Każdy cyberatak na zakład przemysłowy może zakłócić proces technologiczny. Potencjalnie może on mieć katastrofalne konsekwencje, i to nie tylko finansowe. W związku z tym skuteczna ochrona takich obiektów wymaga stałego monitorowania zarówno systemów informatycznych, jak i procesów operacyjnych. Na szczęście mamy już do dyspozycji specjalne narzędzie.
Zautomatyzowany system sterowania przemysłowego (ICS) to dziś złożony system cyberfizyczny. Składa się on zarówno z elementów komputerowych, które sterują urządzeniami i jednostkami integralnymi, jak i sprzętem fizycznym. Zwiększa to powierzchnię ataku i daje hakerom wiele możliwości zakłócenia działania systemu. Mogą oni zaatakować infrastrukturę informacyjną lub kontrolery w środowisku cyfrowym, a także fizycznie interweniować w procesie produkcyjnym. Ataki na system cyberfizyczny są na ogół znacznie bardziej wyrafinowane niż te konwencjonalne.
Możliwości opanowania ataków realizowanych za pośrednictwem systemów informatycznych bywają różne. Teoretycznie wystarczy uważnie monitorować przepływ informacji między programowalnymi kontrolerami logicznymi a systemem SCADA. A jeśli atakujący będą zmieniać sygnały między czujnikami przemysłowymi a kontrolerami? Co zrobić, jeśli zastąpią dane z czujnika lub go zniszczą? Opracowaliśmy technologię uczenia maszynowego, która potrafi identyfikować tego typu ataki.
Co jest potrzebne do ochrony procesów operacyjnych
Nasza technologia nosi nazwę Machine Learning for Anomaly Detection (MLAD). Wszystko, co jest potrzebne do jej funkcjonowania, przeważnie znajduje się już w obiektach przemysłowych, gdyż cały proces produkcji jest już wyposażony w czujniki. Nowoczesny automatyczny przemysłowy system sterowania otrzymuje ogromne ilości danych telemetrycznych. Dziesiątki tysięcy różnych znaczników, zazwyczaj aktualizowanych około 10 razy na sekundę, pochodzą z wielu źródeł. Ponadto informacje o normalnej pracy systemu są gromadzone i przechowywane przez wiele lat. Są to idealne warunki, w których można zastosować uczenie maszynowe.
Dzięki prawom fizyki wszystkie sygnały procesowe w systemie są ze sobą połączone. Na przykład jeśli czujnik na zaworze wskazuje blokadę, pozostałe czujniki w innym miejscu powinny odpowiednio wykazywać zmianę ciśnienia, objętości lub temperatury. Wszystkie te wskaźniki korelują ze sobą. Najmniejsza zmiana w procesie produkcji prowadzi do różnicy w odczytach na wielu czujnikach. Te korelacje może badać system uczenia maszynowego, wytrenowany na danych zebranych podczas normalnych warunków pracy. Ponadto silnik rozwiązania MLAD może pracować w trybie samouczenia się w przypadku, gdy dostępne stają się nowe, wcześniej nie brane pod uwagę dane. W rezultacie może wykryć wszelkie anomalie w procesie produkcyjnym.
Zastosowanie w praktyce
Nasze rozwiązanie Kaspersky Industrial CyberSecurity ściśle monitoruje ruch w procesach, stosując dogłębną kontrolę pakietów. W związku z tym ma dostęp do danych pochodzących z czujników i poleceń. Informacje te są analizowane w czasie rzeczywistym przez system MLAD (przeszkolony na podstawie danych zebranych w normalnych warunkach pracy), który może przewidzieć, jaki powinien być normalny stan systemu w krótkim okresie (dokładny czas tej prognozy można dostosować).
Oczywiście prognoza ta zawsze będzie się różnić od obserwowanej rzeczywistości. Pytanie brzmi, jak duża będzie ta różnica. Podczas procesu uczenia się system statystycznie oblicza wartości progowe błędu prognozowania, od których odchylenia będą uważane za anomalię.
Rozwiązanie MLAD jest zintegrowane z produktem Kaspersky Industrial CyberSecurity na poziomie protokołu. Wymaga ono dostarczania przez Kaspersky Industrial CyberSecurity danych telemetrycznych, ale teoretycznie można je przełączyć tak, aby wykorzystywało dane technologiczne przesyłane od innych naszych rozwiązań.
Zalety naszej metody
W przeciwieństwie do systemu eksperckiego, który działa zgodnie z zestawem ściśle zdefiniowanych reguł, rozwiązanie zabezpieczające oparte na algorytmach uczenia maszynowego wykazuje większą elastyczność. Aby system ekspercki działał w różnych warunkach pracy, jego zasady są często uogólniane, co może opóźnić podjęcie reakcji w przypadku wystąpienia sytuacji kryzysowej. Tymczasem system uczenia maszynowego działa precyzyjniej.
Jeśli przedsiębiorstwo musi dostosować swój proces produkcji, istotna jest także elastyczność. Dzięki systemowi uczenia maszynowego nie ma potrzeby wprowadzania zmian w systemie bezpieczeństwa — wystarczy ponownie wytrenować rozwiązanie MLAD. Ponadto Kaspersky Industrial CyberSecurity działa z ruchem zduplikowanym; oznacza to, że nie koliduje bezpośrednio z procesem produkcyjnym.
Wersja demonstracyjna działania rozwiązania
Od jakiegoś czasu w internecie jest dostępny szczegółowy model matematyczny chemicznego procesu przemysłowego w firmie Tennessee Eastman. Jest on często używany do demonstracji i dostrajania modeli sterowania. Użyliśmy go jako podstawy do modelowania bardzo realistycznego działania modułu MLAD w ataku na przedsiębiorstwo, w którym zastępowane są dane z czujnika, polecenia i parametry logiczne. Zasadę działania można zobaczyć w poniższym filmie.
Więcej szczegółów na temat rozwiązania Kaspersky Industrial CyberSecurity można znaleźć na stronie rozwiązania.