Πώς η τεχνητή νοημοσύνη μπορεί να κρατήσει τα βιομηχανικά φώτα να λάμπουν

Δυνατότητα χορηγίας Η σύνδεση στο Διαδίκτυο έχει αλλάξει τα πάντα, συμπεριλαμβανομένων των παλιών βιομηχανικών περιβαλλόντων. Καθώς οι εταιρείες εκσυγχρονίζουν τις δραστηριότητές τους, συνδέουν περισσότερα από τα μηχανήματα τους στον Ιστό. Είναι μια κατάσταση που δημιουργεί σαφείς και παρούσες ανησυχίες για την ασφάλεια και η βιομηχανία χρειάζεται νέες προσεγγίσεις για την αντιμετώπισή τους.

Η υιοθέτηση του Industrial Internet of Things (IIoT) επιταχύνεται. Έρευνα από το Inmarsat διαπίστωσε ότι το 77 τοις εκατό των οργανισμών που ερωτήθηκαν έχουν αναπτύξει πλήρως τουλάχιστον ένα έργο IIoT, με το 41 τοις εκατό από αυτούς να το έχουν κάνει μεταξύ του δεύτερου τριμήνου του 2020 και του 2021.

Η ίδια έρευνα προειδοποίησε επίσης ότι η ασφάλεια ήταν πρωταρχικό μέλημα για τις εταιρείες που ξεκινούν την ανάπτυξη IIoT, με το 54 τοις εκατό των ερωτηθέντων να παραπονούνται ότι τους σταμάτησε να χρησιμοποιούν αποτελεσματικά τα δεδομένα τους. Οι μισοί ανέφεραν επίσης τον κίνδυνο εξωτερικών επιθέσεων στον κυβερνοχώρο ως ζήτημα.

Οι λύσεις IIoT είναι καθοριστικής σημασίας για τη σύγκλιση του IT και του OT (λειτουργική τεχνολογία). Οι πλατφόρμες OT, συχνά συστήματα βιομηχανικού ελέγχου (ICS), βοηθούν τις εταιρείες να διαχειρίζονται τις φυσικές τους συσκευές, όπως πρέσες και μεταφορικούς ιμάντες που τροφοδοτούν την παραγωγή παραγωγής ή τις βαλβίδες και τις αντλίες που διατηρούν τη ροή του δημοτικού νερού.

Με αυτόν τον τρόπο δημιουργούν τεράστιες ποσότητες δεδομένων που είναι χρήσιμα για σκοπούς ανάλυσης. Αλλά η απόκτηση αυτών των πληροφοριών στα κατάλληλα εταιρικά εργαλεία σημαίνει γεφύρωση του χάσματος μεταξύ IT και OT.

Οι χειριστές θέλουν επίσης αυτά τα συστήματα OT να είναι προσβάσιμα εξ αποστάσεως. Δίνοντας σε συμβατικές εφαρμογές πληροφορικής τη δυνατότητα ελέγχου αυτών των συσκευών σημαίνει ότι μπορούν να συνδεθούν με τις ίδιες διαδικασίες back-end που ορίζονται στα συστήματα πληροφορικής. Και η ενεργοποίηση της απομακρυσμένης πρόσβασης για τεχνικούς που δεν μπορούν ή δεν θέλουν να πραγματοποιήσουν μια διαδρομή πολλών χιλιομέτρων μετ' επιστροφής μόνο για να κάνουν μια λειτουργική αλλαγή, μπορεί επίσης να εξοικονομήσει χρόνο και χρήμα.

Αυτή η ανάγκη για απομακρυσμένη πρόσβαση οξύνθηκε κατά τη διάρκεια της κρίσης του COVID-19, όταν η κοινωνική απόσταση και οι ταξιδιωτικοί περιορισμοί εμπόδισαν τους τεχνικούς να πραγματοποιούν επιτόπιες επισκέψεις. Η Inmarsat διαπίστωσε ότι η πανδημία ήταν η βασική αιτία της επιτάχυνσης της υιοθέτησης του IIoT, για παράδειγμα, με το 84 τοις εκατό να αναφέρει ότι έχει ή θα επιταχύνει τα έργα του ως άμεση απάντηση στην πανδημία.

Έτσι, για πολλούς, η σύγκλιση του IT και του OT είναι κάτι περισσότερο από βολικό. είναι απαραίτητο. Αλλά έχει δημιουργήσει επίσης μια τέλεια καταιγίδα για τις ομάδες ασφαλείας. Ένα εξωτερικά προσβάσιμο σύστημα ICS αυξάνει την επιφάνεια επίθεσης για τους χάκερ.

Επιθέσεις ICS σε δράση 

Μερικές φορές αυτή η σύγκλιση IT/OT μπορεί να είναι τόσο απλή όσο κάποιος που εγκαθιστά λογισμικό απομακρυσμένης πρόσβασης σε έναν υπολογιστή σε μια εγκατάσταση. Αυτό είναι το στήσιμο που επιτρέπεται χάκερ να έχουν πρόσβαση σε συστήματα ελέγχου μέσω εγκατάστασης εργαλείου απομακρυσμένης πρόσβασης στο δημοτικό εργοστάσιο ύδρευσης στο Oldsmar της Φλόριντα το 2021 προτού προσπαθήσουν να δηλητηριάσουν τους κατοίκους της περιοχής με υδροξείδιο του νατρίου. Ο υπολογιστής που παραβίασε ο εισβολέας είχε πρόσβαση στον εξοπλισμό OT στο εργοστάσιο. Ο σερίφης της πόλης ανέφερε ότι ο αόρατος εισβολέας είχε σύρει τον κέρσορα του ποντικιού μπροστά σε έναν από τους εργάτες του.

Δεν είναι ξεκάθαρο τι έκανε τους χάκερ να προσπαθήσουν να δηλητηριάσουν αθώους κατοίκους της Φλόριντα, αλλά ορισμένες επιθέσεις έχουν οικονομικά κίνητρα. Ένα παράδειγμα είναι η επίθεση ransomware EKANS που χτύπησε τη Honda τον Ιούνιο του 2020, τερματίζοντας τις παραγωγικές δραστηριότητες στο Ηνωμένο Βασίλειο, τις ΗΠΑ και την Τουρκία.

Οι επιτιθέμενοι χρησιμοποίησαν το ransomware EKANS για να στοχεύσουν εσωτερικούς διακομιστές της εταιρείας, προκαλώντας μεγάλη αναστάτωση στα εργοστάσιά της. Σε μια ανάλυση της επίθεσης, η εταιρεία κυβερνοασφάλειας Darktrace εξήγησε ότι το EKANS ήταν ένας νέος τύπος ransomware. Τα συστήματα ransomware που στοχεύουν δίκτυα OT το κάνουν συνήθως χτυπώντας πρώτα τον εξοπλισμό IT και μετά περιστρέφοντας. Το EKANS είναι σχετικά σπάνιο καθώς στοχεύει απευθείας την υποδομή ICS. Μπορεί να στοχεύσει έως και 64 συγκεκριμένα συστήματα ICS στην αλυσίδα θανάτωσης του.

Οι ειδικοί πιστεύουν ότι άλλες επιθέσεις ICS χορηγούνται από το κράτος. Το κακόβουλο λογισμικό Triton, που απευθύνθηκε για πρώτη φορά σε πετροχημικά εργοστάσια το 2017, είναι εξακολουθεί να αποτελεί απειλή σύμφωνα με το FBI, το οποίο αποδίδει επιθέσεις σε ρωσικές ομάδες που υποστηρίζονται από το κράτος. Αυτό το κακόβουλο λογισμικό είναι ιδιαίτερα δυσάρεστο, σύμφωνα με το Γραφείο, επειδή επέτρεψε σωματικές βλάβες, περιβαλλοντικές επιπτώσεις και απώλεια ζωών.

Οι τυπικές λύσεις ασφαλείας δεν θα λειτουργούν εδώ

Οι παραδοσιακές προσεγγίσεις ασφάλειας στον κυβερνοχώρο δεν είναι αποτελεσματικές για την επίλυση αυτών των τρωτών σημείων OT. Οι εταιρείες θα μπορούσαν να χρησιμοποιήσουν εργαλεία ασφάλειας τελικού σημείου, συμπεριλαμβανομένου του anti-malware για την προστασία των υπολογιστών τους. Τι θα γινόταν όμως αν το τελικό σημείο ήταν ένας προγραμματιζόμενος λογικός ελεγκτής, μια βιντεοκάμερα με δυνατότητα AI ή ένας λαμπτήρας; Αυτές οι συσκευές δεν έχουν συχνά την ικανότητα να εκτελούν πράκτορες λογισμικού που μπορούν να ελέγχουν τις εσωτερικές τους διαδικασίες. Ορισμένοι ενδέχεται να μην διαθέτουν CPU ή εγκαταστάσεις αποθήκευσης δεδομένων.

Ακόμα κι αν μια συσκευή IIoT είχε το εύρος ζώνης επεξεργασίας και τις δυνατότητες ισχύος για να υποστηρίξει έναν ενσωματωμένο παράγοντα ασφαλείας, τα προσαρμοσμένα λειτουργικά συστήματα που χρησιμοποιούν είναι απίθανο να υποστηρίζουν γενικές λύσεις. Τα περιβάλλοντα IIoT χρησιμοποιούν συχνά πολλούς τύπους συσκευών από διαφορετικούς προμηθευτές, δημιουργώντας ένα ποικίλο χαρτοφυλάκιο μη τυποποιημένων συστημάτων.

Στη συνέχεια, υπάρχει το ζήτημα της κλίμακας και της κατανομής. Οι διαχειριστές και οι επαγγελματίες ασφαλείας που έχουν συνηθίσει να ασχολούνται με χιλιάδες τυπικούς υπολογιστές σε ένα δίκτυο θα βρουν ένα περιβάλλον IIoT, όπου οι αισθητήρες μπορεί να αριθμούν εκατοντάδες χιλιάδες, πολύ διαφορετικό. Μπορούν επίσης να εξαπλωθούν σε μια ευρεία περιοχή, ειδικά καθώς τα περιβάλλοντα υπολογιστών άκρων αποκτούν έλξη. Μπορεί να περιορίσουν τις συνδέσεις τους στο δίκτυο σε κάποια πιο απομακρυσμένα περιβάλλοντα για εξοικονόμηση ενέργειας.

Αξιολόγηση παραδοσιακών πλαισίων προστασίας ICS

Εάν οι συμβατικές διαμορφώσεις ασφάλειας πληροφορικής δεν μπορούν να χειριστούν αυτές τις προκλήσεις, τότε ίσως οι εναλλακτικές με επίκεντρο τα ΟΤ μπορούν; Το βασικό μοντέλο είναι το μοντέλο κυβερνοασφάλειας του Purdue. Δημιουργήθηκε στο Πανεπιστήμιο Purdue και υιοθετήθηκε από τη International Society of Automation ως μέρος του προτύπου ISA 99, ορίζει πολλαπλά επίπεδα που περιγράφουν το περιβάλλον πληροφορικής και ICS.

Το επίπεδο μηδέν αφορά τις φυσικές μηχανές – τους τόρνους, τις βιομηχανικές πρέσες, τις βαλβίδες και τις αντλίες που κάνουν τα πράγματα. Το επόμενο επίπεδο περιλαμβάνει τις έξυπνες συσκευές που χειρίζονται αυτές τις μηχανές. Αυτοί είναι οι αισθητήρες που αναμεταδίδουν πληροφορίες από τις φυσικές μηχανές και τους ενεργοποιητές που τις οδηγούν. Στη συνέχεια, βρίσκουμε τα συστήματα εποπτικού ελέγχου και απόκτησης δεδομένων (SCADA) που επιβλέπουν αυτά τα μηχανήματα, όπως προγραμματιζόμενους λογικούς ελεγκτές.

Αυτές οι συσκευές συνδέονται με τα συστήματα διαχείρισης εργασιών παραγωγής στο επόμενο επίπεδο, τα οποία εκτελούν βιομηχανικές ροές εργασιών. Αυτά τα μηχανήματα διασφαλίζουν τη βέλτιστη λειτουργία του εργοστασίου και καταγράφουν τα δεδομένα λειτουργίας του.

Στα ανώτερα επίπεδα του μοντέλου Purdue βρίσκονται τα εταιρικά συστήματα που βρίσκονται ακριβώς στη σφαίρα της πληροφορικής. Το πρώτο επίπεδο εδώ περιέχει τις εφαρμογές που αφορούν την παραγωγή, όπως ο προγραμματισμός πόρων της επιχείρησης που χειρίζεται τα logistics παραγωγής. Στη συνέχεια, στο ανώτατο επίπεδο βρίσκεται το δίκτυο πληροφορικής, το οποίο συλλέγει δεδομένα από τα συστήματα ICS για να οδηγήσει τις επιχειρηματικές αναφορές και τη λήψη αποφάσεων.

Παλιότερα, όταν τίποτα δεν μιλούσε σε οτιδήποτε εκτός του δικτύου, ήταν ευκολότερο να διαχειριστείτε περιβάλλοντα ICS χρησιμοποιώντας αυτήν την προσέγγιση, επειδή οι διαχειριστές μπορούσαν να τμηματοποιήσουν το δίκτυο κατά μήκος των ορίων του.

Ένα επίπεδο αποστρατιωτικοποιημένης ζώνης (DMZ) προστέθηκε σκόπιμα για να υποστηρίξει αυτόν τον τύπο τμηματοποίησης, τοποθετημένος μεταξύ των δύο εταιρικών επιπέδων και των επιπέδων ICS πιο κάτω στη στοίβα. Λειτουργεί ως ένα διάκενο μεταξύ της επιχείρησης και των τομέων ICS, χρησιμοποιώντας εξοπλισμό ασφαλείας, όπως τείχη προστασίας για τον έλεγχο της κίνησης που διέρχεται μεταξύ τους.

Δεν θα έχει κάθε περιβάλλον IT/OT αυτό το επίπεδο, δεδομένου ότι η ISA το εισήγαγε μόλις πρόσφατα. Ακόμη και εκείνοι που αντιμετωπίζουν προκλήσεις.

Τα σημερινά λειτουργικά περιβάλλοντα είναι διαφορετικά από εκείνα της δεκαετίας του 1990, όταν το μοντέλο Purdue εξελίχθηκε για πρώτη φορά και το cloud όπως ξέρουμε δεν υπήρχε. Οι μηχανικοί θέλουν να συνδεθούν απευθείας σε λειτουργίες διαχείρισης on-prem ή συστήματα SCADA. Οι προμηθευτές μπορεί να θέλουν να παρακολουθούν τις έξυπνες συσκευές τους σε ιστότοπους πελατών απευθείας από το Διαδίκτυο. Ορισμένες εταιρείες λαχταρούν να μεταφέρουν ολόκληρο το στρώμα SCADA στο σύννεφο, ως Severn Trent Water αποφάσισε να γίνει το 2020.

Η εξέλιξη του ICS ως υπηρεσίας (ICSaaS), που διαχειρίζονται τρίτα μέρη, έχει θολώσει περαιτέρω τα νερά για τις ομάδες ασφαλείας που παλεύουν με τη σύγκλιση IT/OT. Όλοι αυτοί οι παράγοντες κινδυνεύουν να ανοίξουν πολλαπλές τρύπες στο περιβάλλον και να παρακάμψουν τυχόν προηγούμενες προσπάθειες τμηματοποίησης.

Κόβοντας όλο το μπερδεμένο χάος 

Αντίθετα, ορισμένες εταιρείες υιοθετούν νέες προσεγγίσεις που ξεπερνούν την κατάτμηση. Αντί να βασίζονται σε όρια δικτύου που εξαφανίζονται γρήγορα, εξετάζουν την κίνηση σε επίπεδο συσκευής σε πραγματικό χρόνο. Αυτό δεν απέχει πολύ από τις αρχικές προτάσεις αποπεριμετροποίησης που προτάθηκαν από το Jericho Forum του Open Group στα πρώτα χρόνια, αλλά η ανάλυση της κίνησης σε τόσα πολλά διαφορετικά σημεία του δικτύου τότε ήταν δύσκολη. Σήμερα, οι αμυνόμενοι μπορούν να παρακολουθούν καλύτερα χάρη στην έλευση της τεχνητής νοημοσύνης.

Το Darktrace είναι εφαρμόζοντας μερικές από αυτές τις έννοιες στο βιομηχανικό ανοσοποιητικό σύστημα. Αντί να παρακολουθεί για γνωστές κακόβουλες υπογραφές στα όρια των τμημάτων δικτύου, ξεκινά μαθαίνοντας τι είναι φυσιολογικό παντού στο περιβάλλον IT και OT, συμπεριλαμβανομένων τυχόν τμημάτων αυτού του περιβάλλοντος που φιλοξενούνται στο cloud.

Καθιερώνοντας μια εξελισσόμενη βασική γραμμή κανονικότητας, η υπηρεσία αναλύει στη συνέχεια όλη την κίνηση για δραστηριότητα που εμπίπτει εκτός αυτής. Μπορεί να ειδοποιεί τους διαχειριστές και τους αναλυτές ασφαλείας για αυτά τα ζητήματα, όπως αυτό έκανε για έναν ευρωπαϊκό κατασκευαστή πελάτη.

Η υπηρεσία είναι επίσης αυτόνομη. Όταν ένας πελάτης εμπιστεύεται τις αποφάσεις του αρκετά για να γυρίσει τον διακόπτη, το Ανοσοποιητικό Σύστημα μπορεί να προχωρήσει από την απλή ειδοποίηση σε ανάλογη δράση. Αυτό μπορεί να σημαίνει αποκλεισμό ορισμένων μορφών κυκλοφορίας, επιβολή της κανονικής συμπεριφοράς μιας συσκευής ή, σε σοβαρές περιπτώσεις, πλήρη καραντίνα των συστημάτων, συμπεριλαμβανομένου του εξοπλισμού στα επίπεδα OT/ICS.

Τα στελέχη της Darktrace ελπίζουν ότι αυτή η μετάβαση σε ένα πιο αναλυτικό μοντέλο σταθερής, πανταχού παρούσας ανάλυσης κυκλοφορίας, σε συνδυασμό με αξιολόγηση σε πραγματικό χρόνο έναντι γνωστής κανονικής συμπεριφοράς, θα βοηθήσει να αποτραπεί το αυξανόμενο κύμα κυβερνοεπιθέσεων ICS. Ας ελπίσουμε ότι θα επιτρέψει επίσης στις εταιρείες να γίνουν πιο ευέλικτες, υποστηρίζοντας την απομακρυσμένη πρόσβαση και πρωτοβουλίες ICS που βασίζονται στο cloud. Στο μέλλον, δεν θα χρειαστεί να ρισκάρετε κάποιος να σβήσει τα φώτα στην προσπάθειά σας για να κρατήσετε τα φώτα αναμμένα.

Χορηγός της Darktrace