On Industry 4.0 Security, Maturity and Metrics semantically integrated by a Common SIEM Specification Language

Abstract

Für die Festlegung eines zu erreichenden Sicherheitslevel SL-Target für Industrielle Produktionsanlagen IACS sind ihre Einsatzbedingungen maßgebend. Im Rahmen der Lebenszyklus-Definition (s. IEC 62443-4-1), muß u.a. ein Risk Assessment (s. IEC 62443-3-2 [IEC15c]) durchgeführt werden. Das Risk Assessment bezieht sich auf das gesamte System und auf einzelne Komponenten. Für die betrachteten Komponenten sind die IT-Gefährdungen zu überprüfen und ggf. Maßnahmen abzuleiten. Gegenstand von Sicherheitsüberlegungen von Industrieanlagen sind Fragen, welche Maßnahmen zu ergreifen sind, die sich z.B. aus dem vorgenannten Risk Assessment ergeben. Zur Modellierung und eindeutigen Darstellung soll eine gemeinsame 'SIEM Sprache' gefunden werden, die einerseits, in Ergänzung zu STIX/CybOX™ für das Management von Sicherheitsobjekten, die in XML (s. CybOX Object Listing) dargestellt werden und die andererseits für das Management von beobachtbaren Ereignissen mit signifikanten Sicherheitsinformationen (SIEM), auf Grundlage einer operationalen Semantik, geeignet ist. Aus diesem Ansatz ergibt sich, u.a. um verschiedenartige Werkzeuge integrieren zu können, eine universelle SIEM Kommunikations-Schnittstelle, an welcher Sicherheitsereignisse asynchron, mittels einer publish-subscribe SIEM middleware, als auch Sicherheitsobjekte, wie in der CybOX Liste spezifiziert, jedoch inform von <n-tuples> im sog. n-tuple space (vgl. JavaSpaces, SQLSpaces etc.), ausgetauscht, bzw. gemanagt werden. Dieser Beitrag zielt darauf ab, eine sog. SIEM Landschaft, bzw. eine universelle Schnittstelle für den Austausch von standardisierten Sicherheitsereignissen, im Format sog. <n-tuples>, aufbauend auf den standardisieren Konzepten 'Maturität -Indikatoren -Metriken', weitgehend formal, in operationaler Semantik, zu entwerfen.