Overview for capabilities of OT network monitoring tools
Ollila, Tommi (2024)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202404116277
https://urn.fi/URN:NBN:fi:amk-202404116277
Tiivistelmä
Tutkimuksen päätavoitteena oli selvittää nykyaikaisten, teollisuuden asiakkaille suunnattujen verkkomonitorointityökalujen toimintakykyä. Yritykset, jotka haluavat kehittää kyberturvallisuutensa kypsyystasoa ja parantaa varautumisastettansa, yksi kehityksen osa-alueista on verkkomonitorointijärjestelmän käyttöönotto. Tutkimus koostui verkkomonitorointityökalujen löytämisestä sekä analysoimisesta, jotka ovat tarkoitettu sekä suunniteltu teollisen ympäristön vaatimuksia ajatellen. Alustava selvitys ja käytännön ohjeistus antoi suuntaa tälle tutkimukselle eri ohjelmistotoimittajien osalta. Tutkimuksen käytännön osuus muodostui eri työkalujen kyvykkyyksien arvioinnista. Nämä kohdistuivat seuraaviin aihealueisiin: minkälaisen ensivaikutelman työkalu antaa, miten hyvin se on saatavilla, sekä miten työkalun ominaisuudet sopivat ennalta määriteltyihin arviointikriteereihin. Kriteeristön perusteella valittiin yksi työkalu, jota arvioitiin laboratorioympäristössä tutkivan testauksen menetelmillä. Tutkimuksesta voidaan päätellä, että vaikka on olemassa erilaisia työkaluja yleisen verkkomonitoroinnin kyvykkyyden kasvattamiseen, se ei ole yhtä suoraviivaista teollisessa ympäristössä. Juurisyy tähän on se, että työkalut eivät välttämättä tue teollisuuden laitetoimittajakohtaisia protokollia. Lisäksi on otettava myös huomioon teollisen ympäristön saatavilla olevan teknisen tiedon niukkuus. Key objective for this research was to identify modern, current-day network monitoring tools’ capabilities, which are designed for industrial customers. Organizations which want to improve their cyber security maturity and increase preparedness level, one development area is implementing a network monitoring system. Research consisted of identifying and analyzing network monitoring tools, which are purpose built towards industrial applications. The preliminary research and suggestions directed this research towards different software vendors. Operational side of this research consisted of evaluating functionalities of the tools. The following functionalities were evaluated: what kind of first impression does the tool provide, how available the tool is, how does the tool compare to established evaluation criteria. Based on the established evaluation criteria, a single tool was selected and assessed in a laboratory environment with exploratory testing. The research implies that even though there are tools available to increase capability in general network monitoring, path to increasing it in an industrial environment is not as straightforward. The root cause is mainly due to tools not supporting vendor-specific industrial protocols. In addition, scarcity of available technical information regarding industrial environments should be taken into account.