Η συνεργασία μεταξύ έμπειρων μηχανικών ασφάλειας, λογισμικού για τη διαχείριση περιστατικών ασφαλείας και την ανίχνευση και προστασία από απειλές σε βιομηχανικά συστήματα ελέγχου, με χρήση αλγόριθμων μηχανικής εκμάθησης και τεχνολογίες τεχνητής νοημοσύνης, μπορεί να οδηγήσει στην ολιστική και αποτελεσματική αντιμετώπιση, σε πραγματικό χρόνο, των σύγχρονων κυβερνοεπιθέσεων κατά κρίσιμων υποδομών και βιομηχανικών εγκαταστάσεων.

Του Νικήτα Κλαδάκη

General Manager NETBULL
www.netbull.gr

 Η ασφάλεια των συστημάτων βιομηχανικού ελέγχου αποτελεί αιτία αυξανόμενης ανησυχίας, καθώς περιλαμβάνει κρίσιμες υποδομές της χώρας, εργοστάσια, και πολλούς άλλους τομείς που βιώνουν έναν τεράστιο μετασχηματισμό τα τελευταία χρόνια. Η βιομηχανία, αλλά και η λειτουργία των εργοστασίων έχουν γίνει πολύ πιο αποτελεσματικές, κυρίως λόγω της προμήθειας νέου υλικού εξοπλισμού και λογισμικού βιομηχανικού ελέγχου, ύψους πολλών δισεκατομμυρίων που παρέχουν λύσεις οι οποίες έχουν σχεδιαστεί για να κάνουν την παραγωγή πιο ευέλικτη.

Ωστόσο, συνδυαστικά με την αύξηση της παραγωγικότητας και των κερδών, παρατηρείται μια ραγδαία αύξηση του κινδύνου ασφάλειας στον κυβερνοχώρο, διότι τα συστήματα βιομηχανικού ελέγχου είναι πλέον συνδεδεμένα στο διαδίκτυο. Αυτό συμβαίνει επειδή τα προηγούμενης γενιάς συστήματα, ενώ κάποτε ήταν αποκλεισμένα από το διαδίκτυο, πλέον είναι συνδεδεμένα σ’ αυτό, και αποθηκεύουν δεδομένα στο νέφος, γεγονός που σε πολλές περιπτώσεις, σημαίνει έκθεση των βιομηχανικών παραγωγικών μονάδων σε κυβερνοεπιθέσεις.

Προκλήσεις για την κυβερνοαφάλεια των βιομηχανικών εγκαταστάσεων.

Οι προκλήσεις λοιπόν, για τη προστασία των βιομηχανικών συστημάτων ελέγχου (Industrial Control Systems) έναντι των απειλών στον κυβερνοχώρο, συνεχίζουν να είναι πρώτες στην καθημερινή λίστα των ομάδων ασφαλείας. Παρά τη συνεχή παρακολούθηση, οι επιχειρηματικές δραστηριότητες διατρέχουν όλο και μεγαλύτερο κίνδυνο, κυρίως εξαιτίας του αυξανόμενου αριθμού των νέων στρατηγικών εισβολής, οι οποίες μάλιστα εξελίσσονται διαρκώς, βελτιώνοντας τη σοβαρότητα των απειλών. Επιθέσεις σε κρίσιμες υποδομές, όπως σταθμοί παραγωγής ενέργειας, εργοστάσια, συστήματα επεξεργασίας νερού, εγκαταστάσεις πετρελαίου και συστήματα ελέγχου κυκλοφορίας, μπορούν να έχουν επιπτώσεις ακόμη και στην εθνική ασφάλεια, να επιφέρουν οικονομικές απώλειες, ή να πληγεί η φήμη μιας εταιρείας ή ενός οργανισμού.

Τρανό παράδειγμα αποτελεί o μεγαλύτερος αγωγός μεταφοράς βενζίνης colonial στις ΗΠΑ, ο οποίος έμεινε εκτός πλήρους λειτουργίας για αρκετές ημέρες, μετά την κακόβουλη κυβερνοεπίθεση που δέχθηκε και αποδίδεται στο σκιώδες εγκληματικό δίκτυο DarkSide.

Ολιστική προσέγγιση με χρήση σύγχρονων τεχνολογιών και τεχνητής νοημοσύνης για την διαχείριση περιστατικών ασφαλείας.

Για να αντιμετωπίσουμε τις ανωτέρω προκλήσεις, ολοκληρώσαμε την λύση Cisco CyberVision με την πλατφόρμα Netbull eASIS (based on IBM QRadar), με σκοπό τον εντοπισμό γνωστών και άγνωστων απειλών, ακόμα και μη ταξινομημένων, με χρήση της υπηρεσίας τεχνητής νοημοσύνης ΙΒΜ QRadar Advisor with Watson. H πολυδιάστατη προστασία της λύσης Cisco CyberVision επιτρέπει στους αναλυτές του SOC μας, να εντοπίσουν άμεσα και αποτελεσματικά μία απειλή σε περιβάλλον IoT/OT, και να την διερευνήσουν μέσω της υπηρεσίας τεχνητής νοημοσύνης.

Η λύση Cisco CyberVision παρακολουθεί και εντοπίζει σε πραγματικό χρόνο τις συσκευές ΙοΤ και ΟΤ ενός δικτύου, μέσω εξειδικευμένων αισθητήρων για τα εν’ λόγω περιβάλλοντα. Οι αισθητήρες συλλέγουν τις πληροφορίες από το δίκτυο χωρίς να απαιτείται η εγκατάσταση κάποιου agent στις συσκευές και δημιουργείται ένα δυναμικό μητρώο συσκευών IoT & OT.

Το μητρώο δεν περιορίζεται μόνο στην καταγραφή των φυσικών συσκευών αλλά περιλαμβάνει όλες τις παραμέτρους που απαρτίζουν το ολοκληρωμένο περιβάλλον ΙοΤ & ΟΤ όπως τις μεταβλητές, τις διεργασίες, τα πρωτόκολλα επικοινωνίας, τον τύπο τους κ.λπ. Το μητρώο, βοηθά έναν οργανισμό να καταγράψει τον εξοπλισμό που έχει, τα τρωτά του σημεία, ακόμη και τους συνεργάτες που συνδέονται απομακρυσμένα για την υποστήριξη του εξοπλισμού τους.

 

Αξιοποιώντας τις ευρέως γνωστές αναλύσεις συμπεριφοράς και το Layer-7 Deep Packet Inspection (DPI), η λύση της Cisco επιτρέπει την ανάλυση για την άμεση ανίχνευση προηγμένων απειλών IoT και OT (όπως fileless malware), όχι μόνο βάση υπογραφών αλλά και με βάση την συμπεριφορά ή την μη εξουσιοδοτημένη δραστηριότητα. Η μηχανή ανάλυσης της συμπεριφοράς ανιχνεύει ασυνήθιστες επικοινωνίες ή/και συμπεριφορές μεταξύ μηχανών (M2M). Με τη μοντελοποίηση των δικτύων ΙοΤ & ΟΤ ως ακολουθιών καταστάσεων και μεταβάσεων, η πλατφόρμα απαιτεί μικρότερη περίοδο εκμάθησης από τις γενικές μαθηματικές προσεγγίσεις ή τις αναλύσεις που αναπτύχθηκαν για την ΙΤ υποδομή και όχι για την ΙοΤ. Επίσης, ανιχνεύει τις αποκλίσεις από την ορθή συμπεριφορά ταχύτερα, με ελάχιστα ψευδώς θετικά αποτελέσματα.

H ολοκλήρωση της πλατφόρμας Netbull eASIS με την λύση Cisco CyberVision επιτρέπει:

  • Πλήρη ορατότητα όλων των πόρων του περιβάλλοντος συμπεριλαμβανομένων και των πόρων IoT & IIoT
  • Ενιαία διαχείριση των περιστατικών ασφαλείας από την πλατφόρμα, τόσο για συστήματα πληροφορικής όσο και για συστήματα βιομηχανικού ελέγχου
  • Διερεύνηση των περιστατικών ασφαλείας και στα δύο περιβάλλοντα με χρήση τεχνητής νοημοσύνης μέσω της υπηρεσίας IBM QRadar Advisor with Watson
  • Επέκταση των ροών διερεύνησης και αυτοματισμού στα συστήματα βιομηχανικού ελέγχου