KIT - IAI - Forschung - Alle Projekte - Ereigniskorrelation und Risikomanagement für Energiesysteme

Ereigniskorrelation und Risikomanagement für Energiesysteme

Ansprechperson:
Sine Canbolat Kaya, M.Sc.
Projektgruppe:
Sichere Energiesysteme (SES)

Schwerpunkt: Einführung der Korrelation von Sicherheitsereignissen, Durchführung von Risikobewertungen und Stärkung des Risikobewusstseins in modernen Energiesystemen.

Die Ergebnisse der Risikobewertung sind von entscheidender Bedeutung, da der Prozess das Verständnis für Risikoquellen und deren Art verbessert. In diesem Zusammenhang konzentriert sich der vorliegende Forschungsbereich auf die Erstellung des Kontexts, die Identifizierung von Risiken, deren Analyse und die Bewertung bei der Risikobewertung. SIEM-Systeme (Security Information and Event Management) sind weit verbreitet, um Cybersecurity-Bedrohungen in IT- und OT-Umgebungen zu erkennen, zu analysieren und darauf zu reagieren. Ziel ist es, die entwickelte Methode zur Korrelation von Sicherheitsereignissen in ein SIEM-System zu integrieren, um dessen Fähigkeiten zur Risikoanalyse zu verbessern.

Abbildung: Allgemeine Darstellung der Korrelationsmethode für Sicherheitsereignisse zur Risikobewertung

Thema 4.1 - Hybride Risikobewertung: Entwicklung einer hybriden Risikobewertungsmethode zur Unterstützung der Untersuchung, welche Teile des Netzes gefährdet sind und welche Risikostufen damit verbunden sind.

Thema 4.2 - Ereigniskorrelation: In jedem Kontrollzentrum besteht eine große Herausforderung in der überwältigenden Menge an Warnungen, die kritische Alarme überdecken können. Ziel ist es, eine Methode zur Korrelation von Sicherheitsereignissen zu entwickeln, die beobachtete Verhaltensweisen von Angreifern auf Frameworks wie MITRE ATT&CK abbildet, um so das Risikobewusstsein zu erhöhen, das Verständnis für Risikoquellen zu verbessern, die Anzahl der Alarme für Ingenieure und Betreiber zu reduzieren und die Risikominderung in späteren Phasen zu unterstützen.

Thema 4.3 - Sicherheitsinformationen und Ereignisverwaltung: Durchführung der Sicherheitsüberwachung mit einem SIEM-System in einer IEC 61850-Umspannstation. Realistische Szenarien, die sowohl den Normalbetrieb als auch mögliche Angriffsszenarien darstellen, werden ausgeführt, um ein repräsentatives Systemverhalten zu erzeugen. Die daraus resultierenden Ereignisse von verschiedenen Geräten und Ebenen werden innerhalb des SIEM-Systems verarbeitet und ermöglichen eine umfassende Überwachung und Analyse.