In che modo l'apprendimento automatico può aumentare la visibilità della rete per i team OT

L'obiettivo della rete neurale nella sicurezza informatica è essere in grado di rilevare comportamenti e modelli insoliti, in particolare all'interno di risorse e reti OT. Il rilevamento di comportamenti insoliti spesso porta alla scoperta che sei stato compromesso o che qualcosa è stato configurato in modo errato.

"Avere visibilità sulle tue risorse e reti industriali è il primo passo per comprendere il tuo approccio generale alla sicurezza informatica OT", afferma Pete Lund, vicepresidente dei prodotti per la sicurezza OT presso Opswat, specialista in sicurezza informatica delle infrastrutture.

Per sfruttare tali capacità, Opswat ha presentato la sua soluzione di visibilità della rete basata sull'intelligenza artificiale, Neuralyzer. Lo strumento software sfrutta l'apprendimento automatico (ML) per apprendere i modelli di comunicazione tra risorse e reti per determinare quale sia l'attività "normale". Ciò consente ai lavoratori OT di rimanere concentrati sulle attività primarie a portata di mano e di avvisarli solo quando si verifica un'attività anormale.

"Le reti neurali hanno la capacità di apprendere in modo simile al cervello umano, e quindi possono individuare le bandiere rosse per tuo conto come un secondo paio di occhi", spiega Lund. "Il ML in Neuralyzer può identificare il tipo di dispositivo o risorsa sulla rete, fornendo visibilità delle risorse".

Machine Learning cerca risorse e anomalie

Un'applicazione di ML in Neuralyzer è la capacità di identificare il tipo di dispositivo/asset sulla rete, chiamata funzionalità di visibilità degli asset.

Nel visibilità delle risorse, la maggior parte degli strumenti utilizza l'impronta digitale del dispositivo (DFP) solitamente utilizzata per rilevare e/o profilare il dispositivo. I dispositivi OT tipici, a differenza dei dispositivi IT, non dispongono di un browser installato, quindi l'impronta del browser (un approccio efficace per DFP nell'IT) di solito non funziona per l'ambiente OT.

"Attraverso ricerche ed esperimenti approfonditi, il nostro team ha elaborato un set di funzionalità selezionato e un algoritmo ML che funziona meglio, in termini di precisione, prestazioni e input richiesti, per classificare il tipo di dispositivo", spiega Lund.

Afferma che un'altra applicazione per ML è il rilevamento di anomalie sulla connettività di rete e sull'attività di un particolare dispositivo o dell'intera rete.

Neuralyzer può modellare il dispositivo o i dispositivi e le relative connessioni di rete come un grafico, quindi utilizzare la rete neurale convoluzionale 1D per il rilevamento delle anomalie.

"La dissezione del traffico di rete e il rilevamento delle anomalie sono buoni casi d'uso per ML e reti neurali", afferma Lund. "La dissezione del traffico di rete sarebbe un approccio fattibile per DFP nell'OT".

Sottolinea che il rilevamento delle anomalie è un aspetto importante nella visibilità dell'ambiente OT.

"Un'anomalia potrebbe non solo riguardare l'integrità, ad esempio una violazione della rete, ma potrebbe anche riguardare la disponibilità o il normale funzionamento delle risorse, che è fondamentale per l'ambiente OT", afferma Lund.

Le reti neurali offrono molteplici vantaggi di sicurezza informatica

Bud Broomhead, CEO del fornitore automatizzato di igiene informatica IoT Viakoo, afferma che le reti neurali, come qualsiasi altra tecnologia, possono essere utilizzate entrambe per migliorare e sconfiggere la sicurezza informatica.

"Esistono molti esempi su come le reti neurali possono essere addestrate per produrre risultati negativi o ricevere dati per interrompere i sistemi", spiega. "Tuttavia, il massiccio miglioramento dell'efficienza, ad esempio il rilevamento delle minacce informatiche in pochi secondi o l'individuazione quasi immediata di attori delle minacce all'interno di una folla, sarà necessario per molti anni a venire per superare le lacune di risorse presenti nella sicurezza informatica".

Le reti neurali possono analizzare sistemi complessi e prendere decisioni intelligenti su come presentarli e classificarli. In altre parole, prendono molti dati grezzi e li trasformano in intuizioni significative.

"Il semplice fatto di avere un inventario delle risorse non mostra la loro combinazione in un flusso di lavoro strettamente accoppiato, ma questo è ciò di cui le aziende hanno bisogno per dare la priorità alla vulnerabilità e al rischio di questi sistemi", afferma Broomhead.

John Bambenek, principale cacciatore di minacce presso Netenrich, una società SaaS di sicurezza e analisi delle operazioni, aggiunge che le reti neurali consentono analisi statistiche ben oltre la capacità di un essere umano.

"Dati punti dati sufficienti e una formazione completa ed efficace, possono classificare rapidamente normale e anormale, consentendo a un analista di seguire eventi che altrimenti non sarebbero rilevati", afferma.

Bambenek afferma di non vedere le reti neurali affidabili per la scoperta di risorse o la gestione delle vulnerabilità, tuttavia.

"Se una risorsa non è visibile nei registri DHCP, non c'è una buona quantità di dati per trovarla altrimenti", sottolinea. "La gestione del rischio, d'altra parte, può trovare anormali e quindi classificare il comportamento rischioso utilizzando altri contesti disponibili per fornire risposte al rischio aziendale".

Broomhead afferma che anche il rilevamento di sottili modifiche al comportamento del sistema OT può consentire a una rete neurale di vedere quando è necessaria la manutenzione, quando si verificano minacce informatiche e in che modo i cambiamenti ambientali provocano la reazione del sistema.

"Soprattutto in tempi come adesso, quando le risorse umane sono limitate per mantenere i sistemi OT operativi in ​​modo sicuro e protetto, le reti neurali sono un moltiplicatore di forza su cui molte organizzazioni possono fare affidamento", afferma.