Crédito:
NORTE. Hanacek/NIST
Las copias virtuales detalladas de objetos físicos, conocidas como gemelos digitales, están abriendo la puerta a mejores productos en las industrias automotriz, sanitaria, aeroespacial y otras. Según un nuevo estudio, la ciberseguridad puede encajar perfectamente en la cartera de un gemelo digital.
A medida que se puede acceder de forma remota a más robots y otros equipos de producción, se crean nuevos puntos de entrada para ataques cibernéticos maliciosos. Para seguir el ritmo de la creciente amenaza cibernética, un equipo de investigadores del Instituto Nacional de Estándares y Tecnología (NIST) y la Universidad de Michigan ha desarrollado un marco de ciberseguridad que combina tecnología de gemelos digitales, aprendizaje automático y experiencia humana para señalar indicadores de ciberataques. . .
En un artículo publicado en Transacciones IEEE sobre ciencia e ingeniería de automatización, Investigadores del NIST y la Universidad de Michigan demostraron la viabilidad de su estrategia al detectar ciberataques dirigidos a una impresora 3D en su laboratorio. Señalan que el marco se puede aplicar a una amplia gama de tecnologías de fabricación.
Los ciberataques son increíblemente sutiles y pueden ser difíciles de detectar o distinguir de otras anomalías del sistema, a veces más rutinarias. Los datos operativos que describen lo que sucede dentro de las máquinas (datos de sensores, códigos de error, comandos digitales emitidos o ejecutados, por ejemplo) respaldan la detección de ciberataques. Sin embargo, acceder a este tipo de datos directamente en tiempo real desde dispositivos de tecnología operativa (OT), como una impresora 3D, puede poner en peligro el rendimiento y la seguridad del proceso en la fábrica.
«En general, he notado que las estrategias de ciberseguridad de fabricación se basan en copias del tráfico de la red, lo que no siempre nos ayuda a ver lo que sucede dentro de la maquinaria o el proceso», dijo el ingeniero mecánico del NIST Michael Pease, coautor del estudio. “Como resultado, algunas estrategias de ciberseguridad de OT parecen análogas a ver las operaciones desde el exterior a través de una ventana; Sin embargo, es posible que los oponentes hayan encontrado una manera de hacerlo sobre el terreno.
Al no mirar debajo del capó del hardware, los profesionales de la ciberseguridad pueden dejar espacio para que actores maliciosos operen sin ser detectados.
Una mirada en el espejo digital
Los gemelos digitales no son modelos informáticos comunes y corrientes. Están estrechamente relacionados con sus homólogos físicos, de los que extraen datos y se mueven uno al lado del otro en tiempo real. Entonces, cuando una máquina física no se puede probar mientras está en funcionamiento, su gemelo digital es la mejor opción.
En los últimos años, los gemelos digitales de maquinaria de fabricación han proporcionado a los ingenieros más datos operativos para ayudarles a lograr diversas hazañas (sin afectar el rendimiento o la seguridad), incluida la predicción de cuándo las piezas empezarán a romperse y requerirán mantenimiento.
Además de identificar indicadores rutinarios de desgaste, los gemelos digitales pueden ayudar a descubrir más datos de fabricación, afirman los autores del estudio.
«Debido a que los procesos de fabricación generan conjuntos de datos tan ricos (temperatura, voltaje, corriente) y debido a que son repetitivos, existen oportunidades para detectar anomalías persistentes, incluidos los ataques cibernéticos», dijo Dan Tilbury, profesor de ingeniería mecánica en la Universidad de Michigan. y coautor del estudio.
Para aprovechar la oportunidad que brindan los gemelos digitales para una seguridad cibernética más estricta, los investigadores desarrollaron un marco que involucra una nueva técnica, que probaron en una impresora 3D disponible en el mercado.
El equipo construyó un gemelo digital para simular el proceso de impresión 3D y proporcionó información desde una impresora real. A medida que la impresora construye una pieza (en este caso un reloj de arena de plástico), los programas de computadora monitorean y analizan un flujo continuo de datos, incluidas las temperaturas medidas por el cabezal de impresión físico y las temperaturas simuladas calculadas en tiempo real por el gemelo digital.
El inventor provocó oleadas de perturbaciones en la impresora. Algunas son anomalías inocentes, como un ventilador externo que enfría la impresora, pero otras, que hacen que la impresora informe incorrectamente sus lecturas de temperatura, representan algo más siniestro.
Entonces, con una gran cantidad de información a mano, ¿cómo distinguen los programas informáticos del equipo un ciberataque de algo más rutinario? Una respuesta marco es utilizar un proceso de eliminación.
Los programas que analizan impresoras tanto reales como digitales son modelos de aprendizaje automático de reconocimiento de patrones entrenados con datos operativos comunes, que se incluyen en la mayor parte del artículo. En otras palabras, los modelos eran expertos en reconocer cómo se veía la impresora en condiciones normales, lo que significaba que podían detectar cuando las cosas estaban fuera de lo común.
Si estos modelos detectan irregularidades, pasan el testigo a otros modelos de computadora que revisan su biblioteca de problemas conocidos para ver si alguna señal extraña es consistente, como que el ventilador de una impresora enfríe su cabezal de impresión más de lo esperado. Luego, el sistema clasifica la irregularidad como una anomalía anticipada o una posible amenaza cibernética.
En el último paso, los expertos humanos deben interpretar los hallazgos del sistema y luego tomar una decisión.
«El marco proporciona herramientas para formalizar sistemáticamente el conocimiento de los expertos en la materia en la detección de anomalías. Si el marco no ha detectado una anomalía particular antes, los expertos en la materia pueden analizar los datos recopilados y proporcionar más información para integrar y mejorar el sistema», dijo el líder. autor Effe Balta, investigador postdoctoral en la Universidad de Michigan y ahora en ETH Zurich.
En general, los expertos confirman las sospechas de un sistema de ciberseguridad o enseñan nuevas anomalías para almacenarlas en una base de datos. Y luego, a medida que pasa el tiempo, los modelos del sistema teóricamente aprenden más y más, y los expertos humanos necesitan enseñarles cada vez menos.
En el caso de la impresora 3D, el equipo examinó el rendimiento de su sistema de ciberseguridad y descubrió que, al analizar datos físicos y simulados, podía distinguir adecuadamente los ciberataques de las anomalías normales.
Pero a pesar de los resultados prometedores, los investigadores planean estudiar cómo responde el marco a ataques más diversos y agresivos en el futuro, para garantizar que la técnica sea confiable y escalable. Sus próximos pasos implican aplicar la técnica a un grupo de impresoras simultáneamente, para ver si la cobertura ampliada perjudica o ayuda a sus capacidades de detección.
«Con más investigación, este marco podría ser un gran beneficio tanto para la gestión como para el seguimiento de indicaciones de sistemas OT comprometidos», afirmó Pease.
Artículo: EC Balta, M. Pease, J. Moyne, K. Barton y DM Tilbury. Un marco de detección de ciberataques basado en gemelos digitales para sistemas de fabricación ciberfísica. Transacciones IEEE sobre ciencia e ingeniería de automatización. Publicado en línea el 22 de febrero de 2023. DOI: 10.1109/TASE.2023.3243147
