Cyberaanvallen binnen de maakindustrie zijn alomtegenwoordig in het nieuws. Er zijn verscheidene manieren waarop een security expert het industriële netwerk kan beschermen. Binnen deze blogpost bespreken we hoe Artificiële Intelligentie als copiloot van de security expert kan optreden.
Hoe verloopt een cyberaanval op een industriële site?
Er zijn meerdere manieren waarop een cyberaanval uitgevoerd kan worden. Ook zijn er verschillende redenen waarom iemand beslist om zo’n aanval uit te voeren. Het doel kan zijn om aan gevoelige data te geraken en dit vervolgens door te verkopen. Het platleggen of zelfs vernietigen van industriële apparatuur kan ook een doelstelling zijn. Bovendien kunnen mensen ook gekwetst worden aangezien computers binnen een industriële netwerk fysieke machines aansturen.
Een typisch stappenplan van een aanval omvat:
- Het netwerk van een industriële omgeving scannen om na te gaan welke verschillende devices aanwezig zijn.
- Informatie verzamelen en onderzoek doen naar een potentieel target. Sommige informatie van industriële architectuur is publiek beschikbaar en kan opgezocht worden. Anderzijds kan er gebruikt gemaakt worden van tools om te zien of er bepaalde kwetsbaarheden aanwezig zijn.
- Eenmaal een kwetsbaarheid bekend is kan er malware op het betreffende toestel geïnstalleerd worden. Hiermee kan een aanvaller dit overnemen en verder besturen.
- Devices kunnen aangepast of stopgezet worden, ook kan er sensitieve informatie geëxtraheerd worden, het doel is hiermee bereikt.
Hoe gaat een security expert te werk?
Er zijn een aantal maatregelen dat een security expert kan nemen om aanvallen te voorkomen.
Toestellen in de industriële omgeving zijn gemaakt om robuust te zijn tegen, vocht, trillingen, variatie in temperatuur, … . PLC’s zijn programmeerbare compacte computers die o.a. productielijnen aansturen en deze gaan typisch zo’n 10-20 jaar mee. Preventieve maatregelen nemen om zo’n computers te beschermen tegen cyberaanvallen zijn dus beperkter omdat de software en hardware gedateerd wordt.
Bij netwerkmonitoring wordt de data die op het netwerk verstuurd wordt constant in het oog gehouden. Bij een mogelijk verdachte actie zal er een alert uitgestuurd worden, bijvoorbeeld via email, SMS of op een dashboard. Hierdoor kunnen zo snel mogelijk de gepaste beveiligingsmaatregelen toegepast worden.
Netwerkmonitoring opstellen is allesbehalve vanzelfsprekend. Eerst moeten alle aangesloten toestellen in kaart gebracht worden. Ook moet er handmatig ingesteld worden welke activiteiten op het netwerk als verdacht beschouwd worden. De sterkte van zo’n monitoroplossing is dus afhankelijk van hoe grondig een security expert te werk gaat.
Rol van Artificiële Intelligentie
Artificiële Intelligentie is alomtegenwoordig en kan ook helpen bij netwerkmonitoring. Bij Machine Learning leert een wiskundig algoritme een bepaalde taak bij op basis van inputdata en verwachte antwoorden. Bij network monitoring willen we voor een bepaalde inputdata weten of dit overeenkomt met normale netwerktraffiek of met een cyberaanval. We zouden voor elk stukje inputdata de labels ‘normaal’ en ‘aanval’ kunnen toevoegen. Eenmaal dit verzameld is kan een algoritme leren van de inputdata en labels. We bekomen een systeem dat kan voorspellen welke netwerktraffiek normaal is of behoort tot een cyberaanval. Hierbij heeft de gebruiker totaal geen kennis van wat er onder de motorkap gebeurt, we spreken van “black box” models. De gebruiker krijgt enkel de output te zien “normaal” of “aanval”.
Features zijn de verschillende onderdelen of letterlijk vertaald “eigenschappen” van de inputdata. Als de data uit een tabel met rijen en kolommen bestaat dan komen de features overeen met de kolommen. Met Feature explainability probeer je te verklaren wat de invloed van verschillende features van je inputdata hebben tot je voorspelling van je algoritme. Dit leidt tot nuttige context voor je voorspellingen.
Naast de ruwe output “normaal” of “aanval” krijg je bijkomende informatie, bijvoorbeeld:
‘Op dit uur van de dag is er typisch geen communicatie tussen deze toestellen. Overigens wordt er veel meer data gestuurd dan normaal’.
De features van de inputdata zijn onderstreept: Het tijdsmoment, communicatie tussen specifieke toestellen en hoeveelheid data.
Deze randinformatie is zeer nuttig voor een security expert die moet nagaan wat er hier werkelijk aan het gebeuren is.
Het AI algoritme kan gebruikt worden als een copiloot die zelf verdachte activiteiten opmerkt en deze verklaart aan een persoon.
Stel dat er al een machine overgenomen is door een aanvaller en deze een nieuwe versie van de malware op deze machine zet. In onderstaande figuur is er weergegeven hoe een feature importance grafiek eruit ziet voor deze situatie. Hierbij is duidelijk te zien dat voornamelijk ‘frame.len’ en ‘packets_per_min’ belangrijke features zijn. Deze duiden allebei op een afwijkende hoeveelheid data die verstuurd is op het netwerk. Dit klopt ook als we het aanvalsscenario in acht nemen.
Feature explainability heeft een aantal voordelen.
Vertrouwen in algoritme vergroten. Door context mee te geven waarom een alert gegenereerd wordt kan een gebruiker veel meer inzicht geven waarom het algoritme deze voorspelling doet.
Dataset reduceren door te bepalen welke features het belangrijkst zijn. Features die nooit van belang zijn in verschillende scenario’s kunnen weggelaten worden. Hierdoor reduceer je de hoeveelheid data en verhoog je de snelheid van voorspellingen.
Bias in data vermijden door meer inzicht in het algoritme te krijgen. Dat bepaalde features als belangrijkste naar boven komen kan toeval zijn. We zouden bijvoorbeeld het ip-adres als feature kunnen gebruiken en dan kan deze feature als zeer belangrijk naar boven kunnen komen, indien de hacker altijd gebruikt maakt van hetzelfde ip-adres. Maar indien de hacker zijn ip-adres faket, door behulp van ARP spoofing, dan zal dit een minder betrouwbare feature zijn. Ip adres wordt dan best als feature vermeden. In de praktijk worden onbekende IP adressen standaard tegengehouden.
Take-away
In de praktijk is Artificiële Intelligentie geen wondermiddel maar een tool om parallel met klassieke maatregelen in te zetten voor een verbetering van security. Door de AI verklaarbaar te maken verhoogt de bruikbaarheid en betrouwenswaardigheid.