Специфика информационной защиты промышленных объектов состоит в том, что любая атака может нарушить технологический процесс. Потенциально это чревато катастрофическими последствиями, и дело не всегда только в финансовых потерях. Поэтому для эффективной защиты объекта следить приходится как за информационными системами, так и за операционными процессами. Благо соответствующий инструмент в нашем арсенале есть.
Современная автоматизированная система управления технологическим процессом — это сложная кибер-физическая система. В нее входят как IT-компоненты, управляющие работой агрегатов и узлов, так и само физическое оборудование. Сложность системы дает злоумышленникам, пытающимся нарушить ее работу, большой простор для деятельности. Они могут попытаться зайти через информационную инфраструктуру, воздействовать на контроллеры из цифровой среды или просто физически вмешаться в техпроцесс. Вообще, атаки на кибер-физическую систему могут быть гораздо изощреннее обычных кибератак.
Как быть с атаками через информационные системы, более-менее понятно. Достаточно тщательно следить за информационными потоками между программируемыми логическими контроллерами и SCADA-системой. Но что если атакующие вмешаются в сигналы, идущие от промышленных датчиков к контроллерам? Подменят датчик? Уничтожат его? Мы разработали технологию на базе машинного обучения, которая способна выявить и такой вариант атаки.
Что нужно для защиты операционных процессов
Наша технология называется MLAD — Machine Learning for Anomaly Detection. По сути, все необходимое для ее работы на промышленном объекте уже есть. На каждом этапе технологического процесса датчиков предостаточно. В среднем на современном предприятии система АСУ ТП получает огромные объемы телеметрических данных. Из разнообразных источников поступают десятки тысяч различных тегов, с типичной частотой обновления около 10 раз в секунду. Часто информация о работе системы накапливается и хранится годами. Идеальные условия для применения машинного обучения!
Дело в том, что благодаря законам физики все технологические сигналы в системе взаимосвязаны. Например, если датчик на клапане сообщил, что он перекрыт, то другие датчики должны показать, что где-то изменилось давление, объем или температура. То есть, все показатели коррелируют между собой. Малейшее изменение в технологическом процессе приведет к изменению показаний множества датчиков. И система, обученная на данных при нормальной работе предприятия, может эти корреляции отслеживать. Кроме того, движок MLAD способен до-обучаться, если становятся доступны ранее не учтенные данные по нормальной работе. В результате ей будет заметна любая аномалия в техпроцессе.
Как это применяется на практике
Наше решение Kaspersky Industrial CyberSecurity пристально следит за технологическим трафиком при помощи глубокой проверки пакетов (DPI — deep packet inspection). Соответственно ей доступны данные по сенсорам и командам. Эти данные в режиме реального времени анализируются системой MLAD (уже обученной на информации о нормальной работе техпроцесса), которая на их основе строит прогноз нормального состояния системы на небольшое время вперед (настраиваемый параметр, зависящий от частоты поступления данных от датчиков).
Прогноз в любом случае будет отличаться от того, что мы будем наблюдать в реальности. Но тут главный вопрос — насколько он будет отличаться. При обучении система статистическими методами определяет пороговое значение ошибки прогноза, выход за которое будет считаться аномалией.
По сути это технология, интегрированная с Kaspersky Industrial CyberSecurity на уровне протоколов и требующая на входе данные телеметрии, полученные с помощью этого решения. Однако, есть возможность переключение на источники технологических данных и от других наших продуктов.
Преимущества нашего метода
В отличие от экспертной системы, которая работает на множестве жестко заданных правил, защитное решение на базе алгоритмов машинного обучения обладает большей гибкостью. Чтобы экспертная система могла работать в разных условиях, ее правила часто обобщают, что приводит к замедлению срабатывания противоаварийной защиты. Система на базе машинного обучения лишена этого недостатка.
Гибкость также важна в том случае, если предприятию необходимо изменить сам технологический процесс. Благодаря машинному обучению это не приведет к необходимости перестройки системы защиты — достаточно просто переобучить MLAD.
Да и вообще, Kaspersky Industrial CyberSecurity работает с дублируемым трафиком, то есть непосредственно в техпроцесс не вмешивается.
Демонстрация работы
В интернете давно была выложена детальная математическая модель химического индустриального процесса Tennessee Eastman. Ее часто используют для демонстраций и отработки моделей управления. На ее основе мы смоделировали демонстрационный стенд, который позволяет воспроизводить сценарии атак на предприятие с подменой данных датчиков, команд и параметров логики управления, а главное, показывать работу модуля MLAD на реалистичных индустриальных данных. Вы можете ознакомиться со стендом на видео ниже.
Подробнее о Kaspersky Industrial CyberSecurity можно узнать на нашей странице про защиту критических инфраструктур.