Làm thế nào AI có thể giữ cho đèn chiếu sáng công nghiệp

Tính năng được tài trợ Kết nối Internet đã thay đổi mọi thứ, bao gồm cả môi trường công nghiệp kiểu cũ. Khi các công ty hiện đại hóa hoạt động của mình, họ đang kết nối nhiều máy móc hơn với web. Đó là một tình huống đang tạo ra những mối lo ngại về an ninh rõ ràng và hiện tại, và ngành công nghiệp cần những cách tiếp cận mới để giải quyết chúng.

Việc áp dụng Internet of Things (IIoT) công nghiệp đang tăng tốc. Nghiên cứu từ Inmarsat cho thấy 77% tổ chức được khảo sát đã triển khai đầy đủ ít nhất một dự án IIoT, với 41% trong số họ đã triển khai trong khoảng thời gian từ quý 2020 năm 2021 đến năm XNUMX.

Nghiên cứu tương tự cũng cảnh báo rằng bảo mật là mối quan tâm hàng đầu đối với các công ty bắt tay vào triển khai IIoT, với 54% số người được hỏi phàn nàn rằng nó đã ngăn họ sử dụng dữ liệu của họ một cách hiệu quả. Một nửa cũng cho rằng nguy cơ bị tấn công mạng bên ngoài là một vấn đề.

Các giải pháp IIoT là cốt lõi cho sự hội tụ của CNTT và OT (công nghệ vận hành). Nền tảng OT, thường là hệ thống điều khiển công nghiệp (ICS), giúp các công ty quản lý các thiết bị vật lý của họ như máy ép và băng tải cung cấp năng lượng cho sản xuất sản xuất hoặc van và máy bơm giữ cho nước thành phố lưu thông.

Khi làm như vậy, họ tạo ra một lượng lớn dữ liệu hữu ích cho các mục đích phân tích. Nhưng việc đưa thông tin đó vào các công cụ doanh nghiệp phù hợp có nghĩa là thu hẹp khoảng cách giữa CNTT và OT.

Các nhà khai thác cũng muốn các hệ thống OT đó có thể truy cập từ xa. Cung cấp cho các ứng dụng CNTT thông thường khả năng kiểm soát các thiết bị đó có nghĩa là chúng có thể được liên kết với các quy trình back-end giống nhau được xác định trong các hệ thống CNTT. Và cho phép truy cập từ xa cho các kỹ thuật viên không thể hoặc không muốn thực hiện một chuyến đi vòng quanh nhiều km chỉ để thực hiện thay đổi hoạt động cũng có thể tiết kiệm thời gian và tiền bạc.

Nhu cầu truy cập từ xa này tăng cao trong cuộc khủng hoảng COVID-19 khi sự xa cách xã hội và hạn chế đi lại khiến các kỹ thuật viên không thể thực hiện bất kỳ chuyến thăm nào tại chỗ. Inmarsat phát hiện ra rằng đại dịch là nguyên nhân gốc rễ của việc áp dụng IIoT được tăng tốc, với 84% báo cáo rằng họ đã hoặc sẽ đẩy nhanh các dự án của mình như một phản ứng trực tiếp với đại dịch.

Vì vậy, đối với nhiều người, sự hội tụ của CNTT và OT không chỉ là thuận tiện; nó rất cần thiết. Nhưng nó cũng đã tạo ra một cơn bão hoàn hảo cho các đội an ninh. Hệ thống ICS có thể truy cập được từ bên ngoài làm tăng khả năng tấn công của tin tặc.

Các cuộc tấn công ICS đang hoạt động 

Đôi khi sự hội tụ CNTT / OT đó có thể đơn giản như việc ai đó cài đặt phần mềm truy cập từ xa trên PC tại một cơ sở. Đó là sự thiết lập cho phép tin tặc truy cập vào hệ thống kiểm soát thông qua cài đặt công cụ truy cập từ xa tại nhà máy nước thành phố ở Oldsmar, Florida vào năm 2021 trước khi cố gắng đầu độc cư dân địa phương bằng natri hydroxit. Máy tính mà kẻ tấn công xâm nhập có quyền truy cập vào thiết bị OT tại nhà máy. Cảnh sát trưởng của thị trấn báo cáo rằng kẻ xâm nhập vô hình đã kéo con trỏ chuột xung quanh trước mặt một trong những công nhân của nó.

Không rõ điều gì đã khiến tin tặc cố gắng đầu độc Floridians vô tội, nhưng một số cuộc tấn công có động cơ tài chính. Một ví dụ là cuộc tấn công ransomware EKANS đánh Honda vào tháng 2020 năm XNUMX, ngừng hoạt động sản xuất trên khắp Vương quốc Anh, Hoa Kỳ và Thổ Nhĩ Kỳ.

Những kẻ tấn công đã sử dụng phần mềm tống tiền EKANS để nhắm mục tiêu vào các máy chủ nội bộ của công ty, gây ra sự gián đoạn lớn tại các nhà máy của công ty. Trong một phân tích về cuộc tấn công, công ty an ninh mạng Darktrace giải thích rằng EKANS là một loại ransomware mới. Các hệ thống ransomware nhắm mục tiêu vào mạng OT thường làm như vậy bằng cách tấn công thiết bị CNTT trước rồi xoay vòng. EKANS tương đối hiếm ở chỗ nó nhắm mục tiêu trực tiếp đến cơ sở hạ tầng ICS. Nó có thể nhắm mục tiêu tới 64 hệ thống ICS cụ thể trong chuỗi tiêu diệt của nó.

Các chuyên gia tin rằng các cuộc tấn công ICS khác được nhà nước bảo trợ. Phần mềm độc hại Triton, lần đầu tiên nhắm vào các nhà máy hóa dầu vào năm 2017, là vẫn là một mối đe dọa Theo FBI, cơ quan này quy các cuộc tấn công là do các nhóm người Nga được nhà nước hậu thuẫn. Phần mềm độc hại này đặc biệt khó chịu, theo Cục, vì nó cho phép gây thiệt hại vật chất, tác động đến môi trường và mất mạng.

Các giải pháp bảo mật tiêu chuẩn sẽ không hoạt động ở đây

Các phương pháp tiếp cận an ninh mạng truyền thống không hiệu quả trong việc giải quyết các lỗ hổng OT này. Các công ty có thể sử dụng các công cụ bảo mật điểm cuối bao gồm chống phần mềm độc hại để bảo vệ PC của họ. Nhưng điều gì sẽ xảy ra nếu điểm cuối là một bộ điều khiển logic có thể lập trình, một máy quay video hỗ trợ AI hoặc một bóng đèn? Các thiết bị này thường không có khả năng chạy các tác nhân phần mềm có thể kiểm tra các quy trình nội bộ của chúng. Một số có thể không có CPU hoặc phương tiện lưu trữ dữ liệu.

Ngay cả khi thiết bị IIoT có băng thông xử lý và khả năng cấp nguồn để hỗ trợ tác nhân bảo mật trên bo mạch, hệ điều hành tùy chỉnh mà chúng sử dụng sẽ khó có thể hỗ trợ các giải pháp chung. Môi trường IIoT thường sử dụng nhiều loại thiết bị từ các nhà cung cấp khác nhau, tạo ra một danh mục đa dạng các hệ thống phi tiêu chuẩn.

Sau đó, có câu hỏi về quy mô và phân phối. Quản trị viên và các chuyên gia bảo mật đã từng làm việc với hàng nghìn PC tiêu chuẩn trên mạng sẽ tìm thấy môi trường IIoT, nơi các cảm biến có thể lên tới hàng trăm nghìn, rất khác nhau. Chúng cũng có thể lan rộng trên một khu vực rộng, đặc biệt là khi các môi trường điện toán biên có được lực kéo. Họ có thể giới hạn kết nối của họ với mạng trong một số môi trường xa hơn để tiết kiệm điện.

Đánh giá các khuôn khổ bảo vệ ICS truyền thống

Nếu các cấu hình bảo mật CNTT thông thường không thể xử lý những thách thức này, thì có lẽ các lựa chọn thay thế OT làm trung tâm có thể? Mô hình chuẩn là mô hình an ninh mạng Purdue. Được tạo ra tại Đại học Purdue và được Hiệp hội Tự động hóa Quốc tế thông qua như một phần của tiêu chuẩn ISA 99, nó xác định nhiều cấp độ mô tả môi trường CNTT và ICS.

Mức không đề cập đến máy móc vật lý - máy tiện, máy ép công nghiệp, van và máy bơm để hoàn thành công việc. Cấp độ tiếp theo liên quan đến các thiết bị thông minh điều khiển các máy móc đó. Đây là những cảm biến chuyển tiếp thông tin từ các máy vật lý và cơ cấu truyền động điều khiển chúng. Sau đó, chúng tôi tìm thấy hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA) giám sát các máy đó, chẳng hạn như bộ điều khiển logic có thể lập trình.

Các thiết bị này kết nối với hệ thống quản lý hoạt động sản xuất ở cấp độ tiếp theo, hệ thống này thực thi các quy trình công nghiệp. Các máy này đảm bảo nhà máy hoạt động tối ưu và ghi lại dữ liệu hoạt động của nó.

Ở các cấp cao hơn của mô hình Purdue là các hệ thống doanh nghiệp hoạt động bình thường trong lĩnh vực CNTT. Cấp độ đầu tiên ở đây chứa các ứng dụng dành riêng cho sản xuất như hoạch định nguồn lực doanh nghiệp xử lý hậu cần sản xuất. Sau đó, ở cấp cao nhất là mạng CNTT, mạng này thu thập dữ liệu từ các hệ thống ICS để thúc đẩy báo cáo kinh doanh và ra quyết định.

Ngày xưa, khi không có gì nói chuyện với bất cứ thứ gì bên ngoài mạng, việc quản lý môi trường ICS dễ dàng hơn bằng cách sử dụng phương pháp này vì quản trị viên có thể phân đoạn mạng theo ranh giới của nó.

Một lớp khu phi quân sự (DMZ) đã được cố tình thêm vào để hỗ trợ kiểu phân đoạn này, nằm giữa hai lớp doanh nghiệp và các lớp ICS sâu hơn nữa. Nó hoạt động như một khoảng cách không khí giữa doanh nghiệp và các miền ICS, sử dụng thiết bị bảo mật như tường lửa để kiểm soát lưu lượng truy cập giữa chúng.

Không phải mọi môi trường IT / OT đều sẽ có lớp này, tuy nhiên, ISA chỉ mới giới thiệu nó gần đây. Ngay cả những người không phải đối mặt với thách thức.

Môi trường hoạt động ngày nay khác với những năm 1990, khi mô hình Purdue lần đầu tiên phát triển và đám mây như chúng ta biết là nó không tồn tại. Các kỹ sư muốn đăng nhập trực tiếp vào các hoạt động quản lý tại chỗ hoặc hệ thống SCADA. Các nhà cung cấp có thể muốn giám sát các thiết bị thông minh của họ tại các trang web của khách hàng trực tiếp từ Internet. Một số công ty khao khát nâng toàn bộ lớp SCADA của họ lên đám mây, như Severn Trent Water quyết định để thực hiện vào năm 2020.

Sự phát triển của ICS như một dịch vụ (ICSaaS), do các bên thứ ba quản lý, đã tiếp tục làm xáo trộn vùng nước cho các đội bảo mật vật lộn với sự hội tụ CNTT / OT. Tất cả những yếu tố này có nguy cơ mở ra nhiều lỗ hổng trong môi trường và phá vỡ mọi nỗ lực phân khúc trước đó.

Vượt qua toàn bộ mớ hỗn độn rối ren 

Thay vào đó, một số công ty đang áp dụng các phương pháp tiếp cận mới liên doanh ngoài phân khúc. Thay vì dựa vào ranh giới mạng biến mất nhanh chóng, họ kiểm tra lưu lượng truy cập ở cấp thiết bị trong thời gian thực. Điều này không khác xa so với các đề xuất khử pemeterization ban đầu do Diễn đàn Jericho của Open Group nâng cao vào những năm đầu tiên, nhưng việc phân tích lưu lượng truy cập tại rất nhiều điểm khác nhau trong mạng lúc đó rất khó khăn. Ngày nay, các hậu vệ có khả năng theo dõi tốt hơn nhờ sự ra đời của AI.

Darktrace là áp dụng một số khái niệm này trong Hệ thống Miễn dịch Công nghiệp của nó. Thay vì theo dõi các chữ ký độc hại đã biết ở biên giới của các phân đoạn mạng, nó bắt đầu bằng cách tìm hiểu những gì bình thường ở mọi nơi trong môi trường CNTT và OT, bao gồm bất kỳ phần nào của môi trường đó được lưu trữ trên đám mây.

Thiết lập một đường cơ sở đang phát triển về tính chuẩn mực, dịch vụ sau đó sẽ phân tích tất cả lưu lượng truy cập cho hoạt động nằm ngoài phạm vi đó. Nó có thể cảnh báo các quản trị viên và nhà phân tích bảo mật về những vấn đề này, vì nó đã làm cho một khách hàng sản xuất Châu Âu.

Dịch vụ này cũng tự trị. Khi một khách hàng tin tưởng vào các quyết định của mình đủ để lật công tắc, Hệ thống Miễn dịch có thể chuyển từ chỉ đơn thuần là cảnh báo sang thực hiện hành động tương xứng. Điều này có thể có nghĩa là chặn một số hình thức lưu lượng nhất định, thực thi hành vi bình thường của thiết bị hoặc trong trường hợp nghiêm trọng, cách ly hoàn toàn các hệ thống, bao gồm cả thiết bị trong các lớp OT / ICS.

Các giám đốc điều hành của Darktrace hy vọng rằng việc chuyển sang mô hình phân tích lưu lượng liên tục, phổ biến và chi tiết hơn, kết hợp với đánh giá thời gian thực so với hành vi bình thường đã biết, sẽ giúp ngăn chặn làn sóng tấn công mạng ICS đang gia tăng. Nó hy vọng cũng sẽ cho phép các công ty trở nên nhanh nhẹn hơn, hỗ trợ truy cập từ xa và các sáng kiến ​​ICS dựa trên đám mây. Trong tương lai, bạn sẽ không phải mạo hiểm với ai đó tắt đèn trong nhiệm vụ của bạn để giữ cho đèn sáng.

Được tài trợ bởi Darktrace