Weitere Ergebnisse...

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors

KI in der OT-Sicherheit

25.04.2023 – Das Fraunhofer IOSB hat zusammen mit Rhebo und weiteren Technologiepartnern im AICAS-Projekt untersucht, wie selbstlernende Systeme die OT-Sicherheit erhöhen können. Wesentliches Ergebnis: Die Automatisierung von KI-getriggerten Abwehrmechanismen empfiehlt sich in der OT (noch) nicht.

Ziel des Verbundprojekts Autonomous Industrial Cybersecurity Assistance System (kurz: AICAS) war die Entwicklung eines Assistenzsystems zur intelligenten, autonomen Erkennung von Cybersicherheitsvorfällen. Bei dem zweijährigen Forschungsprojekt sollten zwei Kernfragen beantwortet werden:

  • Wie kann die Präzision bei der Erkennung von Cybervorfällen in der Operational Technology (OT) erhöht und somit die Wahrscheinlichkeit falsch-positiver Meldung reduziert werden?
  • Wie kann die Automatisierung und Güte der Vorfallbehandlung verbessert werden?

Projektaufbau: Identifizierung relevanter Anwendungsfälle für den KI-Einsatz

Das Projekt orientierte sich bei Identifizierung relevanter Anwendungsfälle an dem international etablierten MITRE ATT&CK for ICS Framework. Das Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB konzipierte jeweils ein Testbed für Energieunternehmen und für Industrieunternehmen. Als industrielle Angriffserkennungssysteme wurden Rhebo Industrial Protector sowie ein System des zweiten Technologiepartners eingesetzt.

Das Projekt verlief über drei Stufen:

Mit dem System Model Processing Framework (SyMP) wurde darauf basierend ein Rahmenwerk konzipiert und realisiert, welches das in diesem Projekt angestrebte Assistenzsystem darstellt.

Im zweiten Schritt wurde untersucht, ob durch den Einsatz maschineller Lernverfahren die Logmeldungen industrieller Angriffserkennungslösungen so angereichert werden können, dass eine verbesserte Aussage über die Ursache der Logmeldungen möglich ist. Das Ergebnis ist laut den Projektpartnern entscheidend bei der nachfolgenden Bewertung einer Anomaliemeldung für die Entscheidung über eine Abwehrmaßnahme.

Im dritten Schritt wurde maschinelle Lernverfahren zur Anomalie- und Angriffserkennung basierend auf Netzwerkdaten konzipiert und implementiert, um eine Sicherheitsautomatisierung in der OT zu testen.

Kopf-KI-Netzwerk

Foto: Gerd Altmann (geralt) / pixabay.com

Ergebnis 1: Verbesserte Ursachenzuweisung

Mit dem SyMP-Rahmenwerk konnten komplexe Analysen konfiguriert und durchgeführt werden. Dazu gehörten unter anderem automatisierte Angriffserkennung und -korrelation, sowie Bedrohungs-, Konfigurations-, Schwachstellen- und Konformitätsanalysen. Durch den hohen Grad der Automatisierung stellt das Rahmenwerk damit eine deutliche Weiterentwicklung vorhandener Ansätze dar und unterstützt diese gleichzeitig.

Auch die Anreicherung der Logmeldungen zeigte ein vielversprechendes Potenzial. „Durch überwachtes maschinelles Lernen (supervised machine-learning) war eine Zuordnung der Logmeldungen aus dem Rhebo Industrial Protector nach MITRE möglich. Dadurch konnte eine erste Einschätzung der Root Causes unter Angabe einer Güte bereitgestellt werden“, erklärt Markus Karch, wissenschaftlicher Mitarbeiter des Fraunhofer IOSB. „Die Güte von Vorfallsmeldungen gibt ein Indiz, mit welcher Wahrscheinlichkeit eine Meldung relevant ist und wirklich einen Angriff darstellt. Je niedriger diese für Anomaliemeldungen ausfällt, desto höher ist das Risiko einer falsch-positiven Meldung.“

Ergebnis 2: OT-Sicherheit geht nicht ohne Menschen

Jedoch zeigte sich auch, dass eine Vielzahl von Anomaliemeldungen durch automatisierte Verfahren nicht eineindeutig zugewiesen und bewertet werden konnten, falls eine unzureichende Einlernphase vorausgeht. So können unvorhersehbare Herausforderungen, wie fehlkonfigurierte DNS, NTP oder Update-Server, zu Problemen beim Einsatz maschineller Lernverfahren in der OT-Sicherheit führen.

„Das sehr spezifische Wissen der Betreibenden und des OT-Sicherheitspersonals zu konkreten Konfigurationen, Annahmen und Rahmenbedingungen innerhalb der OT bleibt notwendig, um die Anomaliemeldung sicher einzuschätzen“, so Karch. Da sich die Gefahrenlage ständig verändert, ist an dieser Stelle eine KI-gestützte Sicherheitsautomatisierung, die also selbstständig Aktivitäten in der OT blockt und gegebenenfalls Prozesse stoppt, noch mit einer starken Unsicherheit verbunden. „Kontext ist alles. Und dieser ist von OT zu OT mitunter extrem unterschiedlich. Eine KI bzw. ein intelligenter Algorithmus kann hier nur als Vorabfilter fungieren, dessen Ergebnisse vom internen Expertenteam bewertet werden. Hier hat sich auch gezeigt, dass klassische heuristische Methoden nach wie vor äußerst effektiv sind. Die Entscheidung, ob eine OT-Kommunikation dann geblockt wird oder Systeme isoliert werden, sollten aber die Personen fällen, die tagtäglich mit den Systemen arbeiten.“ Automatisierte Sicherheitsmechanismen hätten hier mitunter Angriffe übersehen oder falsch-positive Abwehrmaßnahmen eingeleitet (und die OT fälschlicherweise gestört).

Für Karch bestätigen die Ergebnisse der Studie, was sich auch unter echten Bedingungen seit längerem abzeichnet: „Durch die Zusammenarbeit mit Rhebo konnten wir feststellen, dass die Mehrheit von Cyberangriffen durch klassische Whitelisting-Verfahren einer Anomalieerkennung erkannt werden können. Somit sollten zukünftige wissenschaftliche Arbeiten bei der Evaluation von maschinellen Lernverfahren zur netzwerkbasierten Anomalieerkennung immer analysieren , ob sie überhaupt einen Vorteil gegenüber klassischen Verfahren darstellen.“

Weiterhin würden die untersuchten Ansätze des AICAS-Projektes auch Anwendung in der industriellen Anomalieerkennung finden.

Rhebo nutzt die in AICAS erlangten Erkenntnisse in seinem OT-Monitoring mit Anomalieerkennung Rhebo Industrial Protector in zweierlei Hinsicht:

  • Der generelle interne Ansatz der Erkennung und Darstellung von sicherheitsrelevanten Anomalien basiert bereits auf dem MITRE ATT&CK Framework for ICS und dem generellen MITRE ATT&CK Framework.
  • Durch den Anstieg der TR-Level einzelner Algorithmen zur Anomalieerkennung werden diese Algorithmen im Produkt eingesetzt.

Mittelfristig werde dies bei noch deutlich mehr einzelnen Anomalien und auch bei kombinierten Ansätzen der Fall sein. In der Product Roadmap sei dies bereits entsprechend eingeplant. (ds)

www.rhebo.com/de/
www.iosb.fraunhofer.de