Hvordan AI kan holde industrilysene skinnende

Sponset funksjon Internett-tilkobling har endret alt, inkludert gamle industrimiljøer. Etter hvert som bedrifter moderniserer driften, kobler de mer av maskinene sine til nettet. Det er en situasjon som skaper klare og nåværende sikkerhetsproblemer, og industrien trenger nye tilnærminger for å håndtere dem.

Industrielt Internet of Things (IIoT) adopsjon går fort fremover. Forskning fra Inmarsat fant at 77 prosent av de undersøkte organisasjonene har fullt ut implementert minst ett IIoT-prosjekt, med 41 prosent av dem som har gjort det mellom andre kvartaler 2020 og 2021.

Den samme forskningen advarte også om at sikkerhet var en primær bekymring for selskaper som tar fatt på IIoT-distribusjoner, med 54 prosent av respondentene som klaget over at det stoppet dem med å bruke dataene deres effektivt. Halvparten nevnte også risikoen for eksterne cyberangrep som et problem.

IIoT-løsninger er sentrale for konvergensen mellom IT og OT (operativ teknologi). OT-plattformer, ofte industrielle kontrollsystemer (ICS), hjelper bedrifter med å administrere sine fysiske enheter som presser og transportbånd som driver produksjonsproduksjon eller ventiler og pumper som holder kommunalt vann flytende.

Ved å gjøre det genererer de enorme mengder data som er nyttige for analyseformål. Men å få den informasjonen inn i de riktige bedriftsverktøyene betyr å bygge bro mellom IT og OT.

Operatører ønsker også at disse OT-systemene skal være tilgjengelige eksternt. Å gi konvensjonelle IT-applikasjoner muligheten til å kontrollere disse enhetene betyr at de kan kobles til de samme back-end-prosessene som er definert i IT-systemer. Og å aktivere ekstern tilgang for teknikere som ikke kan eller ikke vil ta en tur-retur på flere kilometer bare for å gjøre en driftsendring, kan også spare tid og penger.

Dette behovet for ekstern tilgang ble skjerpet under COVID-19-krisen da sosial distansering og reisebegrensninger stoppet teknikere fra å foreta besøk på stedet i det hele tatt. Inmarsat fant at pandemien var en rotårsak til akselerert IIoT-adopsjon, for eksempel, med 84 prosent rapporterte at de har eller vil akselerere prosjektene sine som en direkte respons på pandemien.

Så for mange er konvergensen mellom IT og OT mer enn bare praktisk; det er viktig. Men det har også skapt en perfekt storm for sikkerhetsteam. Et eksternt tilgjengelig ICS-system som er tilgjengelig øker angrepsflaten for hackere.

ICS-angrep i aksjon 

Noen ganger kan denne IT/OT-konvergensen være så enkel som at noen installerer fjerntilgangsprogramvare på en PC på et anlegg. Det er oppsettet som tillatt hackere til tilgangskontrollsystemer via en installasjon av et fjerntilgangsverktøy ved det kommunale vannverket i Oldsmar, Florida i 2021 før de forsøkte å forgifte lokale innbyggere med natriumhydroksid. PC-en som angriperen kompromitterte hadde tilgang til OT-utstyret på anlegget. Byens lensmann rapporterte at den usynlige inntrengeren hadde dratt musepekeren rundt foran en av arbeiderne.

Det er ikke klart hva som fikk hackere til å prøve å forgifte uskyldige Floridianere, men noen angrep har økonomiske motiver. Et eksempel er EKANS-ransomware-angrepet traff Honda i juni 2020, og stengte produksjonsvirksomhet over hele Storbritannia, USA og Tyrkia.

Angripere brukte EKANS løsepengeprogramvare for å målrette interne servere hos selskapet, noe som forårsaket store forstyrrelser ved fabrikkene. I en analyse av angrepet forklarte nettsikkerhetsselskapet Darktrace at EKANS var en ny type løsepengevare. Ransomware-systemer som retter seg mot OT-nettverk gjør det normalt ved å treffe IT-utstyr først og deretter pivotere. EKANS er relativt sjelden ved at den retter seg direkte mot ICS-infrastruktur. Den kan målrette mot opptil 64 spesifikke ICS-systemer i sin drepekjede.

Eksperter mener at andre ICS-angrep er statsstøttet. Triton malware, først rettet mot petrokjemiske anlegg i 2017, er fortsatt en trussel ifølge FBI, som tilskriver angrep til statsstøttede russiske grupper. Denne skadevare er spesielt ekkel, ifølge Spesialenheten, fordi den tillot fysisk skade, miljøpåvirkning og tap av liv.

Standard sikkerhetsløsninger vil ikke fungere her

Tradisjonelle cybersikkerhetstilnærminger er ikke effektive for å løse disse OT-sårbarhetene. Bedrifter kan bruke endepunktsikkerhetsverktøy inkludert anti-malware for å beskytte PC-ene sine. Men hva om endepunktet var en programmerbar logikkkontroller, et AI-aktivert videokamera eller en lyspære? Disse enhetene har ikke ofte kapasitet til å kjøre programvareagenter som kan sjekke over deres interne prosesser. Noen har kanskje ikke CPUer eller datalagringsfasiliteter.

Selv om en IIoT-enhet hadde behandlingsbåndbredde og kraftkapasiteter for å støtte en innebygd sikkerhetsagent, vil det neppe være sannsynlig at de tilpassede operativsystemene de bruker støtter generiske løsninger. IIoT-miljøer bruker ofte flere typer enheter fra forskjellige leverandører, og skaper en mangfoldig portefølje av ikke-standardiserte systemer.

Så er det spørsmålet om skala og distribusjon. Administratorer og sikkerhetseksperter som er vant til å håndtere tusenvis av standard PC-er på et nettverk, vil finne et IIoT-miljø, der sensorer kan telle hundretusener, veldig forskjellige. De kan også spre seg over et stort område, spesielt ettersom kantdatamiljøer får trekkraft. De kan begrense tilkoblingene til nettverket i noen mer avsidesliggende miljøer for å spare strøm.

Evaluering av tradisjonelle ICS-beskyttelsesrammeverk

Hvis konvensjonelle IT-sikkerhetskonfigurasjoner ikke kan håndtere disse utfordringene, kan OT-sentriske alternativer kanskje det? Go-to-standardmodellen er Purdue cybersecurity-modellen. Opprettet ved Purdue University og adoptert av International Society of Automation som en del av ISA 99-standarden, definerer den flere nivåer som beskriver IT- og ICS-miljøet.

Nivå null omhandler de fysiske maskinene – dreiebenkene, industripressene, ventilene og pumpene som får ting gjort. Det neste nivået opp involverer de intelligente enhetene som manipulerer disse maskinene. Dette er sensorene som videresender informasjon fra de fysiske maskinene og aktuatorene som driver dem. Deretter finner vi systemene for tilsynskontroll og datainnsamling (SCADA) som overvåker disse maskinene, for eksempel programmerbare logiske kontrollere.

Disse enhetene kobles til produksjonsstyringssystemene på neste nivå opp, som utfører industrielle arbeidsflyter. Disse maskinene sikrer at anlegget fortsetter å fungere optimalt og registrerer driftsdata.

På de øvre nivåene i Purdue-modellen er bedriftssystemene som hviler helt i IT-området. Det første nivået her inneholder de produksjonsspesifikke applikasjonene som bedriftsressursplanlegging som håndterer produksjonslogistikk. Deretter på det øverste nivået er IT-nettverket, som henter data fra ICS-systemene for å drive forretningsrapportering og beslutningstaking.

I gamle dager, da ingenting snakket med noe utenfor nettverket, var det lettere å administrere ICS-miljøer ved å bruke denne tilnærmingen fordi administratorer kunne segmentere nettverket langs grensene.

Et lag med demilitarisert sone (DMZ) ble bevisst lagt til for å støtte denne typen segmentering, og satt mellom de to bedriftslagene og ICS-lagene lenger ned i stabelen. Det fungerer som et luftgap mellom bedriften og ICS-domenene, og bruker sikkerhetsutstyr som brannmurer for å kontrollere trafikken mellom dem.

Ikke alle IT/OT-miljøer vil ha dette laget, gitt at ISA imidlertid nylig introduserte det. Selv de som møter utfordringer.

Dagens driftsmiljøer er annerledes enn på 1990-tallet, da Purdue-modellen først utviklet seg og skyen slik vi kjenner den ikke eksisterte. Ingeniører ønsker å logge direkte på on-prem administrasjonsoperasjoner eller SCADA-systemer. Leverandører vil kanskje overvåke sine intelligente enheter på kundesteder direkte fra Internett. Noen selskaper lengter etter å løfte hele SCADA-laget inn i skyen, som Severn Trent Water besluttet å gjøre i 2020.

Utviklingen av ICS as a service (ICSaaS), administrert av tredjeparter, har gjort vannet ytterligere forvirret for sikkerhetsteam som sliter med IT/OT-konvergens. Alle disse faktorene risikerer å åpne flere hull i miljøet og omgå eventuelle tidligere segmenteringsarbeid.

Skjærer gjennom hele det sammenfiltrede rotet 

I stedet tar noen selskaper i bruk nye tilnærminger som går utover segmentering. I stedet for å stole på nettverksgrenser som raskt forsvinner, undersøker de trafikk på enhetsnivå i sanntid. Dette er ikke langt unna de opprinnelige de-perimeteriseringsforslagene som ble fremmet av Open Groups Jericho Forum på de tidlige noughties, men det var vanskelig å analysere trafikk på så mange forskjellige punkter i nettverket. I dag er forsvarere bedre i stand til å holde et våkent øye takket være bruken av AI.

Darktrace er søker noen av disse konseptene innenfor sitt industrielle immunsystem. I stedet for å se etter kjente ondsinnede signaturer ved grensene til nettverkssegmenter, begynner den med å lære hva som er normalt overalt i IT- og OT-miljøet, inkludert alle deler av det miljøet som er vert i skyen.

Ved å etablere en utviklende standard for normalitet, analyserer tjenesten all trafikk for aktivitet som faller utenfor den. Det kan varsle administratorer og sikkerhetsanalytikere om disse problemene gjorde for en europeisk produksjonskunde.

Tjenesten er også autonom. Når en kunde stoler nok på sine beslutninger til å snu bryteren, kan immunsystemet gå fra bare å varsle til å ta forholdsmessige tiltak. Dette kan bety å blokkere visse former for trafikk, håndheve en enhets normale oppførsel, eller i alvorlige tilfeller sette systemer i karantene, inkludert utstyr i OT/ICS-lagene.

Darktraces ledere håper at denne overgangen til en mer detaljert modell av konstant, allestedsnærværende trafikkanalyse, kombinert med sanntidsvurdering mot kjent normal oppførsel, vil bidra til å hindre den økende strømmen av ICS-cyberangrep. Det vil forhåpentligvis også gjøre det mulig for bedrifter å bli mer smidige, støtte fjerntilgang og skybaserte ICS-initiativer. I fremtiden trenger du ikke å risikere at noen slår av lysene i din søken etter å holde lysene på.

Sponset av Darktrace