ИИ поможет ловить хакеров

Компания Attivo Networks вместе с исследователями из лаборатории PNNL разрабатывают специальные ловушки для хакеров. Программный комплекс может симулировать различные технологические платформы: трубопроводы, системы управления оборудованием в промышленности, центры управления электросетями и другие компьютерные сети, которые могут представлять интерес для злоумышленников. 

Первоначально разработку финансировало министерство энергетики США, чтобы получить новый инструмент для защиты критически важных элементов инфраструктуры. Система Shadow Figment представляет собой специальные устройства, которые подключаются к сети, которую надо защищать, и мимикрируют под другие ее элементы, например, контроллеры или датчики. Они ведут себя реалистично: отвечают на запросы и возвращают данные, похожие на те, которые передают обычные устройства. Как только злоумышленники начинают с ними взаимодействовать, об этом сразу становится известно команде по информационной безопасности защищаемого объекта. Ответственные за безопасность могут таким образом понять, какие методы нападения будут использовать хакеры и как лучше им противодействовать. 

Метод «медовых ловушек» (honey trap) уже давно используется при защите компьютерных сетей. В них встраивают специальные компьютеры, на которых специально оставляют открытые порты, и ловушка тихо ждет нападения хакеров. Однако узел в сети управления производственными процессами не может молчать. Обычно сенсоры и контроллеры постоянно общаются друг с другом. И молчаливый узел будет выглядеть слишком подозрительно для нападающих. Поэтому исследователи из PNNL создали алгоритм обучения, который способен изучить характер и частоту сообщений, которые передаются по сети управления, и настроить передаваемые приманкой пакеты так, чтобы они выглядели реалистично. Для этого нужно изучить физические процессы, которыми управляет система, и построить их модель. Устройство может в ходе работы изучать новые переменные и функции, чтобы со стороны всё выглядело так, словно оно взаимодействует с реальными производственными процессами, как настоящие устройства. Shadow Figment принимает команды управления и меняет настройки таким образом, чтобы хакер поверил, что имеет дело с настоящим узлом производственной сети. Модель предсказывает эффект, который оказали бы команды хакера на производственный процесс, и возвращает ему информацию, которая должна сбить его с толку и заставить поверить в успех своей атаки.

«Ключевой новаторский компонент системы заключается в том, что мы имеем возможность моделировать течение физических процессов, которые контролирует критически важная инфраструктура. Например, если это электрическая система, то мы можем моделировать физику распределения электроэнергии таким образом, чтобы ловушка выглядела так, будто она подключена к физической системе. Нападающие будут думать, что они достигают своих целей, хотя в действительности они не говорят с реальной системой, а мы остаемся защищенными», — пояснил в интервью подкасту Federal Drive разработчик Shadow Figment Томас Эдгар. 

PNNL создали еще несколько технологий, которые должны усилить защиту промышленных объектов. Cyber Isolets — это метод организации компьютерных систем, которые разделят бизнес-сети от сетей управления. Если хакер получит доступ к бизнес-системе, то Cyber Isolets не даст ему добраться до приложений, которые управляют промышленным оборудованием. Метод создает барьеры, которые описывают, какие сообщения и по каким протоколам могут проходить между бизнес и промышленными сетями, и пресекают любые другие. Это позволяет защитить систему управления предприятиями, не нарушая при этом бизнес-процессы. Если, например, хакер отправит фишинговое письмо, то оно откроется в специальной «песочнице», откуда зловредная программа не сможет связаться со своим управляющим сервером. А хакер, соответственно, не получит доступ ко всей системе и не сможет повлиять на производственные процессы. Пользователи же смогут пользоваться электронной почтой и специализированными приложениями, как они делали это до внедрения Cyber Isolets. Эта система нужна в тех случаях, когда физическое разделение бизнес и производственных сетей невозможно. Для анализа сообщений и создания профиля разрешенных используются системы машинного обучения.

Основанный на моделях ответ на угрозы (Threat Model-based Response (TMBR)) помогает аналитикам определять серьезность нападения, используя алгоритмы машинного обучения. Программа помогает с обнаружением и выбором ответа на попытку получить несанкционированный доступ. TMBR анализирует образцы вредоносных программ и дает специалистам по безопасности информацию о схожих угрозах: поведение, информация о файлах и способы противодействия. TMBR ищет в наблюдаемом поведении нападающего исторические аналогии, которые позволяют ответить на следующие вопросы: какие шаги нападающий будет совершать дальше, как им противодействовать и какая информация доступна о нападающем.  

Дашборд «Единая картина операций» (Unified Operating Picture (UOP)) нужен для анализа состояния системы управления операциями в реальном времени. Зачастую на производстве используются системы управления, которые были созданы давно и не учитывают возникших за последнее время новых угроз. Старые сенсоры и контроллеры имеют десятки уязвимостей, и зачастую их невозможно исправить из-за аппаратных ограничений. Дополнительную сложность при защите таких систем представляет то, что сложно сказать, какое поведение системы является нормальным, а при каком надо поднимать тревогу. UOP анализирует параметры работы систем управления и физические процессы на производстве и определяет границы допустимого поведения системы. Система позволяет быстрее выявлять отклонения в работе и выяснять их причину: например, вызвано ли оно техническим сбоем в работе оборудования, отказом какого-либо сенсора или же действиями злоумышленников.