Security analysis of an IACS environment: pentesting, exploitation and evaluation of a specialized cyber-detection platform

Abstract

IACS são usados como suporte para os serviços essenciais e infraestruturas críticas e, na sua gestão, que tem sido facilitada com o aumento da interconectividade entre sistemas nos últimos anos. Apesar disso, como estes novos processos de gestão foram introduzidos nas estruturas iniciais, que foram desenvolvidas para ambientes isolados, isso aumenta a preocupação em termos de segurança. A segurança nestes sistemas críticos é essencial visto que uma falha destes sistemas pode resultar em consequências no mundo real, uma vez que se tratam de sistemas ciber-físios. Para monitorizar estes sistemas e garantir a sua segurança, a plataforma IADS foi desenvolvido no âmbito do projeto ATENA que ambiciona proporcionar uma monitorização distribuída e deteção de anomalias. Este sistema é capaz de detetar eventos de segurança, através de sensores que são colocados de forma dispersa pela infraestrutura, que são posteriormente analisados e reportados ao operador. Esta tese ambiciona proporcionar uma forma de fazer uma análise de segurança a este tipo de sistemas enquanto testa a capacidade de deteção do IADS como parte do seu processo de validação. Os testes consistem em criar diversos eventos para verificar se são corretamente identificados e reportados. O foco principal é na compreensão da sistema que está a ser testado e produzir ataques que gerem os eventos de segurança. Como plano de contingência, se o IADS não for capaz de identificar os ataques será desenvolvido um novo sensor, capaz de reconhecer o ataque, que será adicionado à plataforma.

Industrial Automation and Control Systems (IACS) are used to support Essential Services and Critical Infrastructures and their management process. These systems have benefited, in recent years, with the introduction of increased interconnectivity. Nonetheless, as this management process was introduced to maintain the same infrastructure, which was developed to work in a closed environment, it also raised new security concerns. Securing these critical systems is a vital mission, as failures in these systems can translate directly into the real-world, impacting the physical environment. In order to monitor these systems and ensure its security, an Intrusion and Anomaly Detection System (IADS) was developed in the scope of the Advanced Tools to assEss and mitigate the criticality of ICT compoNents and their dependencies over Critical InfrAstructures (ATENA) project that aims to provide distributed monitorization and anomaly detection. It detects security events through a set of probes deployed on different segments of the infrastructure that are posteriorly analysed and reported to the operator. This thesis aims to give insight on how to perform a security analysis of a testbed while also testing the IADS framework as part of its validation process. These tests consist on triggering a diversity of security events and verifying if they are properly identified and reported. The primary focus is on understanding the testbed and producing attacks that can trigger those events. As a contingency, if the platform was not capable of detecting them, a probe responsible for recognising the attack is developed and deployed, as part of the platform’s security threats mitigation policy.