mit Blick auf Anforderungen aus dem praktischen Anwendungskontext entwickelt wurden. Daher wurde dem Bedarf der Betreiber der Entwicklung einer Methodik zur Ableitung eines Detektionskonzepts entsprochen. Diese Methodik wird auf der Grundlage von Anforderungen und Daten aus elf realen Anwendungsfällen, vier kritischen Infrastrukturen, sechs Produktionsunternehmen und einem akademischen Beispiel, entwickelt. Das resultierende verallgemeinerte Konzept kann als Vorlage in Verbindung mit der Methodik verwendet werden, um anwendungsspezifische Konzepte für neue Anwendungsfälle wesentlich schneller zu generieren. Eine prototypische Implementierung wird anhand von Anforderungen und Angriffsszenarien aus der Praxis bewertet. Das dafür zur Verfügung stehende realitätsgetreue Testfeld arbeitet dabei mit realen Datenerfassungen aus dem jeweiligen Anwendungsszenario. Es wird gezeigt, dass eine Entscheidungsfusion verschiedener Detektionsdienste und Datenquellen eine bessere Erkennungsleistung hat als individuelle Lösungen. Darüber hinaus führen Analyse, Implementierung und Bewertung zu mehreren neuen Erkenntnissen, die wiederum zu neuen Forschungsfragen führen, welche von nachfolgenden Forschungsarbeiten beantwortet werden könnten. Zuletzt wurde bei den Experimenten auch ein neuer Angriffsvektor gefunden: der schnellste gewinnt. Dieser Angriff erfordert ein gut berechnetes Timing in Verbindung mit dem Zugriff auf das Subnetz der Speicherprogrammierbaren Steuerung.
URI: https://depositonce.tu-berlin.de/handle/11303/9497
http://dx.doi.org/10.14279/depositonce-8551
Exam Date: 23-May-2019
Issue Date: 2019
Date Available: 22-Jul-2019
DDC Class: 620 Ingenieurwissenschaften und zugeordnete Tätigkeiten
Subject(s): security
automation
detection
anomalous values
industrial control
programmable logic controller
SCADA
Cyber-Sicherheit
Automatisierung
Detektion
anomale Werte
industrielle Steuerung
speicherprogrammierbare Steuerung
License: https://creativecommons.org/licenses/by/4.0/
Appears in Collections:FG Industrielle Automatisierungstechnik » Publications

Files in This Item:
File Description SizeFormat 
horn_christian.pdf13.22 MBAdobe PDFThumbnail
View/Open


This item is licensed under a Creative Commons License Creative Commons