ICS
La sicurezza informatica degli impianti industriali è quantomai fondamentale in quanto qualsiasi attacco potrebbe fermare l’intero processo tecnologico. E ciò potrebbe portare a conseguenze catastrofiche, non solo dal punto di vista economico. La protezione efficace di questi impianti richiede, quindi, un costante monitoraggio sia dei sistemi d’informazione, sia dei processi operativi. Per fortuna, noi di Kaspersky Lab abbiamo lo strumento giusto.
Al giorno d’oggi, i sistemi di controllo industriale (ICS) automatizzati sono molto complessi a livello fisico e informatico; sono composti da elementi computerizzati che controllano dispositivi, unità integrali e attrezzature fisiche. Tale complessità aumenta il raggio d’azione degli hacker, che hanno così numerose opzioni per perpetrare i propri attacchi. Possono colpire l’infrastruttura informatica oppure i controller dell’ambiente digitale e persino intervenire fisicamente nel processo di produzione. Gli attacchi ai sistemi fisico-informatici sono in genere molto più sofisticati rispetto agli attacchi informatici tradizionali.
Gli attacchi attraverso i sistemi d’informazione sono in qualche modo gestibili; bisogna monitorare attentamente i flussi d’informazione tra i programmable controller e il sistema SCADA. Ma cosa succede se i cybercriminali si intromettono nei segnali tra i sensori industriali e i controller? E se sostituissero i dati del sensore o distruggessero il sensore? Ebbene, abbiamo sviluppato una tecnologia di apprendimento automatico in grado di identificare questo genere di attacchi.
Come proteggere i processi operativi
La nostra tecnologia si chiama Machine Learning for Anomaly Detection (MLAD). Tutto ciò che è necessario è già praticamente presente nella maggior parte degli impianti industriali; dopotutto, l’intero processo di produzione è già equipaggiato di sensori. Un ICS moderno e automatizzato riceve un volume importante di dati telemetrici, decine di migliaia di tag differenti, di solito aggiornati circa dieci volte al secondo e provenienti da fonti diverse. Inoltre, tutti i dati di un normale sistema vengono accumulati e immagazzinati nel corso degli anni, tutte condizioni favorevoli per applicare l’apprendimento automatico.
Grazie alle leggi della fisica, tutti i segnali del processo sono interconnessi all’interno del sistema. Ad esempio, se un sensore di una valvola indica che c’è un blocco, gli altri sensori dovrebbero effettuare le dovute modifiche ai parametri, ad esempio, di pressione, volume o temperatura. Tutti gli altri indicatori sono collegati l’uno all’altro e il più piccolo cambiamento nel processo di produzione porta a valori diversi per gli altri sensori. Il sistema di apprendimento automatico, che si sviluppa con i dati raccolti in condizioni standard di operatività dell’impianto, può studiare queste correlazioni esistenti. Inoltre, il motore MLAD può funzionare in modalità di auto-apprendimento nel caso arrivino nuovi dati che non sono stati presi in considerazione in precedenza. In questo modo, si possono identificare eventuali anomalie nel processo di produzione.
Dalla teoria alla pratica
La nostra soluzione Kaspersky Industrial Cybersecurity monitora continuamente il traffico del processo produttivo utilizzando una tecnologia chiamata Deep Packet Inspection (DPI), che ha accesso ai dati dei sensori e dei comandi. Queste informazioni sono analizzate in tempo reale dal sistema MLAD (che, come abbiamo detto, si sviluppa utilizzando i dati raccolti quando l’impianto funziona in condizioni normali) per prevedere lo status del sistema in un breve termine (si può configurare il tempo esatto di previsione).
Ovviamente la previsione potrebbe non corrispondere alla realtà, bisogna però capire di quanto si discosta. Durante il processo di apprendimento, il sistema calcola statisticamente i valori di soglia dell’errore nella previsione, rango oltre il quale si può parlare di anomalia.
La tecnologia MLAD è integrata all’interno di Kaspersky Industrial Cybersecurity a livello di protocollo; ha bisogno dei dati telemetrici forniti da Kaspersky Industrial Cybersecurity ma in teoria si possono anche usare dati provenienti da altre soluzioni.
I vantaggi del nostro metodo
A differenza di un sistema esperto, che segue una serie di regole rigidamente definite, una soluzione di sicurezza basata sugli algoritmi di apprendimento automatico ha una maggiore flessibilità. Quando un sistema esperto tradizionale opera in condizioni diverse da quelle usuali, applica regole generalizzate che possono non servire per rispondere a eventuali emergenze. Un sistema fondato sull’apprendimento automatico, invece, supplisce questa mancanza.
La flessibilità è una caratteristica fondamentale anche nel caso in cui l’azienda abbia bisogno di modificare il processo di produzione. Con un sistema di apprendimento automatico non è necessario adattare alla meglio il sistema di sicurezza ai cambiamenti avvenuti, solo bisogna riconfigurare MLAD. Inoltre, Kaspersky Industrial Cybersecurity lavora con il traffico duplicato, non interferendo quindi con il processo di produzione.
Demo operativa
Da un po’ di tempo ormai su Internet è disponibile un modello matematico dettagliato del processo chimico-industriale di Tennesee Eastman; viene spesso utilizzato per dimostrazioni e per la messa a punto dei modelli di controllo. Abbiamo preso spunto da tale modello per creare uno altamente realistico del nostro modulo MLAD al lavoro durante un attacco a un’azienda. L’attacco comprende sostituzione dei dati dei sensori, dei comandi e dei parametri logici. In questo video potete vedere come funziona:
Per maggiori informazioni su Kaspersky Industrial Cybersecurity, vi invitiamo a visitare la pagina dedicata.
Consigli