چگونه هوش مصنوعی می تواند چراغ های صنعتی را درخشان نگه دارد

ویژگی حمایت شده اتصال به اینترنت همه چیز را تغییر داده است، از جمله محیط های صنعتی قدیمی. همانطور که شرکت ها عملیات خود را مدرن می کنند، ماشین آلات بیشتری را به وب متصل می کنند. این وضعیتی است که نگرانی های امنیتی واضح و فعلی ایجاد می کند و صنعت به رویکردهای جدیدی برای مقابله با آنها نیاز دارد.

پذیرش صنعتی اینترنت اشیا (IIoT) به سرعت در حال پیشرفت است. پژوهش از Inmarsat دریافتند که 77 درصد از سازمان‌های مورد بررسی حداقل یک پروژه IIoT را به طور کامل اجرا کرده‌اند که 41 درصد از آنها بین سه‌ماهه دوم 2020 تا 2021 این کار را انجام داده‌اند.

همین تحقیق همچنین هشدار داد که امنیت یک نگرانی اصلی برای شرکت‌هایی است که به استقرار IIoT می‌پردازند، با 54 درصد از پاسخ‌دهندگان شکایت داشتند که این امر مانع استفاده مؤثر از داده‌هایشان شده است. نیمی همچنین خطر حملات سایبری خارجی را به عنوان یک مسئله ذکر کرد.

راه حل های IIoT برای همگرایی IT و OT (فناوری عملیاتی) بسیار مهم هستند. پلتفرم‌های OT، اغلب سیستم‌های کنترل صنعتی (ICS)، به شرکت‌ها کمک می‌کنند دستگاه‌های فیزیکی خود را مدیریت کنند، مانند پرس‌ها و تسمه‌های نقاله که تولیدات تولیدی را تامین می‌کنند یا دریچه‌ها و پمپ‌هایی که جریان آب شهری را حفظ می‌کنند.

با انجام این کار، آنها حجم عظیمی از داده ها را تولید می کنند که برای اهداف تحلیلی مفید است. اما دریافت این اطلاعات در ابزارهای سازمانی مناسب به معنای پر کردن شکاف بین فناوری اطلاعات و فناوری اطلاعات است.

اپراتورها همچنین می خواهند که این سیستم های OT از راه دور قابل دسترسی باشند. دادن قابلیت کنترل آن دستگاه‌ها به برنامه‌های معمولی فناوری اطلاعات به این معنی است که می‌توان آن‌ها را با همان فرآیندهای پشتیبان تعریف‌شده در سیستم‌های فناوری اطلاعات مرتبط کرد. و فعال کردن دسترسی از راه دور برای تکنسین‌هایی که نمی‌توانند یا نمی‌خواهند یک سفر چند کیلومتری را فقط برای تغییر عملیاتی انجام دهند، می‌تواند در زمان و هزینه صرفه‌جویی کند.

این نیاز به دسترسی از راه دور در طول بحران COVID-19 تشدید شد، زمانی که فاصله گذاری اجتماعی و محدودیت های سفر باعث شد که تکنسین ها اصلاً از بازدید در محل جلوگیری کنند. به عنوان مثال، Inmarsat متوجه شد که همه‌گیری علت اصلی پذیرش سریع IIoT است، به طوری که 84 درصد گزارش داده‌اند که پروژه‌های خود را به عنوان پاسخی مستقیم به همه‌گیری تسریع می‌کنند یا خواهند کرد.

بنابراین برای بسیاری، همگرایی IT و OT بیش از این است که راحت باشد. ضروریه. اما همچنین طوفانی عالی برای تیم های امنیتی ایجاد کرده است. یک سیستم ICS قابل دسترسی خارجی، سطح حمله را برای هکرها افزایش می دهد.

حملات ICS در عمل 

گاهی اوقات این همگرایی IT/OT می تواند به سادگی شخصی باشد که نرم افزار دسترسی از راه دور را روی رایانه شخصی در یک مرکز نصب می کند. این مجموعه ای است که مجاز هکرها برای دسترسی به سیستم های کنترل از طریق نصب یک ابزار دسترسی از راه دور در کارخانه آب شهری اولدزمار، فلوریدا در سال 2021 قبل از تلاش برای مسموم کردن ساکنان محلی با هیدروکسید سدیم. رایانه شخصی که مهاجم به خطر انداخته بود به تجهیزات OT در کارخانه دسترسی داشت. کلانتر شهر گزارش داد که مزاحم نامرئی نشانگر ماوس را جلوی یکی از کارگرانش کشیده است.

مشخص نیست که چه چیزی باعث شده هکرها سعی کنند فلوریدیان بی گناه را مسموم کنند، اما برخی از حملات انگیزه مالی دارند. یک مثال حمله باج افزار EKANS است که هوندا رو بزن در ژوئن 2020، فعالیت های تولیدی در سراسر بریتانیا، ایالات متحده و ترکیه را تعطیل کرد.

مهاجمان از باج‌افزار EKANS برای هدف قرار دادن سرورهای داخلی شرکت استفاده کردند که باعث اختلال بزرگ در کارخانه‌های آن شد. در یک تحلیل در رابطه با این حمله، شرکت امنیت سایبری Darktrace توضیح داد که EKANS نوع جدیدی از باج افزار است. سیستم‌های باج‌افزاری که شبکه‌های OT را هدف قرار می‌دهند، معمولاً این کار را ابتدا با ضربه زدن به تجهیزات فناوری اطلاعات و سپس چرخش انجام می‌دهند. EKANS نسبتاً نادر است زیرا زیرساخت ICS را مستقیماً هدف قرار می دهد. می تواند تا 64 سیستم ICS خاص را در زنجیره کشتن خود هدف قرار دهد.

کارشناسان معتقدند سایر حملات ICS توسط دولت حمایت می شود. بدافزار تریتون که برای اولین بار در سال 2017 در کارخانه های پتروشیمی راه اندازی شد هنوز یک تهدید به گفته FBI، که حملات را به گروه های روسی مورد حمایت دولت نسبت می دهد. به گفته دفتر این بدافزار به خصوص بدافزار است، زیرا باعث آسیب فیزیکی، اثرات زیست محیطی و تلفات جانی می شود.

راه حل های امنیتی استاندارد در اینجا کار نمی کنند

رویکردهای سنتی امنیت سایبری در حل این آسیب‌پذیری‌های OT مؤثر نیستند. شرکت ها می توانند از ابزارهای امنیتی نقطه پایانی از جمله ضد بدافزار برای محافظت از رایانه شخصی خود استفاده کنند. اما اگر نقطه پایانی یک کنترل‌کننده منطقی قابل برنامه‌ریزی، یک دوربین ویدیویی مجهز به هوش مصنوعی یا یک لامپ باشد چه؟ این دستگاه ها اغلب ظرفیت اجرای نرم افزارهایی را ندارند که بتوانند فرآیندهای داخلی آنها را بررسی کنند. برخی ممکن است CPU یا امکانات ذخیره سازی داده نداشته باشند.

حتی اگر یک دستگاه IIoT دارای پهنای باند پردازش و قابلیت‌های قدرت برای پشتیبانی از یک عامل امنیتی داخلی باشد، سیستم‌عامل‌های سفارشی که استفاده می‌کنند بعید است از راه‌حل‌های عمومی پشتیبانی کنند. محیط‌های IIoT اغلب از چندین نوع دستگاه از فروشندگان مختلف استفاده می‌کنند و مجموعه‌ای متنوع از سیستم‌های غیر استاندارد را ایجاد می‌کنند.

سپس مسئله مقیاس و توزیع وجود دارد. مدیران و متخصصان امنیتی که با هزاران رایانه شخصی استاندارد در یک شبکه سروکار دارند، یک محیط IIoT را پیدا می‌کنند، جایی که تعداد سنسورها ممکن است صدها هزار نفر باشد، بسیار متفاوت. آنها همچنین ممکن است در یک منطقه گسترده پخش شوند، به ویژه هنگامی که محیط های محاسباتی لبه ای جذب می شوند. آنها ممکن است برای صرفه جویی در مصرف برق، اتصالات خود را به شبکه در برخی از محیط های دورتر محدود کنند.

ارزیابی چارچوب های حفاظتی سنتی ICS

اگر پیکربندی‌های امنیتی IT معمولی نمی‌توانند با این چالش‌ها مقابله کنند، شاید جایگزین‌های OT محور بتوانند؟ مدل استاندارد استفاده از مدل امنیت سایبری پوردو است. این استاندارد که در دانشگاه پردو ایجاد شده و توسط انجمن بین المللی اتوماسیون به عنوان بخشی از استاندارد ISA 99 پذیرفته شده است، سطوح متعددی را برای توصیف محیط IT و ICS تعریف می کند.

سطح صفر با ماشین‌های فیزیکی سروکار دارد - ماشین‌های تراش، پرس‌های صنعتی، شیرها و پمپ‌هایی که کارها را انجام می‌دهند. سطح بعدی شامل دستگاه های هوشمندی است که آن ماشین ها را دستکاری می کنند. اینها حسگرهایی هستند که اطلاعات را از ماشین های فیزیکی و محرک هایی که آنها را هدایت می کنند، منتقل می کنند. سپس سیستم‌های کنترل نظارتی و جمع‌آوری داده (SCADA) را پیدا می‌کنیم که بر آن ماشین‌ها نظارت می‌کنند، مانند کنترل‌کننده‌های منطقی قابل برنامه‌ریزی.

این دستگاه‌ها به سیستم‌های مدیریت عملیات تولید در سطح بعدی متصل می‌شوند که جریان‌های کاری صنعتی را اجرا می‌کنند. این ماشین‌ها تضمین می‌کنند که کارخانه به طور بهینه کار می‌کند و داده‌های عملیات آن را ثبت می‌کند.

در سطوح بالای مدل پوردو، سیستم‌های سازمانی قرار دارند که کاملاً در قلمرو فناوری اطلاعات قرار دارند. سطح اول در اینجا شامل برنامه های کاربردی خاص تولید مانند برنامه ریزی منابع سازمانی است که لجستیک تولید را مدیریت می کند. سپس در بالاترین سطح، شبکه IT قرار دارد که داده ها را از سیستم های ICS جمع آوری می کند تا گزارش های تجاری و تصمیم گیری را هدایت کند.

در قدیم، زمانی که هیچ چیز با هیچ چیز خارج از شبکه صحبت نمی کرد، مدیریت محیط های ICS با استفاده از این رویکرد آسان تر بود، زیرا مدیران می توانستند شبکه را در امتداد مرزهای آن تقسیم کنند.

یک لایه منطقه غیرنظامی (DMZ) عمداً برای پشتیبانی از این نوع تقسیم‌بندی اضافه شد که بین دو لایه سازمانی و لایه‌های ICS در پایین‌تر پشته قرار دارد. این به عنوان یک شکاف هوایی بین شرکت و دامنه های ICS عمل می کند و از تجهیزات امنیتی مانند فایروال ها برای کنترل ترافیک بین آنها استفاده می کند.

با توجه به اینکه ISA اخیراً آن را معرفی کرده است، هر محیط IT/OT این لایه را نخواهد داشت. حتی آنهایی که با چالش روبرو هستند.

محیط های عملیاتی امروزی با محیط های دهه 1990 متفاوت است، زمانی که مدل پوردو برای اولین بار تکامل یافت و ابر آنطور که می دانیم وجود نداشت. مهندسان می‌خواهند مستقیماً به عملیات‌های مدیریت اولیه یا سیستم‌های SCADA وارد شوند. فروشندگان ممکن است بخواهند دستگاه های هوشمند خود را در سایت های مشتریان مستقیماً از اینترنت نظارت کنند. برخی از شرکت ها مشتاق هستند که کل لایه SCADA خود را به عنوان Severn Trent Water به ابر منتقل کنند مصمم در سال 2020 انجام شود.

تکامل ICS به عنوان یک سرویس (ICSaaS) که توسط اشخاص ثالث مدیریت می شود، آب را برای تیم های امنیتی که با همگرایی IT/OT دست و پنجه نرم می کنند، گل آلودتر کرده است. همه این عوامل خطر باز کردن حفره های متعدد در محیط و دور زدن هرگونه تلاش قبلی برای بخش بندی را دارند.

بریدن از طریق کل آشفتگی درهم 

در عوض، برخی از شرکت ها رویکردهای جدیدی را اتخاذ می کنند که فراتر از تقسیم بندی است. آنها به جای تکیه بر مرزهای شبکه که به سرعت ناپدید می شوند، ترافیک را در سطح دستگاه در زمان واقعی بررسی می کنند. این بسیار دور از پیشنهادهای اولیه حذف محیطی نیست که توسط انجمن Open Group جریکو در اوایل نوپا ارائه شد، اما تجزیه و تحلیل ترافیک در نقاط مختلف شبکه در آن زمان دشوار بود. امروزه، به لطف ظهور هوش مصنوعی، مدافعان بهتر می‌توانند مراقب خود باشند.

Darktrace است درخواست برخی از این مفاهیم در سیستم ایمنی صنعتی آن. به جای تماشای امضاهای مخرب شناخته شده در مرزهای بخش های شبکه، با یادگیری آنچه در همه جا در محیط IT و OT عادی است، از جمله هر بخش از آن محیط که در فضای ابری میزبانی می شود، شروع می شود.

این سرویس با ایجاد یک خط مبنا در حال تکامل از نرمال بودن، تمام ترافیک را برای فعالیت هایی که خارج از آن قرار می گیرد تجزیه و تحلیل می کند. می تواند مدیران و تحلیلگران امنیتی را از این مسائل آگاه کند انجام داد برای یک مشتری تولید اروپایی

این سرویس نیز مستقل است. هنگامی که مشتری به اندازه کافی به تصمیمات خود اعتماد می کند تا کلید را برگرداند، سیستم ایمنی می تواند از حالت هشدار صرف به اقدام متناسب حرکت کند. این ممکن است به معنای مسدود کردن اشکال خاصی از ترافیک، اعمال رفتار عادی دستگاه، یا در موارد شدید قرنطینه کردن سیستم‌ها، از جمله تجهیزات در لایه‌های OT/ICS باشد.

مدیران Darktrace امیدوارند که این حرکت به سمت یک مدل دقیق تر از تجزیه و تحلیل ترافیک ثابت و همه جا حاضر، همراه با ارزیابی زمان واقعی در برابر رفتار عادی شناخته شده، به خنثی کردن موج فزاینده حملات سایبری ICS کمک کند. همچنین امیدواریم که شرکت ها را قادر می سازد تا چابک تر شوند و از دسترسی از راه دور و ابتکارات ICS مبتنی بر ابر پشتیبانی کنند. در آینده، مجبور نخواهید بود که برای روشن نگه داشتن چراغ ها، خطر کنید که کسی چراغ ها را خاموش کند.

با حمایت Darktrace