ROVATOK
Ön itt áll: A HivatalrólSajtószobaA Hivatal a hírekbenOnline sajtó
Magyar megoldás veszélyes terepre
2023. június 01.
Módosítás: 2023. június 02.
Olvasási idő: 8 perc
Megosztás
MegosztásMegosztás
Nyomtatás
NyomtatásNyomtatás
Az ipari automatizálási és folyamatirányítási (ICS/SCADA) rendszerek biztonságának fenntartása napjaink egyik legnagyobb kihívását jelenti. Ezek a rendszerek nem csupán a termékgyártásban, hanem a kritikus infrastruktúrák, atomerőművek, vízművek, vagy a villamosenergia-szállítás irányításában is alapvető szerepet játszanak. Egy ilyen rendszer elleni sikeres támadás nemcsak anyagi kiesést okozhat, hanem a környezetben, vagy akár emberéletben is kárt tehet.

Az ipari hálózatok és a kritikus infrastruktúra megfelelő szintű védelme elengedhetetlen

A Szegedi Tudományegyetem közreműködésével korszerű technológiákat ötvöző, ipari környezetre optimalizált kiberbiztonsági feladatokat ellátó hálózati védelmi megoldásokat fejleszt a Balasys IT Zrt. A konzorcium az NKFIH Alapból 765 millió forint támogatást nyert a „CyGWICS – Ipari környezetre optimalizált kiberbiztonsági feladatokat ellátó hálózati átjáró eszköz fejlesztése” című projektje megvalósításához.

Olyan eszközt fejlesztettek ki, amely képes az ipari hálózatok adatforgalmát valós időben megfigyelni, a lehetséges támadásokat azonosítani és kiszűrni. Az eszköz több komponensből tevődik össze, egy önmagában is kiemelt biztonsági megoldásokkal megerősített platformon. A klasszikus tűzfal-megoldásokkal és szignatúra alapú behatolásdetektorral rendelkező eszközt olyan, gépi tanulásra támaszkodó megoldásokkal egészítették ki, amelyek ismeretlen támadások kiszűrésére is használhatók a hálózati forgalom szokásostól eltérő jellegének azonosítása útján.

A Szegedi Tudományegyetem feladata az eszköz hálózati behatolásdetektorának fejlesztése volt, mind a szignatúra alapú, mind a gépi tanulásra épülő modult az egyetem szakemberei készítették. A hálózati anomáliadetektor elkészítéséhez a legújabb kutatási eredményekre támaszkodtak, önálló vizsgálatokkal elemezték a modellek alkalmazhatóságát, majd adaptálták azokat a platform sajátosságaihoz. A kutatás során megszerzett tudás, az így kidolgozott modellek és adattranszformációs eljárások szilárd alapot nyújtanak további hasonló biztonsági szoftverrendszerek fejlesztéséhez, illetőleg minden olyan fejlesztési feladathoz, ahol a szokásos viselkedéstől eltérő minták azonosítására van szükség.

Ipari revolúció és evolúció

„Az ipari rendszerek fogalma dinamikus átalakuláson megy keresztül, amely az ipari termelés lépcsőfokainak változását követi. Ezeket a lépcsőfokokat hívják ipari forradalomnak”, mondta lapunknak az egyetem részéről Dr. Ferenc Rudolf, a projekt szakmai vezetője. „Nagy utat tettünk meg 1784-től, az első gépesített szövőszék munkába állásától a mai komplex irányítási rendszerekkel felvértezett gyártósorokig. Napjainkban az ipari gyártósorok nem a külvilágtól elszigetelt rendszerekből állnak, hanem hálózatba kapcsolódva kommunikálnak egymással és a felügyeletüket ellátó informatikai rendszerekkel. Mindezek mellett napjaink trendje az is, hogy az így összekapcsolt gyártórendszerek nemcsak az adott telephelyen belül, hanem azon túl is képesek adatcserére, amely elősegíti az egyes termelési egységek együttműködését, valamint a felhőtechnológiák alkalmazásával komplex számítási és adatfeldolgozási folyamatok kiszervezését, így a termelési folyamatok költségeinek jelentős csökkenését. Ezt a folyamatot hívják Ipar 4-nek, vagy ma inkább Ipar 4+-nak, és az érintett heterogén fizikai és informatikai rendszerekre hivatkozunk úgy, mint ipari rendszerek, vagy kiber-fizikai rendszerek”, fejtette ki.

Az ipari irányítási rendszereket eredetileg nem úgy tervezték, hogy a telephelyen túllépő összekapcsolt hálózatok részei legyenek, hanem a fizikailag is szeparált irányítás részét képezték. Ez egészen a közelmúltig így is volt. A különböző gyártóktól származó SCADA-rendszerek, amelyek célja a fizikai rendszereket vezérlő egységek felügyelete, valamint a különböző szenzoroktól érkező adatok feldolgozása, a korai 2000-es években érték el azt a fejlettségi szintet, hogy helyi hálózatba kötve képesek legyenek adatcserére egymással. Eddig a pontig ezek a rendszerek nem álltak kapcsolatban az internettel, távoli elérésük nem, vagy csak nagyon körülményesen, egyedi megoldások használatával volt lehetséges.

Miután ezek az ipari irányításban kulcsszerepet játszó rendszerek a hálózat részét képezték, azok távoli menedzsmentjére is lehetőség nyílt, ami által a világhálóról is elérhetővé váltak. Ma azért vannak veszélyben ezek a rendszerek, mert azáltal, hogy nincs szükség fizikai jelenlétre a berendezések eléréséhez, jelentős támadási potenciált nyújtanak mind az ipari kémkedés, mind az anarchista csoportok, mind a kiberhadviselés számára. Ráadásul az ipari rendszereket informatikai szempontból izolált környezetre tervezték, sokszor nem rendelkeznek olyan szintű védelemmel, mint a klasszikus információs hálózatok, és az ipari irányítási eszközök által használt protokollok is jóval egyszerűbbek.

Az internet beszivárgott a gyárba

„Az ipari rendszerek védelme a fizikai védelemre korlátozódott. Gondoljunk itt a kamerás megfigyelésre, beléptető rendszerek alkalmazására, illetőleg az őrzés-védelemre”, mondta Dr. Ferenc Rudolf. „Ahogy ezek a rendszerek távolról elérhetővé váltak, védelmük ugyan kiegészült a hagyományos informatikai hálózatokra tervezett eljárásokkal, de a »hagyományos« kockázatokon túl vannak olyanok, amelyek specifikusan a kiber-fizikai rendszereket érintik – amelyekre a klasszikus informatikai védelmi megoldások nem nyújtanak kielégítő megoldást”, mondta a szakmai vezető. „Gondolok itt például azoknak a protokolloknak az alkalmazására, amelyek specifikusan az ipari hálózatokban használatosak, ezeket a klasszikus hálózati védelem nem ismeri.”

Hogyan kapcsolják be a cégek saját ipari rendszerüket a világhálóba? „Nagyon vegyes a kép. Vannak olyan cégek, amelyek komoly biztonsági intézkedéseket foganatosítottak, és saját kibervédelmi részlegekkel rendelkeznek, amelyek az adott ország kibervédelmet ellátó szervezeteivel is együttműködnek. Ezek jellemzően tőkeerős multinacionális vállalatok. A kis- és közepes méretű vállalkozások esetében azonban vannak hiányosságok. Még ha a veszélyekkel tisztában vannak is, jellemzően nem rendelkeznek annyi forrással, hogy a kibervédelmi szakembereket foglalkoztassanak. A kibervédelmet ezeknél a cégeknél az a rendszergazda látja el, aki egyébként a hagyományos informatikai hálózatért is felelős”, mondta el Dr. Ferenc Rudolf.

A világhálóra többféleképpen is kapcsolódhatnak a kiber-fizikai rendszerek. Egyrészt a rendszer távoli menedzsmentjének biztosítása a legtöbb helyen gyakorlat, ugyanakkor a vállalat helyi hálózatáról is elérhetők a felügyeleti rendszerek és nem ritka a kétirányú kapcsolat sem. A helyi hálózat pedig valamilyen módon kapcsolatban áll a világhálóval, gondoljunk itt a VPN kapcsolatokra vagy távoli szolgáltatásokra.

Dr. Ferenc Rudolf hozzátette: az általuk fejlesztett behatolásdetektor egyrészt speciális szabályok alapján szűri a hálózati forgalmat, másrészt a normál (izolált módon működő) hálózati forgalom megfigyelésével mintákat tanul és az éles üzemben lévő forgalomban keresi azokat a mintákat, amelyek a tanultaktól jelentősen eltérnek. Valójában ez egy mesterséges intelligencia alapú megoldás, ezen belül a nem felügyelt tanulást alkalmazó modelleket használja, amelyek emberi beavatkozás nélkül képesek különböző minták felismerésére és kategorizálására.

Erősödik az ipar védelme

„A gazdálkodó szervezetek ma már a maguk – még mindig igen változatos – módjain igyekeznek védekezni a külső támadások ellen”, mondta el kérdésünkre Cseledi Sándor, a Balasys IT Zrt. vezérigazgatója. „Egyes szervezetek felismerték a hálózatbiztonsági problémákban rejlő veszélyeket és bevezettek olyan alapvető védelmi rendszereket, mint a klasszikus tűzfalak és VPN a biztonságos elérés érdekében”, ismertette, hozzátéve, hogy „még ma is találni olyan megoldásokat, ahol a gyártósor vezérlését végző számítógép gyakorlatilag védelem nélkül kerül az internetre.”

Az ipari irányítástechnikai rendszerek tekintetében a biztonság elsősorban az üzembiztonságot, a rendszerek leállása, hibás működése okozta károk megelőzését, minimalizálását jelenti, a kiberkockázatokkal szembeni védelem a közelmúltig sem a tervezésnél, sem a rendszerek üzemeltetésénél nem, vagy csak a rendkívül kritikus rendszerek esetében bírt jelentőséggel. Egyre gyakoribb a célzottan ipari rendszerek ellen irányuló malware, mint például az Industroyer (2016) és az Industroyer2 (2022). Ma már számos olcsó szolgáltatás adhat információt olyan ipari irányítási rendszerekről, amelyek védelem nélkül vannak kikötve az internetre, könnyű célpontot adva a támadóknak, ilyen szolgáltatást nyújt például a Shodan.

Ma az a nagy kihívás, hogy a folyamatvezérlési és ipari informatikai feladatok ellátása egészen más tudást és képességeket igényel, mint a „hagyományos” IT. Jellemzően sajnos szerény hálózatbiztonsági tapasztalattal rendelkeznek az ipari vezérlő rendszerek tervezői és üzemeltetői. Ebből adódóan sok esetben olyan technikai megoldásokat vezetnek be, amelyek egy irodai környezetben már túlhaladottnak számítanának biztonsági szempontból.

„Pozitív fejlemény, hogy minden nagyobb ipari szereplőnek van tűzfalmegoldása. A 2018 decemberében alakult SeConSys (Security for Control Systems) együttműködés egy egyedülálló kezdeményezés Magyarországon. Magyar tulajdonú kiberbiztonsági, védelmi, irányítástechnikai cégek és társaságok, továbbá az illetékes állami szervezetek szakembereinek önkéntes, szakmai együttműködése a kritikus – villamosenergetikai fókuszú – infrastruktúrák ipari felügyeleti rendszerei kiberbiztonságának fejlesztése céljából jött létre. A szervezet villamosenergetikai-ipari felügyeleti rendszerek legújabb kiberbiztonsági kézikönyvében (2023) részletesen olvashatunk ezekről a megoldásokról, egy dedikált fejezet a Zero Trust modellről és annak alkalmazásáról szól”, mondta el a Balasys IT vezérigazgatója.

Figyeltek a korszellemre

A projekt során hasznosították a mesterséges intelligencia (MI) kínálta előnyöket. Több klasszikus gépi tanulási módszert (például korlátos Boltzmann-gépet, SVM-et, mély neurális hálókat) már eddig is alkalmaztak az anomália detektálásra, de az MI fejlődési üteme rohamos. Újabb és újabb módszerek jelennek meg, amelyek egyre több, egymástól eltérő szakterületen hoznak komoly áttörést.

A természetes nyelvfeldolgozás területén megjelenő Transformer-, illetve Autoencoder-hálózatok alkalmazása nagyon friss kutatási ötlet a hálózati forgalomban történő anomália-detekcióra, és teljesen új megközelítést eredményez a probléma megoldására. A Szegedi Tudományegyetem kutatási eredményei és a közösen elkészített prototípus azt mutatják, hogy ezekkel az algoritmusokkal rendkívül jó találati arányokat lehet elérni. Ezek közül a legérdekesebbek az úgynevezett „nem felügyelt” algoritmusok, amelyek nem igényelnek előzetes tanítást, és leginkább előzetes szűrésre használhatók viszonylagos pontatlanságuk miatt.

A legígéretesebbnek a „gyengén felügyelt” módszerek bizonyultak, amelyek kevés előzetesen tanított adatból is meglepően pontos találatokat képes adni. Ez kimondottan jó hír, hiszen az eddigi tanítási módszerek vagy sok adatot, vagy a felhasználó segítségét igényelték, hogy elfogadható pontosságú találatokat adjanak.

Forrás: itbusiness.hu

Utolsó módosítás: 2023. június 02.
Visszajelzés
Hasznos volt az oldal információtartalma az Ön számára?
Igen
Nem
Nem ezt kerestem
A weboldalon HTTP-sütiket használunk, hogy a biztonságos böngészés mellett a legjobb felhasználói élményt nyújtsuk. Az adatvédelmi tájékoztatóban bővebb információkat talál arról, hogyan gondoskodunk adatainak védelméről.
Rendben