Genua
KI in Industrial Security
Fortsetzung des Artikels von Teil 1
Das Chaos im Netzwerk beherrschen
Die Annahme, dass OT-Netze statisch sind und praktisch keinen Änderungen unterliegen, gilt kaum noch. Das Beispiel der Automobilindustrie zeigt, dass Produktionsanlagen mehr und mehr sowie dynamisch angepasst werden. Für Überwachung und Monitoring werden zunehmend Fremddienste aus der Cloud eingebunden, außerdem erhöhen immer mehr Sensorik sowie das Einbinden von IoT-Devices die Komplexität der OT-Netze weiter. Gleichzeitig steigen die Anforderungen an Netzverfügbarkeit und Leistungsfähigkeit. Verändern sich OT-Netzwerke dynamisch, wird es für OT-Operatoren künftig noch schwieriger, diese zu überblicken und zu verstehen. Sie benötigen zusätzliche Unterstützung bei der Analyse immer größerer Datenmengen, der Bewertung von Warnmeldungen sowie der Auswahl geeigneter Maßnahmen. Hinzu kommt die Anforderung, Netzwerkstruktur und Firewall-Regeln angesichts dynamischer Veränderungen aktuell zu halten.
Mit erweiterten Methoden der KI (Künstlichen Intelligenz) und des ML (Machine Learning) kann das Chaos im Netzwerk auch langfristig beherrscht werden. Im Forschungsprojekt Wintermute (siehe Kasten) sollen KI- und ML-gestützte Methoden künftig drei wesentliche Probleme adressieren:
- die Lagebeurteilung – Klassifizierung des Systemverhaltens sowie Rückmeldung über Auffälligkeiten,
- die Policy Definition – individuelle Regelerstellung,
- die Durchsetzung von Sicherheit in komplexen Netzen.
|
Das Forschungsprojekt ‚Wintermute‘ |
|---|
|
Durch die zunehmende Digitalisierung der Industrie und die wachsende Dynamik und Komplexität von Kommunikation entstehen verflochtene Kommunikationssysteme, die kritischen Anforderungen bezüglich ihrer Verfügbarkeit genügen und einen angemessenen Schutz für sensible Daten bieten müssen. Bisherige Lösungen setzen ihren Fokus verstärkt auf die automatische Erkennung von schädlichen Kommunikationsmustern, bedürfen händischer Gegenmaßnahmen und vernachlässigen häufig den Usability-Aspekt. Im BMBF-geförderten Forschungsprojekt ‚Wintermute‘ setzen Forscher auf KI-Methoden, die das Systemverhalten klassifizieren und dem Administrator Rückmeldung über Auffälligkeiten geben sollen. Neben der KI-gestützten Lagebeurteilung soll es möglich sein, Feedback von Nutzern einzuarbeiten, um die entstehenden Regeln individuell auf Bedürfnisse anzupassen. Zusätzlich konzentriert sich Wintermute auf die Benutzerfreundlichkeit, um es Unternehmen zu ermöglichen, ihre hochgradig vernetzten Systeme zu verstehen und für Risikoanalyse und -management zugänglich zu machen. Qualifiziertes Fachpersonal, das in diesem Bereich oftmals rar oder nicht verfügbar ist, soll dabei nicht ersetzt werden. Stattdessen ist es das Ziel des Forschungsprojekts, diese Fachkräfte hinsichtlich ihrer Entscheidungen bestmöglich zu unterstützen. Im Verbund der Forschungspartner übernimmt Genua die Rolle des Konsortialführers. Projektpartner sind die Universitäten Bamberg, Bremen und Würzburg. Weitere Partner sind das Bundesamt für Sicherheit in der Informationstechnik (BSI), acs plus, DB Systel, IsarNet Software Solutions, Renk und Xitaso. |
Dabei gewinnt insbesondere die Nutzerfreundlichkeit (Usability) weiter an Bedeutung, denn es geht darum, hochgradig vernetzte Systeme besser zu verstehen, um Risikoanalyse und Risikomanagement sowie die Bedienbarkeit zu vereinfachen. Ziel ist es, den OT-Operator dabei zu unterstützen, geeignete Regeln und Sicherheitspolicies festzulegen. KI soll ihm außerdem helfen, den Umgang mit dynamischen Veränderungen im Netz zu erleichtern. Dabei strebt das Forschungsteam des Wintermute-Projekts kein automatisches System für die Netzwerksicherheit an, vielmehr sollen Technologien geschaffen werden, die dem Administrator als Unterstützung dienen. Die wesentlichen Ansätze im Rahmen des Forschungsprojekts sind nachfolgend beschrieben.
Mehr Überblick im Netzwerk schaffen
Das KI-basierte System soll helfen, wieder einen besseren Überblick über das eigene Netzwerk zu erlangen. Der Forschungsansatz ist hierbei die Betrachtung des Netzwerks als Graphen. Dies klingt zunächst banal, jedoch wird nicht einfach nur versucht, einen ein-fachen Netzwerkplan abzuleiten. Stattdessen werden IPFIX-Daten durch eine Sonde im Netzwerk gesammelt, vorverarbeitet und als Eingangsdaten für Machine-Learning-Algorithmen genutzt. Ziel ist eine für den Administrator stimmige Komplexitätsreduktion. Anstatt sich mit unzähligen, einzelnen Appliances im Netzwerk befassen zu müssen, wird eine überschaubare Anzahl an Clustern sich ähnlich verhaltender Geräte gebildet und visualisiert. Für das Clustering lässt sich eine Vielzahl an Features aus den IPFIX-Daten ab-leiten und kombinieren. Beispielsweise kann die Aggregation von Assets auf Basis ihrer Kommunikationsbeziehung erfolgen, also die Frage beantwortet werden, wer mit wem über welches Protokoll spricht. Es kann aber auch zielführend sein, beim Clustering eine Unterscheidung zwischen den Client- und Server-artigen Verhalten der Assets in den Vordergrund zu stellen. Durch die Flexibilität des Ansatzes kann der Administrator auf unterschiedliche Umgebungen und Anwendungsszenarien reagieren und stets ein tiefes Verständnis bezüglich seines Netzes erlangen. Dabei unterstützen die verständliche visuelle Darstellung der Cluster und ihrer Kommunikationsbeziehungen sowie Funktionalitäten die Erklärung der ML-Ergebnisse. Es lässt sich zum Beispiel aufzeigen, warum Systeme im selben Cluster gruppiert wurden und welche Attributwerte Cluster voneinander unterscheiden.
Regeln für Netzwerk-Cluster erstellen
Im nächsten Schritt werden das Clustering und das aus IPFIX-Daten ableitbare Kommunikationsverhalten von Assets kombiniert. Aus dieser Datenbasis leitet das System automatisiert Firewall-Regeln ab. Diese ermöglichen es, zulässige Aktivitäten für einzelne Applikationen engmaschig festzulegen. Der Administrator kommt somit dem Ziel Mikro-Segmentierung einen großen Schritt näher – und das mit deutlich reduziertem Aufwand und einer geringeren Wahrscheinlichkeit an Fehlkonfigurationen.
Auf die Dynamik im Netzwerk reagieren
Mit einmaligem Etablieren von Filterregeln zur Mikro-Segmentierung ist es nicht getan. Genauso gezielt muss auf die häufigen Veränderungen im Netzwerk reagiert werden. Dabei ist eine manuelle Anpassung von Firewall-
Regeln auf Ebene einzelner Assets auf-wendig und sollte nur in Ausnahmefällen zum Einsatz kommen. Vielmehr ist es aktuelles Forschungsziel, dass Veränderungen in der Topologie des Netzwerks und im Verhalten von Assets durch das System selbstständig identifiziert werden. Wie sensibel auf Änderungen reagiert wird, ist auch vom Sicherheitsstatus der beteiligten Assets abhängig. Zur Aktualisierung berechnet das System das anzuwendende ‚Delta‘ zwischen dem gerade vorherrschenden Stand des Netzwerkes und dem Zeitpunkt der letzten Regel-Generierung. Das Ergebnis sind neue, zu verändernde und zu entfernende Firewall-Regeln. Wie im Schritt zur initialen Mikro-Segmentierung werden diese Anpassungen nicht automatisch vom System durchgesetzt, sondern stellen Vorschläge dar, die durch den Administrator freigegeben werden müssen.
Steigende Komplexität mit KI beherrschen
Zusammenfassend lässt sich sagen, dass die industrielle Digitalisierung die Dynamik und Komplexität in IT/OT-Netzwerken dramatisch erhöht. Konzepte wie das IIoT oder Industrie 4.0 sorgen dafür, dass Netzwerkarchitekturen immer verteilter werden, sowie durch eine steigende Anzahl an immer komplexeren Komponenten gekennzeichnet sind. Gleichzeitig ist das menschliche Gehirn kaum mehr in der Lage, diese Komplexität zu durchdringen.
Fachkräftemangel, Zeitdruck und schlechte Usability führen dazu, dass nur noch wenige Spezialisten diese Netzwerke ausreichend verstehen. Das Netzwerkverhalten wird für IT-Admins und OT-Betreiber zu einer Blackbox und aufgrund der hohen Dynamik gibt es keinen ‚aktuellen‘ Netzwerkplan mehr. Dies hat darüber hinaus Auswirkungen auf die IT/OT-Security: Es gilt, mit dynamischen Systemen auf die neuen Rahmenbedingungen zu reagieren. In einem dynamisch-komplexen Umfeld sind Security Policies und Firewall Rules dabei so zu definieren und anzupassen, dass sie gleichermaßen legitimierte Applikationen nicht behindern und einen hohen Sicherheitsstandard erfüllen. Heutige Methoden zum Netzwerkschutz, wie automatische Erkennung und händische Gegenmaßnahmen, reichen in der Zukunft nicht mehr aus, um sich effektiv gegen die zunehmenden Cyber-Risiken zu schützen.
Um die steigende Komplexität in Kommunikationsnetzwerken trotzdem langfristig zu beherrschen, kann künstliche Intelligenz wichtige unterstützende Funktionen übernehmen. Ziel muss es dabei sein, kein automatisches System für die Netzwerksicherheit anzustreben, sondern eine intelligente Unterstützung für den Operator zu bieten.
- KI in Industrial Security
- Das Chaos im Netzwerk beherrschen
Das könnte Sie auch interessieren
Zero Trust: 3 Fragen an ... Genua
Der Anwendungsfall bestimmt die Sicherheit
Zero Trust – 3 Fragen an…
Zero Trust in OT-Umgebungen
genua
Cyberresilienz: Das neue IT-Security-Paradigma
Genua
OT Security ist kein Feenstaub
Drei Fragen an... genua
»Wertschöpfungsnetzwerke benötigen einen…
IT-Sicherheit
Genua übernimmt Start-up Cognitix
Verwandte Artikel
GeNUA Ges. f. Netzwerk- und UNIX-Administration mbH
nachgehakt! – bei Steffen Ullrich, Genua
Vielschichtig absichern
Zero Trust – 3 Fragen an…
Zero Trust in OT-Umgebungen
Zero Trust: 3 Fragen an ... Genua
Der Anwendungsfall bestimmt die Sicherheit
SPS IPC Drives
Eckelmann FCS
Energiespeicher-Verbrauch senken
Redur
Kabelumwandler mit Click-Off-Scharnier
