El aprendizaje automático protege las instalaciones industriales

24 Ene 2018

La ciberseguridad en las instalaciones industriales expone a las empresas porque cualquier ataque puede interrumpir los procesos tecnológicos, lo cual puede generar consecuencias catastróficas, aunque no tienen por qué ser financieras. Por lo tanto, la protección efectiva de dichas instalaciones requiere una supervisión constante tanto de los sistemas de información como de los procesos operativos. Por fortuna, nosotros tenemos la herramienta adecuada.

Los sistemas de control industrial (ICS por sus siglas en inglés) actuales son sistemas ciberfísicos y complejos. Se compone tanto de elementos informáticos que controlan dispositivos como de unidades integrales y de equipos físicos, lo que amplía las posibilidades de ataque y da muchas más opciones a los hackers que intentan alterar el sistema. Estos ciberdelincuentes pueden alterar la infraestructura de la información, ir en contra de los controladores en el medio digital o intervenir físicamente en el proceso de producción. Los ataques a un sistema ciberfísico son mucho más sofisticados que los ciberataques convencionales.

Los ataques a través de los sistemas de información son más o menos manejables. Solo hay que controlar con precaución los flujos de información entre los controladores lógicos programables y el sistema SCADA. Pero ¿y si los atacantes interfieren con señales entre los sensores industriales y los controladores? ¿Qué sucede si sustituyen los datos del sensor o lo destruyen directamente? Desarrollamos una tecnología de aprendizaje automático capaz de identificar este tipo de ataque.

Qué es necesario para proteger los procesos operativos

Nuestra tecnología se llama Machine Learning for Anomaly Detection (MLAD). Muchas de las instalaciones disponen de lo necesario para el funcionamiento de esta herramienta. Al fin y al cabo, todo el proceso de producción ya está equipado con sensores. El ICS automatizado recibe muchos datos de telemetría. Decenas de miles de etiquetas diferentes procedentes de numerosas fuentes que se actualizan unas 10 veces por segundo. Además, la información sobre el funcionamiento normal del sistema se acumula y se almacena durante años. Estas son las condiciones ideales para aplicar el aprendizaje automático.

Gracias a las leyes de la física, todas las señales del proceso en el sistema están interconectadas. Por ejemplo, si un sensor indica un bloqueo en una válvula, otros sensores deberían mostrar un cambio de presión, volumen o temperatura correspondiente. Todos estos indicadores se correlacionan entre sí. El mínimo cambio en el proceso de producción conduce a lecturas diferentes en muchos sensores. El sistema de aprendizaje automático, preparado con datos recopilados bajo condiciones normales de funcionamiento, puede estudiar estas correlaciones. Además, el motor MLAD puede operar en modo de autoaprendizaje en caso de que disponga de nuevos datos que no se hayan considerado anteriormente. Como resultado, puede detectar cualquier anomalía en el proceso de producción.

Cómo se aplica

Nuestra solución Kaspersky Industrial CyberSecurity supervisa detenidamente el tráfico de procesos mediante la inspección profunda de paquetes, por lo que tiene acceso a los datos del sensor y de los comandos. El sistema MLAD, usado ya en datos recopilados en condiciones normales de operación, analiza esta información en tiempo real para predecir cómo debería ser el estado normal del sistema (el tiempo exacto de esta predicción puede variar) a corto plazo.

Por supuesto, los pronósticos siempre se alejan de la realidad, pero la pregunta es cuánto. Durante el proceso de aprendizaje, el sistema realiza una estadística con los valores del umbral del error de predicción y las diferencias se consideran una anomalía.

MLAD está integrado en Kaspersky Industrial CiberSecurity a nivel de protocolo. Requiere datos de telemetría proporcionados por Kaspersky Industrial CyberSecurity, pero se puede cambiar para que utilice datos tecnológicos de otras soluciones nuestras.

Las ventajas de nuestro método

A diferencia de un sistema experto que opera según un conjunto de reglas estrictamente definidas, una solución de seguridad basada en algoritmos de aprendizaje automático se muestra más flexibilidad. Para que un sistema experto funcione en diferentes condiciones operativas, se generalizan sus reglas a menudo, lo que puede retrasar las repuestas a emergencias. Sin embargo, un sistema de aprendizaje automático no cuenta con esta limitación.

La flexibilidad también es importante si la empresa necesita ajustar su proceso de producción. Con un sistema de aprendizaje automático, no hay necesidad de modificar el sistema de seguridad. Basta con reactivar MLAD. No solo eso, Kaspersky Industrial CyberSecurity funciona con tráfico duplicado, es decir, no interfiere directamente en el proceso de producción.

Versión de prueba

Durante cierto tiempo, ha estado disponible en Internet un modelo matemático del proceso químico industrial de Tennessee Eastman. Se usa a menudo para demostraciones y mejoras de modelos de control. Lo usamos como base para definir la operación realista del módulo MLAD en un ataque a una empresa que implica la sustitución de datos de sensores, comandos y parámetros lógicos. Comprueba por ti mismo cómo funciona en el siguiente video.

En esta página encontrarás más detalles sobre Kaspersky Industrial CiberSecurity.