Künstliche Intelligenz in der ICS-Cybersicherheit ist noch früh

Ein von Google entwickelter virtueller Assistent hat bei seiner Premiere im letzten Jahr große Wellen geschlagen weil es nicht von einem Menschen zu unterscheiden war, wenn er ein Restaurant anrief, um eine Reservierung vorzunehmen. „Hallo, ich möchte einen Tisch für Mittwoch, den siebten, reservieren“, strahlte die höflich klingende Männerstimme in der Google Duplex-Demo. „Für sieben Leute?“ fragte eine Frau am anderen Ende der Leitung, offenbar missverstanden. „Es ist für vier Personen“, erwiderte der virtuelle Assistent und stellte dieser Aussage ein natürlich klingendes „äh“ voran.

Das Beispiel Google Duplex dient als Mikrokosmos für den aktuellen Stand der KI. Das Duplex-System ist jetzt in 43 US-Bundesstaaten für Benutzer von Google Pixel-Telefonen verfügbar und ist gleichzeitig beeindruckend, erinnert aber auch an technologische Einschränkungen. Während Duplex unheimlich wie ein Mensch klingen mag, sind seine Fähigkeiten eher auf eher routinemäßige Interaktionen beschränkt. Im Gegensatz dazu ist der Project Debater von IBM im Abstrakten flüssiger. Es kann erfahrenen menschlichen Debattierern beim Formulieren von Argumenten Konkurrenz machen, präsentiert seine Argumente jedoch mit einer flachen, roboterhaften Stimme. Sowohl das Duplex- als auch das Project Debater-Beispiel erinnern auch an die Regelmäßigkeit, mit der die erfolgreichste KI das Produkt gigantischer Technologieunternehmen mit massiven Budgets und Datensätzen mit Heeren von Mitarbeitern ist. Und selbst dann warnen hochrangige Unternehmen vor möglichen Fehlzündungen der Technologie. „KI-Algorithmen können fehlerhaft sein“, heißt es in einem kürzlich von Microsoft eingereichten Zulassungsantrag. „Datensätze können unzureichend sein oder verzerrte Informationen enthalten. Unangemessene oder umstrittene Datenpraktiken […] könnten die Akzeptanz von KI-Lösungen beeinträchtigen.“

[ Welt des Internets der Dinge finden Industrieunternehmen IoT-Innovationen. Buchen Sie Ihr Konferenzkarte und $350 sparen, erhalten Sie ein Kostenloser Expo-Pass , oder sehen Sie die IIoT-Lautsprecher bei der Veranstaltung.]

Der allgemeine Marketing-Pitch für KI ist jedoch, dass die Technologie ein potenzielles Allheilmittel für moderne Geschäftsprobleme ist – in der Lage, Unternehmen und Industrieunternehmen dabei zu helfen, Datenberge (einschließlich von IIoT-Geräten) zu verstehen, und ihnen gleichzeitig dabei zu helfen, die Sicherheit von Industrieunternehmen zu erhöhen Kontroll systeme. „Industrial Analytics, angewendet auf Maschinendaten für operative Erkenntnisse, ist ein Motor, der die Konvergenz von OT und IT und letztendlich die Wertschöpfung für die vierte industrielle Revolution antreibt“, heißt es in einem Teil des Intros des Industrial Internet of Things Analytics Framework von der Industrielles Internet-Konsortium.

Auf die Frage nach dem Potenzial von KI für die ICS-Cybersicherheit sagte der Cybersicherheitsexperte Jason Haward-Grau, CISO von PAS Global:„Die Automatisierung von Roboterprozessen ist aus KI-Perspektive wahrscheinlich viel interessanter als KI in der Sicherheit“ und bezog sich dabei auf den Geschäftsprozess Automatisierungstechnologie, die den Bedarf an menschlicher Beteiligung bei Aufgaben wie der Beschaffung reduzieren kann.

Doch die Anbieterlandschaft ist voll von Unternehmen, die für fast jedes erdenkliche Problem ein KI-Angebot haben. „Wenn Sie jemanden fragen:‚Haben Sie eine KI?‘, werden sie immer ‚ja‘ sagen“, sagte Haward-Grau. „Aber definieren Sie, was es ist. Stellen Sie die Frage:‚Wenn KI die Antwort ist, wie lautet die Frage?‘ Weil Sie besser damit beginnen zu fragen:‚Was braucht mein Unternehmen?‘“

Die Bedrohungsstufe ist bei der ICS-Cybersicherheit von Bedeutung. Laut einer Untersuchung von Kaspersky aus dem Jahr 2018 erlitten 49 Prozent von 321 Befragten aus der Industrie mindestens einen Angriff pro Jahr. Die tatsächliche Zahl könnte höher sein, sagte Haward-Grau, da die oben genannte Zahl Angriffe darstellt, die Organisationen zuzugeben bereit sind.

Gegenwärtig wird der Begriff KI auf vielfältige Weise verwendet und Definitionen des Begriffs können philosophisch erscheinen, da es nach wie vor schwierig ist, konkret zu verstehen, was Intelligenz ist. „Aus technischer Sicht ist es schwierig, ‚smart‘ zu definieren“, sagte Technologieautor Jaron Lanier in einer Debatte über KI im Jahr 2016. „Wenn Sie keine messbare Basislinie definieren, befinden Sie sich im Land der Fantasie.“ Er fügte hinzu:„Viele der Systeme, die wir ‚intelligente‘ Systeme nennen, sind irgendwie vom empirischen Prozess entgleist.“

Ein vorgeschlagener Anwendungsfall für KI-Systeme, genauer gesagt maschinelles Lernen, ist die Erkennung von Malware oder Anomalien in einem Netzwerk. Wenn Sie eine Grundlinie für den Betrieb des Netzwerks haben und über solide Algorithmen für maschinelles Lernen und ausreichenden Datenzugriff verfügen, kann die Technologie bei der schnellen Erkennung von Netzwerkbedrohungen und im Laufe der Zeit möglicherweise die Anzahl der Fehlalarme für potenziell verdächtigen Code oder Netzwerk reduzieren. Verhalten. Angesichts der Tatsache, dass die Cybersicherheitsbranche im Allgemeinen mit einem erheblichen Mangel an talentierten Arbeitskräften zu kämpfen hat, ist dies ein großes Versprechen.

Damit dies jedoch gelingt, muss das maschinelle Lernsystem Zugriff auf relevante Daten haben. Wenn das Unternehmen etwas tut, was dem KI-System nicht bewusst ist, können Probleme auftreten – in Form von Fehlalarmen. Oder vielleicht wurde das überwachte Lernsystem, das entwickelt wurde, um Softwarecode zu untersuchen, mit schlechten Daten trainiert, was dazu führte, dass der Algorithmus Malware möglicherweise als normal einschätzte. Darüber hinaus könnten Angreifer auch die Software eines Sicherheitsanbieters modifizieren, um Malware als normalen Code auszugeben. Eine andere Möglichkeit, die in einem Technology Review-Artikel erwähnt wird, besteht darin, dass Angreifer einfach herausfinden, welche Funktionen das Modell für maschinelles Lernen verwendet, um Malware zu identifizieren, und sie aus ihrem eigenen bösartigen Code entfernen.

Im industriellen Kontext kann es schwierig sein, Daten von Geräten einzuweben, die nicht auf das IT-Netzwerk ausgerichtet sind oder das IT-TCP/IP-Protokoll nicht verwenden. „Wie funktioniert KI an einem 25 Jahre alten Steuerbus?“ fragte Haward-Grau.

Als Beispiel für die potenzielle Schwierigkeit, ein groß angelegtes IoT-Projekt in einer industriellen Umgebung zu starten, nennt Haward-Grau das Beispiel einer Raffinerie mit 500 traditionellen IT-Geräten wie physischen Workstations, HMIs, Servern und Switches. „Es ist überschaubar. Es ist wie ein kleines Büro. Ich könnte Netzwerk-Tracking drum herum legen“, sagte er. Aber wenn der Sicherheitschef die Raffinerie fragt, wie viele OT-Endpunkte sie hat, lautet die Antwort 28.500. Während einer der Vorteile von KI im Allgemeinen darin besteht, riesige Mengen unterschiedlicher Daten zu verstehen, die mit hoher Geschwindigkeit generiert werden, ist es in Wirklichkeit immer noch eine Herausforderung, komplexe, historisch isolierte Daten zu verstehen. „Die Herausforderung ist nicht die Anzahl“ der Endpunkte, sagte Haward-Grau. „Es ist die Herausforderung, 20 verschiedene Anbieter zu haben. Nehmen wir an, ich habe Geräte von ABB, Schneider Electric, Siemens, Yokogawa, Philips, GE und Honeywell“, sagte er. „Sie sind alle verschieden, sie werden anders reden. Wie übersetzen Sie also zunächst all diese verschiedenen Dinge und beantworten dann die Frage:‚Wie sieht gut aus?‘“, fragte Haward-Grau.

Hinzu kommt die Verschiebung der Haltung in der Cybersicherheit von der Annahme, dass es nur eine Frage der Zeit ist, bis Unternehmen verletzt werden, hin zu der Annahme, dass Ihr Unternehmen bereits verletzt wurde. Eine von IBM unterstützte Studie aus dem Jahr 2018 ergab, dass Unternehmen durchschnittlich 197 Tage brauchen, um einen Verstoß zu erkennen. Das sind schlechte Nachrichten für potenziell kompromittierte Unternehmen, die Modelle für maschinelles Lernen in komplexen Netzwerktopologien trainieren möchten.

All dies soll nicht heißen, dass KI kein erhebliches Potenzial für die ICS-Cybersicherheit hat, aber die Industrieunternehmen, die die Technologie einsetzen wollen, sollten mit definierten Anwendungsfällen mit zunächst begrenzter Datenkomplexität beginnen. Wie der E. F. Schumacher einmal schrieb:„Jeder intelligente Narr kann die Dinge größer, komplexer und gewalttätiger machen. Es braucht einen Hauch von Genie – und viel Mut, um in die entgegengesetzte Richtung zu gehen.“