Maschinelles Lernen im Bereich industrieller Anlagen

Ein effektiver Schutz industrieller Anlagen erfordert eine permanente Überwachung, sowohl der Informationssysteme als auch der Betriebsprozesse. Wir haben das geeignete Tool.

Die Cybersicherheit industrieller Anlagen ist darauf eingestellt, dass mögliche Angriffe den technologischen Prozess unterbrechen können. Dies ist möglicherweise mit katastrophalen Folgen verbunden, die nicht immer finanzieller Natur sein müssen. Ein wirksamer Schutz solcher Einrichtungen erfordert daher eine ständige Überwachung, sowohl der Informationssysteme als auch der Betriebsprozesse. Kaspersky Lab hat dafür genau das passende Tool.

Ein heutiges automatisiertes industrielles Kontrollsystem (ICS) ist ein komplexes cyberphysisches System. Es umfasst sowohl Computerelemente, die Geräte und integrale Einheiten steuern als auch physisches Equipment, wodurch die Angriffsfläche erweitert wird und Hackern unzählige Möglichkeiten geboten werden, das System zu stören. Sie können sowohl die Informationsinfrastruktur als auch die Controller der digitalen Umgebung anpeilen oder physisch in den Produktionsprozess eingreifen. Angriffe auf ein cyberphysisches System sind in der Regel weitaus komplizierter als herkömmliche Cyberangriffe.

Angriffe, die über Informationssysteme ausgeübt werden, sind mehr oder weniger leicht zu handhaben. Es reicht aus, die Informationsflüsse zwischen der speicherprogrammierbaren Steuerung und dem SCADA-System sorgfältig zu überwachen. Aber was passiert, wenn Angreifer die Kommunikation zwischen industriellen Sensoren und Controllern mithilfe von Signalen stören? Was, wenn die Sensordaten ersetzt werden oder der Sensor selbst zerstört wird? Wir haben eine maschinelle Lerntechnologie entwickelt, die bei der Erkennung derartiger Angriffe behilflich ist.

So können Betriebsprozesse geschützt werden

Unsere Technologie heißt Machine Learning for Anomaly Detection (MLAD). Alles, was für die richtige Funktionsweise dieser Technoloie benötigt wird, ist im Grunde genommen in den meisten Industrieanlagen bereits vorhanden. Schließlich ist der gesamte Produktionsprozess bereits mit Sensoren ausgestattet. Das moderne automatisierte ICS empfängt Unmengen von Telemetriedaten; zehntausende Tags, die von unterschiedlichen Quellen stammen, werden typischerweise 10 Mal pro Sekunde aktualisiert. Darüber hinaus werden Informationen über den normalen Systembetrieb gesammelt und über Jahre gespeichert; die idealen Voraussetzungen zur Anwendung von Maschinellem Lernen.

Dank der physikalischen Gesetze sind alle Prozesssignale im System miteinander verbunden. Wenn der Sensor eines Ventils beispielsweise auf eine Blockade hinweist, sollten die Sensoren an einer anderen Stelle eine entsprechende Änderung des Drucks, des Volumens oder der Temperatur anzeigen. All diese Indikatoren hängen miteinander zusammen. Die geringste Veränderung im Produktionsprozess führt bei vielen Sensoren zu unterschiedlichen Ablesungen. Das maschinelle Lernsystem – geschult auf Daten, die unter normalen Betriebsbedingungen gesammelt werden – kann diese Zusammenhänge untersuchen. Zusätzlich kann die MLAD-Engine in einem Selbstlernmodus arbeiten, falls neue Daten, die zuvor nicht in Betracht gezogen wurden, zur Verfügung gestellt werden. Das Ergebnis? Anomalien im Produktionsprozess können erkannt werden.

So funktioniert’s in der Praxis

Unsere Kaspersky Industrial CyberSecurity-Lösung überwacht den Prozessverkehr über die Deep Packet Inspection (DPI) und hat somit Zugriff auf Sensor- und Befehlsdaten. Diese Informationen werden in Echtzeit vom MLAD-System (das auf Daten geschult wurde, die unter normalen Betriebsbedingungen gesammelt wurden) analysiert, um vorherzusagen, welcher der normale Systemstatus auf kurzer Sicht sein sollte (der genaue Zeitpunkt der Prognose kann angepasst werden).

Natürlich kann und wird sich die Prognose von der Realität unterscheiden. Die Frage ist, wie groß dieser Unterschied ist. Während des Lernprozesses berechnet das System Grenzwerte des Prognosefehlers; Abweichungen werden in diesem Fall als Anomalie betrachtet.

Andrey Lavrentyev presenting "Detecting ICS Attacks Using Recurrent Neural Networks" at S4x18 conferenceMLAD ist auf der Protokollebene auf Kaspersky Industrial CyberSecurity abgestimmt und fordert Telemetriedaten, die zwar von Kaspersky Industrial CyberSecurity bereitgestellt werden, aber theoretisch auch jederzeit auf den Gebrauch technologischer Daten unserer anderen Lösungen umgestellt werden können.

Vorteile unserer Methode

Im Gegensatz zu einem Expertensystem, das nach einer Reihe streng definierter Regeln arbeitet, weist eine auf maschinellen Lernalgorithmen basierende Sicherheitslösung mehr Flexibilität auf. Damit ein Expertensystem unter verschiedenen Betriebsbedingungen funktionieren kann, werden seine Regeln oftmals generalisiert, was die Gefahrenabwehr verzögern kann. Ein System, das auf maschinellem Lernen basiert, weist dieses Manko nicht auf.

Flexibilität ist auch dann besonders wichtig, wenn das Unternehmen den Produktionsprozess anpassen muss. Mit einem maschinellen Lernsystem ist es nicht notwendig, das Sicherheitssystem zu verändern – es genügt, MLAD einfach umzuschulen. Zudem arbeitet Kaspersky Industrial CyberSecurity mit doppeltem Datenverkehr, was bedeutet, dass die Lösung den Produktionsprozess nicht direkt beeinflusst.

Demo der Funktionsweise

Ein detailliertes mathematisches Modell des chemischen Industrieprozesses von Tennessee Eastman kursiert seit einiger Zeit bereits im Internet. Es wird oft zu Präsentationszwecken und der Feineinstellung von Regelmodellen verwendet. Wir haben es als Grundlage genutzt, um die Funktionsweise des MLAD-Moduls bei einem Unternehmensangriff, bei dem unter anderem Sensordaten, Befehle und logische Parameter ersetzt wurden, nachzustellen. Sehen Sie selbst:

Weitere Details zu Kaspersky Industrial CyberSecurity finden hier.

Tipps