La sicurezza informatica degli impianti industriali \u00e8 quantomai fondamentale in quanto qualsiasi attacco potrebbe fermare l\u2019intero processo tecnologico. E ci\u00f2 potrebbe portare a conseguenze catastrofiche, non solo dal punto di vista economico. La protezione efficace di questi impianti richiede, quindi, un costante monitoraggio sia dei sistemi d\u2019informazione, sia dei processi operativi. Per fortuna, noi di Kaspersky Lab abbiamo lo strumento giusto.<\/p>\n
Al giorno d\u2019oggi, i sistemi di controllo industriale (ICS) automatizzati sono molto complessi a livello fisico e informatico; sono composti da elementi computerizzati che controllano dispositivi, unit\u00e0 integrali e attrezzature fisiche. Tale complessit\u00e0 aumenta il raggio d\u2019azione degli hacker, che hanno cos\u00ec numerose opzioni per perpetrare i propri attacchi. Possono colpire l\u2019infrastruttura informatica oppure i controller <\/em>dell\u2019ambiente digitale e persino intervenire fisicamente nel processo di produzione. Gli attacchi ai sistemi fisico-informatici sono in genere molto pi\u00f9 sofisticati rispetto agli attacchi informatici tradizionali.<\/p>\n Gli attacchi attraverso i sistemi d\u2019informazione sono in qualche modo gestibili; bisogna monitorare attentamente i flussi d\u2019informazione tra i programmable controller <\/em>e il sistema SCADA. Ma cosa succede se i cybercriminali si intromettono nei segnali tra i sensori industriali e i controller<\/em>? E se sostituissero i dati del sensore o distruggessero il sensore? Ebbene, abbiamo sviluppato una tecnologia di apprendimento automatico in grado di identificare questo genere di attacchi.<\/p>\n La nostra tecnologia si chiama Machine Learning for Anomaly Detection (MLAD). Tutto ci\u00f2 che \u00e8 necessario \u00e8 gi\u00e0 praticamente presente nella maggior parte degli impianti industriali; dopotutto, l\u2019intero processo di produzione \u00e8 gi\u00e0 equipaggiato di sensori. Un ICS moderno e automatizzato riceve un volume importante di dati telemetrici, decine di migliaia di tag differenti, di solito aggiornati circa dieci volte al secondo e provenienti da fonti diverse. Inoltre, tutti i dati di un normale sistema vengono accumulati e immagazzinati nel corso degli anni, tutte condizioni favorevoli per applicare l\u2019apprendimento automatico.<\/p>\n Grazie alle leggi della fisica, tutti i segnali del processo sono interconnessi all\u2019interno del sistema. Ad esempio, se un sensore di una valvola indica che c\u2019\u00e8 un blocco, gli altri sensori dovrebbero effettuare le dovute modifiche ai parametri, ad esempio, di pressione, volume o temperatura. Tutti gli altri indicatori sono collegati l\u2019uno all\u2019altro e il pi\u00f9 piccolo cambiamento nel processo di produzione porta a valori diversi per gli altri sensori. Il sistema di apprendimento automatico, che si sviluppa con i dati raccolti in condizioni standard di operativit\u00e0 dell\u2019impianto, pu\u00f2 studiare queste correlazioni esistenti. Inoltre, il motore MLAD pu\u00f2 funzionare in modalit\u00e0 di auto-apprendimento nel caso arrivino nuovi dati che non sono stati presi in considerazione in precedenza. In questo modo, si possono identificare eventuali anomalie nel processo di produzione.<\/p>\n La nostra soluzione Kaspersky Industrial Cybersecurity monitora continuamente il traffico del processo produttivo utilizzando una tecnologia chiamata Deep Packet Inspection<\/em> (DPI), che ha accesso ai dati dei sensori e dei comandi. Queste informazioni sono analizzate in tempo reale dal sistema MLAD (che, come abbiamo detto, si sviluppa utilizzando i dati raccolti quando l\u2019impianto funziona in condizioni normali) per prevedere lo status del sistema in un breve termine (si pu\u00f2 configurare il tempo esatto di previsione).<\/p>\n Ovviamente la previsione potrebbe non corrispondere alla realt\u00e0, bisogna per\u00f2 capire di quanto si discosta. Durante il processo di apprendimento, il sistema calcola statisticamente i valori di soglia dell\u2019errore nella previsione, rango oltre il quale si pu\u00f2 parlare di anomalia.<\/p>\n La tecnologia MLAD \u00e8 integrata all\u2019interno di Kaspersky Industrial Cybersecurity a livello di protocollo; ha bisogno dei dati telemetrici forniti da Kaspersky Industrial Cybersecurity ma in teoria si possono anche usare dati provenienti da altre soluzioni.<\/p>\n A differenza di un sistema esperto, che segue una serie di regole rigidamente definite, una soluzione di sicurezza basata sugli algoritmi di apprendimento automatico ha una maggiore flessibilit\u00e0. Quando un sistema esperto tradizionale opera in condizioni diverse da quelle usuali, applica regole generalizzate che possono non servire per rispondere a eventuali emergenze. Un sistema fondato sull\u2019apprendimento automatico, invece, supplisce questa mancanza.<\/p>\n La flessibilit\u00e0 \u00e8 una caratteristica fondamentale anche nel caso in cui l\u2019azienda abbia bisogno di modificare il processo di produzione. Con un sistema di apprendimento automatico non \u00e8 necessario adattare alla meglio il sistema di sicurezza ai cambiamenti avvenuti, solo bisogna riconfigurare MLAD. Inoltre, Kaspersky Industrial Cybersecurity lavora con il traffico duplicato, non interferendo quindi con il processo di produzione.<\/p>\n Da un po\u2019 di tempo ormai su Internet \u00e8 disponibile un modello matematico dettagliato del processo chimico-industriale di Tennesee Eastman; viene spesso utilizzato per dimostrazioni e per la messa a punto dei modelli di controllo. Abbiamo preso spunto da tale modello per creare uno altamente realistico del nostro modulo MLAD al lavoro durante un attacco a un\u2019azienda. L\u2019attacco comprende sostituzione dei dati dei sensori, dei comandi e dei parametri logici. In questo video potete vedere come funziona:<\/p>\nCome proteggere i processi operativi<\/strong><\/h3>\n
Dalla teoria alla pratica<\/strong><\/h3>\n
I vantaggi del nostro metodo<\/strong><\/h3>\n
Demo operativa<\/strong><\/h3>\n