Искусственный интеллект и сети АСУ ТП: устранение пробелов в безопасности операционных технологий

Недавние заголовки гудели от экспертов ICS, предупреждающих об уязвимости сетки для взлома. Субъекты цифровых угроз приобрели исключительные навыки проникновения в компьютерные сети любого типа. Промышленные системы управления (ICS) ничем не отличаются: хотя эти сети обычно считались более безопасными из-за отсутствия связи за пределами корпоративной сети или в Интернете, злоумышленникам удалось скомпрометировать их и украсть ценные производственные данные.

Одними из наиболее эффективных инструментов борьбы с этой угрозой являются новые технологии машинного обучения и искусственного интеллекта. Сочетая мониторинг данных в реальном времени с оркестровкой и автоматизированным реагированием, решения AI/ML доказывают свою ценность по сравнению с устаревшими системами и временем отклика, обусловленным вмешательством человека.

Реальный пример: эксфильтрация данных из «герметичной» сети ICS/SCADA

На последней конференции Black Hat Europe компания CyberX, занимающаяся исследованиями в области безопасности, продемонстрировала, как возможна утечка данных из якобы закрытой сети ICS. Путем доставки полезной нагрузки определенного кода лестничной логики в программируемые логические контроллеры атака была запрограммирована на отправку копий данных через закодированные радиосигналы, которые могут приниматься AM-радио и анализироваться специальным программным обеспечением. Поскольку канал связи находится за пределами стека TCP/IP, шифрование для защиты данных после их захвата отсутствует.

Как ИИ реагирует на эту угрозу? В этом случае машинное обучение можно использовать для создания алгоритма, который устанавливает «нормальное» состояние и отслеживает трафик и конфигурации для сравнения с этим состоянием. Этот базовый уровень может включать сетевой трафик, настройки оборудования и даже исходный код ПЛК. Благодаря непрерывным проверкам пульса алгоритм может определить, когда система отклоняется от базового уровня, и немедленно предупредить об этом персонал службы безопасности.

Еще один пример из реальной жизни произошел совсем недавно: атака программы-вымогателя на муниципальную инфраструктуру Атланты, которая включала шифрование городских файлов, блокировку доступа к онлайн-сервисам и блокирование города от обработки судебных дел и ордеров. Это всего лишь последняя серия атак на американские города. Ранее хакеры получили доступ к системе предупреждения о торнадо в Далласе и включили сирены посреди ночи. В случае с Атлантой уровень кибербезопасности ИИ смог бы обнаружить нарушения в доступе к системе и каналах блокировки до того, как хакеры смогли бы манипулировать разрешениями.

ИИ и АСУ ТП: повышение эффективности существующих систем

Какое место ИИ занимает в вашей существующей программе безопасности АСУ ТП? У вас уже есть оборудование ICS, разделенное на отдельные виртуальные локальные сети (VLAN), защищенное межсетевым экраном, отслеживаемое и защищенное с помощью IDS/IPS, SIEM и других инструментов безопасности. Где имеет смысл вставить AI/ML в уравнение? Самым большим преимуществом внедрения ИИ-решения является его реакция в режиме реального времени и оркестровка. Инструментам ИИ не нужно ждать, пока сотрудники службы безопасности примут решение. Они не видят черно-белую картину правил брандмауэра, которые часто упускают трафик вредоносного ПО, маскирующийся под «обычные» сетевые сигналы. Машинные алгоритмы могут обнаруживать аномальные обмены данными и немедленно реагировать на угрозу, задолго до того, как будет предупрежден ресурс SOC. Некоторые предложения ИИ могут даже контролировать устройства, которые не обмениваются данными по протоколу TCP/IP, обеспечивая надежную видимость несетевого оборудования.

Особенно интересным инструментом для защиты промышленных систем управления является ScadaShield от Cyberbit, многоуровневое решение, обеспечивающее обнаружение, визуализацию, интеллектуальную аналитику, судебную экспертизу и реагирование. ScadaShield осуществляет непрерывный мониторинг и обнаружение по всей поверхности атаки как для ИТ-, так и для OT-компонентов и может сочетаться с автоматизацией SOC для запуска рабочих процессов, которые ускоряют выявление и устранение основных причин.

Крупномасштабные процессы, работающие на критически важных предприятиях по производству электроэнергии, передаче электроэнергии, очистке и переработке воды, а также на крупных производственных предприятиях, подвергаются большему риску, чем когда-либо. Хорошая новость заключается в том, что новые разработки в области искусственного интеллекта и машинного обучения создали новые способы защиты этих систем.

Если вы еще этого не сделали, сейчас самое время подумать о добавлении решения AI/ML к вашему периметру безопасности, чтобы поднять время предотвращения и реагирования на новый уровень.