כיצד בינה מלאכותית יכולה להאיר את האורות התעשייתיים

תכונה ממומנת קישוריות לאינטרנט שינתה הכל, כולל סביבות תעשייתיות של פעם. ככל שחברות משדרגות את הפעילות שלהן, הן מחברות יותר מהמכונות שלהן לאינטרנט. זהו מצב שיוצר חששות אבטחה ברורים ונוכחים, והתעשייה זקוקה לגישות חדשות להתמודדות איתם.

האימוץ של האינטרנט של הדברים התעשייתי (IIoT) מתקדם במהירות. מחקר מ-Inmarsat מצא כי 77 אחוז מהארגונים שנסקרו פרסו במלואו לפחות פרויקט IIoT אחד, כאשר 41 אחוז מהם עשו זאת בין הרבעונים השניים של 2020 ו-2021.

אותו מחקר גם הזהיר כי אבטחה היא הדאגה העיקרית עבור חברות שמתחילות בפריסות IIoT, כאשר 54 אחוזים מהמשיבים התלוננו שזה מנע מהם להשתמש בנתונים שלהם ביעילות. מחציתם גם ציינו את הסיכון למתקפות סייבר חיצוניות כבעיה.

פתרונות IIoT הם חיוניים להתכנסות של IT ו-OT (טכנולוגיה תפעולית). פלטפורמות OT, לרוב מערכות בקרה תעשייתיות (ICS), עוזרות לחברות לנהל את המכשירים הפיזיים שלהן כמו מכבשים ורצועות מסוע המניעות את הייצור או השסתומים והמשאבות ששומרות על זרימת המים העירוניים.

בכך הם מייצרים כמויות אדירות של נתונים שימושיים למטרות ניתוח. אבל הכנסת המידע הזה לכלים הארגוניים המתאימים פירושה גישור על הפער בין IT ל-OT.

המפעילים גם רוצים שמערכות ה-OT יהיו נגישות מרחוק. מתן אפשרות ליישומי IT קונבנציונליים לשלוט בהתקנים אלה פירושו שניתן לקשר אותם עם אותם תהליכים עורפיים המוגדרים במערכות IT. ואפשרות גישה מרחוק לטכנאים שאינם מסוגלים או לא רוצים לבצע נסיעה הלוך ושוב של קילומטרים רבים רק כדי לבצע שינוי תפעולי, יכולה גם היא לחסוך זמן וכסף.

הצורך הזה בגישה מרחוק התחדד במהלך משבר ה-COVID-19 כאשר התרחקות חברתית והגבלות נסיעה מנעו מטכנאים לבצע ביקורים באתר בכלל. Inmarsat מצא שהמגיפה הייתה גורם שורש לאימוץ מואץ של IIoT, למשל, כאשר 84 אחוזים דיווחו שהם יזכו או יאיץ את הפרויקטים שלהם כתגובה ישירה למגיפה.

אז עבור רבים, ההתכנסות של IT ו-OT היא יותר מסתם נוחה; זה חיוני. אבל זה גם יצר סערה מושלמת עבור צוותי אבטחה. מערכת ICS נגישה חיצונית מגדילה את משטח ההתקפה עבור האקרים.

התקפות ICS בפעולה 

לפעמים התכנסות IT/OT יכולה להיות פשוטה כמו מישהו שמתקין תוכנת גישה מרחוק על מחשב אישי במתקן. זה ההגדרה אשר מותר האקרים למערכות בקרת גישה באמצעות התקנה של כלי גישה מרחוק במפעל המים העירוני באולדסמאר, פלורידה בשנת 2021 לפני שניסו להרעיל את התושבים המקומיים בנתרן הידרוקסיד. למחשב שהתוקף פרץ הייתה גישה לציוד ה-OT במפעל. השריף של העיירה דיווח כי הפולש הבלתי נראה גרר את סמן העכבר לפני אחד מעובדיו.

לא ברור מה גרם להאקרים לנסות ולהרעיל פלורידיאנים תמימים, אבל לחלק מהתקיפות יש מניעים כלכליים. דוגמה אחת היא מתקפת תוכנת הכופר של EKANS פגע בהונדה ביוני 2020, השבתת פעילות הייצור ברחבי בריטניה, ארה"ב וטורקיה.

התוקפים השתמשו בתוכנת הכופר של EKANS כדי למקד שרתים פנימיים בחברה, וגרמו להפרעה גדולה במפעליה. ב אנליזה של המתקפה, חברת אבטחת הסייבר Darktrace הסבירה כי EKANS הוא סוג חדש של תוכנת כופר. מערכות כופר המכוונות לרשתות OT עושות זאת בדרך כלל על ידי פגיעה תחילה בציוד IT ולאחר מכן סיבוב. EKANS נדיר יחסית בכך שהוא מכוון ישירות לתשתית ICS. זה יכול למקד עד 64 מערכות ICS ספציפיות בשרשרת ההרג שלה.

מומחים מאמינים שהתקפות ICS אחרות הן בחסות המדינה. התוכנה הזדונית של Triton, שהופנתה לראשונה למפעלים פטרוכימיים ב-2017, היא עדיין מהווה איום לפי ה-FBI, המייחס התקפות לקבוצות רוסיות הנתמכות על ידי המדינה. תוכנה זדונית זו היא מגעיל במיוחד, לפי הלשכה, מכיוון שהיא אפשרה נזק פיזי, השפעה סביבתית ואובדן חיים.

פתרונות אבטחה סטנדרטיים לא יעבדו כאן

גישות אבטחת סייבר מסורתיות אינן יעילות בפתרון פגיעויות OT אלה. חברות יכולות להשתמש בכלי אבטחת נקודות קצה כולל אנטי-תוכנות זדוניות כדי להגן על המחשבים האישיים שלהן. אבל מה אם נקודת הקצה הייתה בקר לוגי שניתן לתכנות, מצלמת וידאו התומכת בינה מלאכותית או נורה? למכשירים אלה אין לעתים קרובות את היכולת להפעיל סוכני תוכנה שיכולים לבדוק את התהליכים הפנימיים שלהם. לחלקם אולי אין מעבדים או מתקני אחסון נתונים.

גם אם למכשיר IIoT אכן יש את רוחב הפס ויכולות ההספק כדי לתמוך בסוכן אבטחה מובנה, סביר להניח שמערכות ההפעלה המותאמות אישית שבהן הם משתמשים לא יתמכו בפתרונות גנריים. סביבות IIoT משתמשות לעתים קרובות במספר סוגים של מכשירים מספקים שונים, ויוצרת סל מגוון של מערכות לא סטנדרטיות.

ואז יש את השאלה של קנה מידה ופיזור. מנהלי מערכת ואנשי אבטחה הרגילים להתמודד עם אלפי מחשבים סטנדרטיים ברשת ימצאו סביבת IIoT, שבה חיישנים עשויים למספר מאות אלפים, שונים מאוד. הם עשויים גם להתפשט על פני שטח רחב, במיוחד כאשר סביבות מחשוב קצה צוברות אחיזה. הם עשויים להגביל את החיבורים שלהם לרשת בסביבות מרוחקות יותר כדי לחסוך בחשמל.

הערכת מסגרות הגנת ICS מסורתיות

אם תצורות אבטחת IT קונבנציונליות אינן יכולות להתמודד עם האתגרים הללו, אז אולי חלופות ממוקדות OT יכולות? המודל הסטנדרטי הוא מודל אבטחת הסייבר של Purdue. נוצר באוניברסיטת Purdue ואומצה על ידי האגודה הבינלאומית לאוטומציה כחלק מתקן ה-ISA 99 שלה, הוא מגדיר מספר רמות המתארות את סביבת ה-IT וה-ICS.

רמה אפס עוסקת במכונות הפיזיות - המחרטות, המכבשים התעשייתיים, השסתומים והמשאבות שעושות דברים. הרמה הבאה למעלה כוללת את המכשירים החכמים שמתפעלים את המכונות האלה. אלו הם החיישנים שמעבירים מידע מהמכונות הפיזיות ומהמפעילים שמניעים אותן. לאחר מכן אנו מוצאים את מערכות הבקרה ורכישת הנתונים (SCADA) המפקחות על המכונות הללו, כגון בקרי לוגיקה ניתנים לתכנות.

התקנים אלו מתחברים למערכות ניהול תפעול הייצור ברמה הבאה למעלה, אשר מבצעות זרימות עבודה תעשייתיות. מכונות אלו מבטיחות שהמפעל ימשיך לפעול בצורה מיטבית ומתעדת את נתוני הפעילות שלו.

ברמות העליונות של מודל Purdue נמצאות המערכות הארגוניות הנשענות באופן ישיר בתחום ה-IT. הרמה הראשונה כאן מכילה את היישומים הספציפיים לייצור כגון תכנון משאבים ארגוניים המטפלים בלוגיסטיקת הייצור. לאחר מכן, ברמה העליונה נמצאת רשת ה-IT, אשר אוספת נתונים ממערכות ה-ICS כדי להניע דיווח עסקי וקבלת החלטות.

בימים עברו, כששום דבר לא דיבר עם שום דבר מחוץ לרשת, היה קל יותר לנהל סביבות ICS באמצעות גישה זו, מכיוון שמנהלי מערכת יכלו לפלח את הרשת לאורך גבולותיה.

שכבת אזור מפורז (DMZ) נוספה בכוונה כדי לתמוך בסוג זה של פילוח, יושבת בין שתי שכבות הארגון ושכבות ה-ICS בהמשך הערימה. הוא פועל כמרווח אוויר בין הארגון לתחומי ה-ICS, תוך שימוש בציוד אבטחה כגון חומות אש כדי לשלוט על התעבורה העוברת ביניהם.

לא לכל סביבת IT/OT תהיה שכבה זו, בהתחשב בכך ש-ISA הציגה אותה רק לאחרונה. גם אלו שכן מתמודדים עם אתגרים.

סביבות ההפעלה של היום שונות מאלו של שנות ה-1990, כאשר מודל Purdue התפתח לראשונה והענן כפי שאנו מכירים אותו לא היה קיים. מהנדסים רוצים להיכנס ישירות לפעולות ניהול מקומיות או למערכות SCADA. ספקים עשויים לרצות לנטר את המכשירים החכמים שלהם באתרי לקוחות ישירות מהאינטרנט. חברות מסוימות כמהות להעלות את כל שכבת ה-SCADA שלהן לתוך הענן, כמו Severn Trent Water החליט לעשות ב-2020.

האבולוציה של ICS as a Service (ICSaaS), המנוהלת על ידי צדדים שלישיים, רטטה עוד יותר את המים עבור צוותי אבטחה המתמודדים עם התכנסות IT/OT. כל הגורמים הללו מסתכנים בפתיחת חורים מרובים בסביבה ולעקוף כל מאמצי פילוח קודמים.

חותך את כל הבלגן הסבוך 

במקום זאת, חברות מסוימות מאמצות גישות חדשות שעולות מעבר לפילוח. במקום להסתמך על גבולות רשת שנעלמים במהירות, הם בוחנים את התעבורה ברמת המכשיר בזמן אמת. זה לא רחוק מההצעות המקוריות להרחקת היקפים שקודם על ידי פורום יריחו של הקבוצה הפתוחה בראשית שנות הניקוד, אבל ניתוח התעבורה בכל כך הרבה נקודות שונות ברשת היה אז קשה. כיום, מגנים מסוגלים לשמור על עין פקוחה יותר בזכות הופעת הבינה המלאכותית.

Darktrace הוא יישום חלק מהמושגים הללו בתוך מערכת החיסון התעשייתית שלו. במקום לצפות בחתימות זדוניות ידועות בגבולות של מקטעי רשת, זה מתחיל בלימוד מה נורמלי בכל מקום בסביבת ה-IT וה-OT, כולל כל חלק מהסביבה המתארחת בענן.

ביסוס קו בסיס מתפתח של נורמליות, השירות מנתח את כל התעבורה לפעילות שנופלת מחוצה לה. זה יכול להתריע בפני מנהלי מערכת ומנתחי אבטחה על בעיות אלה, כפי שהוא עשה עבור לקוח ייצור אירופאי אחד.

השירות הוא גם אוטונומי. כאשר לקוח סומך על ההחלטות שלו מספיק כדי להפוך את המתג, מערכת החיסון יכולה לעבור מסתם התראה לנקיטת פעולה מידתית. פירוש הדבר עשוי לחסום צורות מסוימות של תעבורה, אכיפת התנהגות רגילה של מכשיר, או במקרים חמורים מערכות הסגר לחלוטין, כולל ציוד בשכבות ה-OT/ICS.

המנהלים של Darktrace מקווים שהמעבר הזה למודל מפורט יותר של ניתוח תעבורה קבוע ונמצא בכל מקום, בשילוב עם הערכת זמן אמת מול התנהגות נורמלית ידועה, יעזור לסכל את הגאות הגואה של מתקפות סייבר ICS. יש לקוות שזה גם יאפשר לחברות להפוך לזריזות יותר, לתמוך בגישה מרחוק ויוזמות ICS מבוססות ענן. בעתיד, לא תצטרך להסתכן במישהו שיכבה את האורות במסע שלך כדי לשמור על האורות דולקים.

בחסות Darktrace