Målet med neurale netværk i cybersikkerhed er at kunne detektere usædvanlig adfærd og mønstre, især inden for OT-aktiver og netværk. Opdagelse af usædvanlig adfærd fører ofte til opdagelsen af, at du er blevet kompromitteret, eller noget er blevet forkert konfigureret.
"At have synlighed i dine industrielle aktiver og netværk er det første skridt til at forstå din overordnede OT-cybersikkerhedsposition," siger Pete Lund, vicepræsident for produkter til OT-sikkerhed hos specialisten i cybersikkerhed i infrastruktur Opswat.
For at drage fordel af sådanne evner afslørede Opswat sin AI-drevne netværkssynlighedsløsning, Neuralyzer. Softwareværktøjet udnytter maskinlæring (ML) til at lære kommunikationsmønstrene mellem aktiver og netværk for at bestemme, hvad "normal" aktivitet er. Dette gør det muligt for OT-medarbejdere at forblive fokuserede på de primære opgaver ved hånden og kun advare dem, når der opstår unormal aktivitet.
"Neurale netværk har evnen til at lære på samme måde som den menneskelige hjerne, og så kan de se røde flag på dine vegne som et andet sæt øjne," forklarer Lund. "ML i Neuralyzer kan identificere typen af enhed eller aktiv på netværket, hvilket giver aktiv synlighed."
Machine Learning leder efter aktiver og uregelmæssigheder
En anvendelse af ML i Neuralyzer er evnen til at identificere typen af enhed/aktiv på netværket, kaldet aktivsynlighedsfunktionen.
Til aktivs synlighed, de fleste værktøjer bruger enhedens fingeraftryk (DFP) bruges normalt til at opdage og/eller profilere enheden. Typiske OT-enheder har i modsætning til IT-enheder ikke en browser installeret, så browser-fingeraftryk (en effektiv tilgang til DFP i IT) vil normalt ikke fungere i OT-miljøet.
"Gennem omfattende forskning og eksperimenter har vores team udarbejdet et udvalgt funktionssæt og ML-algoritme, der fungerer bedst - med hensyn til nøjagtighed, ydeevne og nødvendige input - til at klassificere enhedstypen," forklarer Lund.
Han siger, at en anden applikation til ML er at opdage uregelmæssigheder i netværksforbindelsen og aktiviteten på en bestemt enhed eller hele netværket.
Neuralyzer kan modellere enheden eller enhederne og deres netværksforbindelser som en graf og derefter bruge det 1D foldede neurale netværk til afsløring af anomalier.
"Netværkstrafikdissektion og anomalidetektion er gode tilfælde for ML og neurale netværk," siger Lund. "Netværkstrafikdissektion ville være en mulig tilgang til DFP i OT."
Han påpeger, at detektion af anomalier er et vigtigt aspekt i OT-miljøets synlighed.
"En anomali kan ikke kun relatere til integritet - for eksempel et netværksbrud - men den kan også relatere til tilgængeligheden eller normal drift af aktiverne, hvilket er afgørende for OT-miljøet," siger Lund.
Neurale netværk tilbyder flere cybersikkerhedsfordele
Bud Broomhead, CEO hos den automatiserede IoT-cyberhygiejneudbyder Viakoo, siger, at neurale netværk, som enhver anden teknologi, kan bruges både for at forbedre og for at nedkæmpe cybersikkerhed.
"Der findes mange eksempler på, hvordan neurale netværk kan trænes til at producere dårlige resultater eller tilføres data til at forstyrre systemer," forklarer han. "Alligevel vil den massive forbedring af effektiviteten - for eksempel opdage cybertrusler på få sekunder eller finde trusselsaktører i en menneskemængde næsten øjeblikkeligt - være nødvendig i mange år frem for at overvinde de ressourcehuller, der er til stede i cybersikkerhed."
Neurale netværk kan analysere komplekse systemer og træffe intelligente beslutninger om, hvordan de skal præsenteres og klassificeres. Med andre ord tager de en masse rådata og gør det til meningsfuld indsigt.
"Alt blot at have en aktivopgørelse viser dig ikke kombinationen af dem i en tæt koblet arbejdsgang - men det er, hvad virksomheder har brug for for at prioritere sårbarheden og risikoen ved disse systemer," siger Broomhead.
John Bambenek, hovedtrusselsjæger hos Netenrich, et SaaS-selskab for sikkerheds- og driftsanalyse, tilføjer, at neurale netværk giver mulighed for statistisk analyse langt ud over et menneskes kapacitet.
"Med nok datapunkter og grundig og effektiv træning kan de klassificere normale og unormale hurtigt, hvilket giver en analytiker mulighed for at følge op på hændelser, som ellers ikke ville blive opdaget," siger han.
Bambenek siger, at han ikke ser neurale netværk som pålidelige til aktivopdagelse eller sårbarhedsstyring.
"Hvis et aktiv ikke er synligt i DHCP-logfiler, er der ikke megen data til ellers at finde det," påpeger han. "Risikostyring kan på den anden side finde unormale og derefter kategorisere den risikable adfærd ved hjælp af anden tilgængelig kontekst for at give virksomhedens risiko svar."
Broomhead siger, at selv detektering af subtile ændringer i OT-systemadfærd kan gøre det muligt for et neuralt netværk at se, hvornår vedligeholdelse er nødvendig, hvornår cybertrusler opstår, og hvordan miljøændringer får systemet til at reagere.
"Især i tider som nu, hvor der er begrænsede menneskelige ressourcer til at holde OT-systemer i drift sikkert og sikkert, er neurale netværk en kraftmultiplikator, som mange organisationer har nogle at stole på," siger han.
