Integrazione di log di Cybersecurity OT in piattaforma centralizzata

Abstract

I Sistemi di Controllo Industriale (ICS) negli ambienti di Tecnologia Operativa (OT) sono sempre più esposti a minacce informatiche, a causa della crescente integrazione con le reti di Tecnologia dell’Informazione (IT). Tuttavia, i metodi tradizionali di cybersecurity, orientati all’IT, spesso non riescono a rispondere efficacemente alle specifiche esigenze operative e ai vincoli architetturali dei sistemi industriali, come i requisiti in tempo reale, la presenza di dispositivi legacy e la varietà dei protocolli utilizzati.

Questa tesi propone una piattaforma centralizzata per il monitoraggio dei log, progettata appositamente per ambienti OT e basata interamente su tecnologie open-source. Una caratteristica distintiva del sistema è l’impiego di un dispositivo Revolution Pi come sonda passiva di campo, in grado di acquisire dati di processo a basso livello senza interferire con le normali operazioni dell’impianto. I log vengono raccolti da fonti eterogenee—tra cui sistemi SCADA, dispositivi di rilevamento intrusioni e segnali binari a livello di campo—e trattati tramite una pipeline Logstash personalizzata. Gli eventi risultanti vengono indicizzati e visualizzati attraverso lo stack OpenSearch.

La piattaforma dimostra che è possibile implementare un monitoraggio scalabile e poco invasivo in ambienti OT reali. Integrando la telemetria fisica nell’analisi di sicurezza informatica, il lavoro contribuisce a colmare il divario tra i dati grezzi dei sensori e informazioni utili per la sicurezza. La soluzione proposta rappresenta un passo avanti verso lo sviluppo di Security Operation Center (SOC) consapevoli dei processi, migliorando la consapevolezza situazionale e la capacità di rilevare anomalie in tempo reale nelle infrastrutture critiche.

Industrial Control Systems (ICS) in Operational Technology (OT) environments are increasingly exposed to cyber threats due to their integration with Information Technology (IT) networks. However, conventional IT-oriented cybersecurity methods often fail to address the specific operational and architectural constraints of industrial systems, such as real-time requirements, legacy equipment, and protocol diversity.

This thesis proposes a centralized log monitoring platform tailored for OT environments, based entirely on open-source technologies. A key feature of the system is the deployment of a Revolution Pi device as a passive field probe, capable of capturing low-level process data without disrupting normal plant operations. Logs are collected from multiple sources—ranging from SCADA systems and intrusion detection devices to binary field-level signals—and processed using a custom Logstash pipeline. The resulting events are indexed and visualized through the OpenSearch stack.

The proposed platform demonstrates that scalable, low-intrusion monitoring is feasible in live OT environments. By integrating physical telemetry into cybersecurity analysis, this work bridges the gap between raw sensor data and actionable security insights. The solution contributes to the advancement of process-aware Security Operation Centers (SOCs), enhancing situational awareness and real-time anomaly detection capabilities in critical infrastructure networks.