Es temprano para la inteligencia artificial en la ciberseguridad de ICS

Un asistente virtual desarrollado por Google causó sensación cuando debutó el año pasado porque sonaba indistinguible de un humano al llamar a un restaurante para hacer una reserva. "Hola, me gustaría reservar una mesa para el miércoles séptimo", sonrió la voz masculina educada en la demostración de Google Duplex. "¿Para siete personas?" preguntó una mujer al otro lado de la línea, aparentemente malentendida. "Es para cuatro personas", replicó el asistente virtual, precediendo esa declaración con un "um" que suena natural.

El ejemplo de Google Duplex sirve como un microcosmos para el estado actual de la IA. Ahora disponible en 43 estados de EE. UU. Para los usuarios de teléfonos Google Pixel, el sistema Duplex es a la vez impresionante, pero también recuerda las limitaciones tecnológicas. Si bien Duplex puede sonar inquietantemente como un humano, su conjunto de habilidades está bastante limitado a interacciones bastante rutinarias. Por el contrario, el Project Debater de IBM es más fluido en abstracto. Puede darles a los expertos en debates humanos una carrera por su dinero en términos de formulación de argumentos, pero presenta su caso con una voz plana que suena robótica. Tanto el ejemplo de Duplex como el de Project Debater también recuerdan la regularidad con la que la IA más exitosa es producto de gigantes empresas de tecnología con presupuestos masivos y conjuntos de datos con ejércitos de empleados. E incluso entonces, las empresas de primer nivel advierten que la tecnología podría fallar. "Los algoritmos de inteligencia artificial pueden tener fallas", se lee en parte de una presentación regulatoria reciente de Microsoft. “Los conjuntos de datos pueden ser insuficientes o contener información sesgada. Las prácticas de datos inapropiadas o controvertidas […] podrían afectar la aceptación de las soluciones de IA ”.

[ Mundo de Internet de las cosas es donde las empresas industriales encuentran innovación en IoT. Reserve su pase de conferencia y ahorre $ 350, obtenga un pase de exposición gratuito , o vea el Altavoces IIoT en el evento.]

El argumento de marketing genérico para la IA, sin embargo, es que la tecnología es una panacea potencial para los problemas comerciales modernos, capaz de ayudar a las empresas industriales y empresariales a dar sentido a las montañas de datos (incluidos los de dispositivos IIoT) al mismo tiempo que las ayuda a impulsar la seguridad de la industria. sistemas de control. "La analítica industrial, aplicada a los datos de las máquinas para obtener información operativa, es un motor que impulsa la convergencia de OT y TI y, en última instancia, la creación de valor para la Cuarta Revolución Industrial", se lee en parte de la introducción del Marco de análisis de Internet de las cosas industrial de la Consorcio de Internet Industrial.

Cuando se le preguntó sobre el potencial de la IA para la ciberseguridad de ICS, el experto en ciberseguridad Jason Haward-Grau, CISO de PAS Global dijo que “la automatización de procesos robóticos es probablemente mucho más interesante, desde una perspectiva de IA, que la IA en seguridad”, refiriéndose al proceso empresarial tecnología de automatización que puede reducir la necesidad de participación humana en tareas como adquisiciones.

Sin embargo, el panorama de los proveedores está repleto de empresas que tienen una oferta de inteligencia artificial para casi cualquier problema imaginable. "Si le preguntas a alguien:'¿Tienes IA?', Siempre dirán 'sí'", dijo Haward-Grau. “Pero define lo que es. Haga la pregunta:"Si la IA es la respuesta, ¿cuál es la pregunta?" Porque es mejor que empiece a preguntar:"¿Qué necesita mi empresa?" "

El nivel de amenaza es significativo en la ciberseguridad de ICS. Un total del 49 por ciento de los 321 encuestados industriales sufrió al menos un ataque al año, según la investigación de Kaspersky de 2018. La cifra real podría ser mayor, dijo Haward-Grau, porque la cifra antes mencionada representa los ataques que las organizaciones están dispuestas a admitir que ocurrieron.

En la actualidad, el término IA se utiliza de muchas formas y las definiciones del término pueden parecer filosóficas porque sigue siendo difícil entender en términos concretos qué es la inteligencia. “Desde el punto de vista de la ingeniería, es difícil definir 'inteligente'”, dijo el escritor de tecnología Jaron Lanier en un debate de 2016 sobre IA. "Si no define una línea de base que sea medible, se encuentra en una tierra de fantasía". También agregó que:"Muchos de los sistemas que llamamos sistemas 'inteligentes' se desvían del proceso empírico".

Un caso de uso propuesto para los sistemas de IA, o para ser más precisos, el aprendizaje automático, es su uso para detectar malware o anomalías en una red. Si tiene una línea de base de cómo debe operar la red y tiene algoritmos de aprendizaje automático sólidos y suficiente acceso a los datos, la tecnología puede ser poderosa para detectar rápidamente amenazas de red y, con el tiempo, reducir potencialmente la cantidad de falsas alarmas para códigos o redes potencialmente sospechosos. conducta. Dado el hecho de que la industria de la ciberseguridad en general está luchando con una escasez considerable de trabajadores talentosos, esa es una gran promesa.

Pero para que tenga éxito, el sistema de aprendizaje automático debe tener acceso a datos relevantes. Si la empresa está haciendo algo que el sistema de inteligencia artificial no conoce, puede tener problemas, en forma de falsas alarmas. O quizás el sistema de aprendizaje supervisado diseñado para investigar el código de software se entrenó con datos incorrectos, lo que llevó al algoritmo a considerar que el malware es potencialmente normal. Además, los adversarios también podrían modificar el software de un proveedor de seguridad para hacer pasar el malware como código normal. Otra posibilidad, mencionada en un artículo de Technology Review, es que los atacantes simplemente descubran las funciones que utiliza el modelo de aprendizaje automático para identificar malware y las eliminen de su propio código malicioso.

En un contexto industrial, puede ser difícil entretejer datos de equipos que no están orientados a redes de TI o que no utilizan el protocolo TCP / IP de TI. "¿Cómo funciona la IA en un bus de control de 25 años?" preguntó Haward-Grau.

Para proporcionar un ejemplo de la dificultad potencial de lanzar un proyecto de IoT a gran escala en un entorno industrial, Haward-Grau da el ejemplo de una refinería, que tiene 500 dispositivos de TI tradicionales como estaciones de trabajo físicas, HMI, servidores y conmutadores. "Es manejable. Es como una pequeña oficina. Podría ponerle seguimiento a la red ”, dijo. Pero luego, cuando el jefe de seguridad le pregunta a la refinería cuántos puntos finales OT tiene, la respuesta es 28,500. Si bien una de las ventajas de la IA, en general, es su potencial para dar sentido a volúmenes masivos de datos variados, generados a gran velocidad, en realidad, todavía es un desafío dar sentido a datos complejos históricamente aislados. "El desafío no es la cantidad" de puntos finales, dijo Haward-Grau. “Es el desafío de tener 20 proveedores diferentes. Digamos que tengo equipos de ABB, Schneider Electric, Siemens, Yokogawa, Philips, GE y Honeywell ”, dijo. “Son todos diferentes, hablarán de manera diferente. Entonces, ¿cómo va a traducir todas esas cosas diferentes para empezar y luego responder a la pregunta:"¿Cómo se ve bien?", Preguntó Haward-Grau.

Agregue a eso el cambio en la postura en ciberseguridad desde la suposición de que es solo una cuestión de tiempo antes de que las empresas sean violadas a la suposición de que su empresa ya ha sido violada, la complejidad de comprender cómo se ve el buen comportamiento de la red se vuelve más abrumadora. Un estudio de 2018 respaldado por IBM descubrió que las empresas empresariales tardan un promedio de 197 días en identificar una infracción. Esa es una mala noticia para las organizaciones potencialmente comprometidas que buscan entrenar modelos de aprendizaje automático en topologías de redes complejas.

Todo esto no quiere decir que la IA no tenga un potencial considerable para la ciberseguridad de ICS, es solo que las empresas industriales que buscan implementar la tecnología deben comenzar con casos de uso definidos con una complejidad de datos inicialmente limitada. Como escribió una vez E. F. Schumacher:“Cualquier tonto inteligente puede hacer las cosas más grandes, más complejas y más violentas. Se necesita un toque de genialidad y mucho coraje para moverse en la dirección opuesta ".