Cum poate AI să mențină strălucirea luminilor industriale

Funcție sponsorizată Internet connectivity has changed everything, including old-school industrial environments. As companies modernise their operations, they’re connecting more of their machinery to the web. It’s a situation that’s creating clear and present security concerns, and the industry needs new approaches to dealing with them.

Adoptarea Internetului Industrial al Lucrurilor (IIoT) se accelerează. Cercetare de la Inmarsat a constatat că 77% dintre organizațiile chestionate au implementat pe deplin cel puțin un proiect IIoT, 41% dintre ele făcând acest lucru între al doilea trimestru din 2020 și 2021.

Aceeași cercetare a avertizat, de asemenea, că securitatea este o preocupare principală pentru companiile care se lansează în implementări IIoT, 54% dintre respondenți plângându-se că le-a împiedicat să-și folosească datele în mod eficient. Jumătate a citat, de asemenea, riscul atacurilor cibernetice externe drept problemă.

Soluțiile IIoT sunt esențiale pentru convergența IT și OT (tehnologia operațională). Platformele OT, adesea sisteme de control industrial (ICS), ajută companiile să-și gestioneze dispozitivele fizice, cum ar fi presele și benzile transportoare care alimentează producția de producție sau supapele și pompele care mențin apa municipală să curgă.

Procedând astfel, generează cantități uriașe de date care sunt utile în scopuri de analiză. Dar introducerea acestor informații în instrumentele adecvate de întreprindere înseamnă reducerea decalajului dintre IT și OT.

De asemenea, operatorii doresc ca acele sisteme OT să fie accesibile de la distanță. Oferind aplicațiilor IT convenționale capacitatea de a controla acele dispozitive înseamnă că acestea pot fi conectate cu aceleași procese back-end definite în sistemele IT. Și permiterea accesului de la distanță pentru tehnicieni care nu pot sau nu doresc să facă o călătorie dus-întors de mai mulți kilometri doar pentru a face o schimbare operațională poate economisi timp și bani.

Această nevoie de acces de la distanță s-a accentuat în timpul crizei COVID-19, când distanțarea socială și restricțiile de călătorie i-au împiedicat pe tehnicieni să facă orice vizite la fața locului. Inmarsat a descoperit că pandemia a fost o cauză fundamentală a adoptării accelerate a IIoT, de exemplu, 84% raportând că au sau își vor accelera proiectele ca răspuns direct la pandemie.

So for many, the convergence of IT and OT is more than just convenient; it’s essential. But it has also created a perfect storm for security teams. An externally accessible ICS system accessible increases the attack surface for hackers.

Atacurile ICS în acțiune 

Sometimes that IT/OT convergence can be as simple as someone installing remote access software on a PC at a facility. That’s the set up which permis hackers to access control systems via an installation of a remote access tool at the municipal water plant in Oldsmar, Florida in 2021 before trying to poison local residents with sodium hydroxide. The PC that the attacker compromised had access to the OT equipment at the plant. The town’s sheriff reported that the invisible intruder had dragged the mouse cursor around in front of one of its workers.

It isn’t clear what caused hackers to try and poison innocent Floridians, but some attacks have financial motives. One example is the EKANS ransomware attack that a lovit Honda în iunie 2020, închiderea operațiunilor de producție în Marea Britanie, SUA și Turcia.

Atacatorii au folosit ransomware-ul EKANS pentru a viza serverele interne ale companiei, provocând perturbări majore la fabricile acesteia. Într-un analiză În urma atacului, compania de securitate cibernetică Darktrace a explicat că EKANS este un nou tip de ransomware. Sistemele ransomware care vizează rețelele OT fac în mod normal acest lucru lovind mai întâi echipamentele IT și apoi pivotând. EKANS este relativ rar prin faptul că vizează direct infrastructura ICS. Poate viza până la 64 de sisteme ICS specifice în lanțul său de ucidere.

Experții cred că alte atacuri ICS sunt sponsorizate de stat. Malware-ul Triton, îndreptat pentru prima dată către fabricile petrochimice în 2017, este inca o amenintare potrivit FBI, care atribuie atacurile unor grupuri rusești susținute de stat. Acest malware este deosebit de neplăcut, potrivit Biroului, deoarece a permis daune fizice, impact asupra mediului și pierderi de vieți omenești.

Standard security solutions won’t work here

Traditional cyber security approaches aren’t effective in solving these OT vulnerabilities. Companies could use endpoint security tools including anti-malware to protect their PCs. But what if the endpoint was a programmable logic controller, an AI-enabled video camera, or a light bulb? These devices don’t often have the capacity to run software agents that can check over their internal processes. Some might not have CPUs or data storage facilities.

Chiar dacă un dispozitiv IIoT avea lățimea de bandă de procesare și capabilitățile de putere pentru a susține un agent de securitate la bord, sistemele de operare personalizate pe care le utilizează ar fi puțin probabil să accepte soluții generice. Mediile IIoT folosesc adesea mai multe tipuri de dispozitive de la diferiți furnizori, creând un portofoliu divers de sisteme non-standard.

Then there’s the question of scale and distribution. Administrators and security professionals used to dealing with thousands of standard PCs on a network will find an IIoT environment, where sensors may number hundreds of thousands, very different. They may also spread over a wide area, especially as edge computing environments gain traction. They might limit their connections to the network in some more remote environments to conserve power.

Evaluarea cadrelor tradiționale de protecție ICS

If conventional IT security configurations can’t handle these challenges, then perhaps OT-centric alternatives can? The go-to standard model is the Purdue cybersecurity model. Created at Purdue University and adopted by the International Society of Automation as part of its ISA 99 standard, it defines multiple levels describing the IT and ICS environment.

Level zero deals with the physical machines – the lathes, industrial presses, valves, and pumps that get things done. The next level up involves the intelligent devices that manipulate those machines. These are the sensors that relay information from the physical machines and the actuators that drive them. Then we find the supervisory control and data acquisition (SCADA) systems that oversee those machines, such as programmable logic controllers.

Aceste dispozitive se conectează la sistemele de management al operațiunilor de producție de la nivelul următor, care execută fluxuri de lucru industriale. Aceste mașini asigură ca instalația să funcționeze în mod optim și înregistrează datele operaționale ale acesteia.

La nivelurile superioare ale modelului Purdue se află sistemele de întreprindere care se află direct în domeniul IT. Primul nivel conține aplicațiile specifice producției, cum ar fi planificarea resurselor întreprinderii care se ocupă de logistica producției. Apoi, la cel mai înalt nivel se află rețeaua IT, care recoltează date din sistemele ICS pentru a stimula raportarea afacerilor și luarea deciziilor.

Pe vremuri, când nimic nu vorbea cu nimic în afara rețelei, era mai ușor să gestionezi mediile ICS folosind această abordare, deoarece administratorii puteau segmenta rețeaua de-a lungul granițelor sale.

Un strat de zonă demilitarizată (DMZ) a fost adăugat în mod deliberat pentru a sprijini acest tip de segmentare, așezat între cele două straturi de întreprindere și straturile ICS mai jos în stivă. Acționează ca un decalaj între întreprindere și domeniile ICS, folosind echipamente de securitate, cum ar fi firewall-uri, pentru a controla traficul care trece între ele.

Nu orice mediu IT/OT va avea acest strat, dat fiind că ISA l-a introdus de curând. Chiar și cei care se confruntă cu provocări.

Today’s operating environments are different to those in the 1990s, when the Purdue model first evolved and the cloud as we know it didn’t exist. Engineers want to log directly into on-prem management operations or SCADA systems. Vendors might want to monitor their intelligent devices at customer sites directly from the Internet. Some companies yearn to forklift their entire SCADA layer into the cloud, as Severn Trent Water hotărât de făcut în 2020.

Evoluția ICS ca serviciu (ICSaaS), gestionat de terți, a tulburat și mai mult apele pentru echipele de securitate care se confruntă cu convergența IT/OT. Toți acești factori riscă să deschidă mai multe găuri în mediu și să evite orice eforturi anterioare de segmentare.

Tăiind prin toată mizeria încâlcită 

Instead, some companies are adopting new approaches that venture beyond segmentation. Rather than relying on fast-disappearing network boundaries, they examine traffic at the device level in real time. This isn’t far off the original de-perimeterization proposals advanced by the Open Group’s Jericho Forum in the early noughties, but analysing traffic at so many different points in the network then was difficult. Today, defenders are better able to keep a watchful eye thanks to the advent of AI.

Darktrace este punerea în aplicare some of these concepts within its Industrial Immune System. Instead of watching for known malicious signatures at the borders of network segments, it begins by learning what’s normal everywhere in the IT and OT environment, including any parts of that environment hosted in the cloud.

Stabilind o linie de bază în evoluție a normalității, serviciul analizează apoi întregul trafic pentru activitatea care se încadrează în afara acestuia. Poate alerta administratorii și analiștii de securitate cu privire la aceste probleme, așa cum este a făcut pentru un client european de producție.

The service is also autonomous. When a customer trusts its decisions enough to flip the switch, the Immune System can move from merely alerting to taking proportional action. This might mean blocking certain forms of traffic, enforcing a device’s normal behavior, or in severe cases quarantining systems altogether, including equipment in the OT/ICS layers.

Darktrace’s executives hope that this move to a more granular model of constant, ubiquitous traffic analysis, combined with real-time assessment against known normal behaviour, will help to thwart the rising tide of ICS cyberattacks. It will hopefully also enable companies to become more agile, supporting remote access and cloud-based ICS initiatives. In the future, you won’t have to risk someone turning the lights out in your quest to keep the lights on.

Sponsorizat de Darktrace