Интеллектуальная защита промышленных систем: новый подход

от

Автор: Денис Аветисян

В статье представлена инновационная система, объединяющая данные промышленности и информацию о киберугрозах для повышения безопасности в эпоху Industry 5.0.

"Покупай на слухах, продавай на новостях". А потом сиди с акциями никому не известной биотех-компании. Здесь мы про скучный, но рабочий фундаментал.

Бесплатный Телеграм канал
Граф знаний BRIDG-ICS демонстрирует возможности логического вывода в различных сценариях, раскрывая потенциал структурированного представления информации для поддержки рассуждений и принятия решений.
Граф знаний BRIDG-ICS демонстрирует возможности логического вывода в различных сценариях, раскрывая потенциал структурированного представления информации для поддержки рассуждений и принятия решений.

Разработка и применение графа знаний BRIDG-ICS для интеллектуального анализа угроз и оценки рисков в кибер-физических системах.

Несмотря на растущую интеграцию информационных и операционных технологий в рамках Индустрии 5.0, традиционные системы защиты промышленных объектов зачастую не справляются с комплексным анализом угроз. В данной работе представлена система BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry~5.0 Cyber-Physical Systems, использующая графы знаний, обогащенные искусственным интеллектом, для повышения эффективности выявления и оценки рисков в кибер-физических системах. Предложенный подход позволяет объединить разнородные данные об активах, уязвимостях и злоумышленниках, обеспечивая более глубокое понимание сложных цепочек атак. Сможет ли BRIDG-ICS стать основой для создания самообучающихся систем защиты критически важной инфраструктуры будущего?

Эволюция Угроз в Операционных Технологиях

Современные промышленные системы управления (АСУ ТП) отличаются беспрецедентной сложностью и масштабом, что ставит под вопрос эффективность традиционных подходов к кибербезопасности. В отличие от информационных технологий, где обновления и патчи можно внедрять относительно быстро, АСУ ТП часто включают в себя устаревшее оборудование и программное обеспечение, для которых поддержка давно прекращена. Это создает значительные трудности при устранении уязвимостей и поддержании необходимого уровня защиты. Кроме того, архитектура АСУ ТП, изначально не рассчитанная на сетевое взаимодействие, подвержена специфическим угрозам, таким как атаки типа «отказ в обслуживании» (DoS) и манипулирование данными, которые могут привести к серьезным последствиям для физических процессов и инфраструктуры. Стандартные инструменты обнаружения вторжений и антивирусные программы зачастую не способны эффективно работать в специфической среде АСУ ТП, что требует разработки и внедрения специализированных решений, учитывающих особенности этих систем.

Сближение информационных технологий (ИТ) и операционных технологий (ОТ) существенно расширяет область потенциальных атак, требуя более детальной и комплексной оценки рисков. Ранее изолированные промышленные системы управления (АСУ ТП) теперь всё чаще подключаются к корпоративным сетям и интернету, что предоставляет злоумышленникам новые пути для проникновения. Это означает, что традиционные методы оценки, ориентированные на защиту периметра сети, становятся недостаточными. Необходимо учитывать специфику промышленных протоколов, оборудования и процессов, а также оценивать возможные последствия не только для конфиденциальности данных, но и для физических объектов и безопасности персонала. Успешная защита требует перехода от общей оценки рисков к детализированному анализу уязвимостей, учитывающему взаимосвязи между ИТ и ОТ системами и потенциальное влияние атак на критически важные производственные процессы.

Существующие базы данных уязвимостей, такие как CVE и CWE, представляют собой ценный ресурс для специалистов по информационной безопасности, однако их применение в контексте операционных технологий (OT) сталкивается с существенными трудностями. Эти базы данных, ориентированные преимущественно на информационные технологии (IT), часто не содержат необходимой информации о специфических особенностях промышленных систем управления (ICS), включая протоколы связи, аппаратные компоненты и критичность функций. В результате, оценка рисков и приоритизация уязвимостей в OT-среде становится затруднительной, поскольку стандартные показатели, используемые для IT, могут не отражать реальную степень угрозы для производственных процессов. Отсутствие контекста, касающегося влияния уязвимости на физические системы и потенциальные последствия для безопасности персонала и окружающей среды, требует разработки специализированных методик оценки рисков и адаптации существующих баз данных для эффективного применения в OT.

Интеграция киберфизических систем и ИТ/ОТ-уровней в концепции Индустрии 5.0 создает сложную инфраструктуру, сопряженную с повышенными рисками для кибербезопасности.
Интеграция киберфизических систем и ИТ/ОТ-уровней в концепции Индустрии 5.0 создает сложную инфраструктуру, сопряженную с повышенными рисками для кибербезопасности.

BRDIG-ICS: Граф Знаний для Киберфизических Рисков

BRDIG-ICS представляет собой фреймворк графа знаний, разработанный для моделирования сложных взаимосвязей в средах интеллектуального производства. Данный подход предполагает представление активов, уязвимостей и угроз в виде связанных узлов, что позволяет установить зависимости между элементами производственной инфраструктуры. В рамках фреймворка применяется онтологический подход, определяющий типы узлов и отношений, обеспечивая структурированное представление данных. Граф знаний позволяет осуществлять анализ путей атак, выявлять критические компоненты и оценивать потенциальное влияние киберугроз на физические процессы, что необходимо для эффективного управления рисками в условиях конвергенции информационных и промышленных технологий.

В рамках BRDIG-ICS, представление активов, уязвимостей и угроз в виде взаимосвязанных узлов графа знаний позволяет комплексно оценить киберфизические риски. Каждый узел представляет собой конкретный элемент инфраструктуры, слабость в системе или потенциальную атаку. Связи между узлами отражают зависимости и взаимодействия, например, уязвимость в конкретном активе, подверженном определенной угрозе. Такая структура позволяет не только идентифицировать отдельные риски, но и проанализировать их распространение по всей системе, выявляя критические точки и потенциальные каскадные эффекты. Использование графа знаний обеспечивает возможность проведения более глубокого анализа, чем традиционные методы, основанные на изолированном рассмотрении отдельных элементов.

В основе BRDIG-ICS лежит автоматизированное наполнение и обогащение графа знаний с использованием больших языковых моделей (LLM). LLM применяются для извлечения сущностей (активов, уязвимостей, угроз) и отношений между ними из неструктурированных данных, таких как отчеты об инцидентах, техническая документация и источники информации об угрозах. Этот процесс позволяет автоматизировать создание и поддержание актуальности графа знаний, снижая необходимость ручного ввода данных и повышая масштабируемость системы. Извлеченные сущности и отношения структурируются и добавляются в граф знаний, формируя основу для анализа рисков и выявления взаимосвязей между компонентами кибер-физической системы.

Интеллектуальный анализ угроз и подход Security-by-Design объединяют знания из графов, контекстный анализ на основе больших языковых моделей и оценку устойчивости системы для обеспечения комплексной безопасности.
Интеллектуальный анализ угроз и подход Security-by-Design объединяют знания из графов, контекстный анализ на основе больших языковых моделей и оценку устойчивости системы для обеспечения комплексной безопасности.

Раскрытие Инсайтов с Помощью Науки о Графах и Искусственного Интеллекта

В рамках BRDIG-ICS для выявления критически важных активов и потенциальных путей атаки применяются методы графовых вложений (Graph Embeddings) и науки о графах (Graph Data Science). Графовые вложения позволяют представить узлы и связи графа в виде векторов, сохраняя при этом информацию об их структуре и взаимосвязях. Анализ графов, в свою очередь, позволяет выявить наиболее важные узлы (активы) на основе метрик центральности, а также проанализировать все возможные пути между ними для определения потенциальных векторов атак. Использование этих методов позволяет автоматизировать процесс выявления уязвимостей и улучшения общей безопасности инфраструктуры.

Интеграция с источниками информации об угрозах, такими как MITRE ATT&CK, значительно повышает возможности платформы в обнаружении и прогнозировании злонамеренной активности. Платформа использует базу знаний ATT&CK для сопоставления наблюдаемых тактик, техник и процедур (TTP) с известными угрозами, что позволяет идентифицировать потенциальные атаки на ранних стадиях. Сопоставление с ATT&CK позволяет автоматически классифицировать и приоритизировать инциденты, а также выявлять пробелы в системе защиты. Использование структурированных данных ATT&CK обеспечивает контекст для анализа и позволяет предсказывать вероятные следующие шаги злоумышленников, основываясь на их известных моделях поведения.

В ходе тестирования фреймворка было зафиксировано сокращение средней длины путей атаки на 20-40% благодаря обогащению данных и внедрению механизмов контроля. Данное снижение достигается за счет более точного определения критических активов и потенциальных векторов атак, что позволяет оперативно применять соответствующие меры защиты и минимизировать ущерб от возможных инцидентов. Обогащение данных включает в себя интеграцию с источниками информации об угрозах и использование алгоритмов анализа графов для выявления скрытых взаимосвязей и уязвимостей.

В рамках BRDIG-ICS достигнута точность в 98.70% при предсказании связей типа HAS_POSSIBLE_TECHNIQUE с использованием модели SecRoBERTa, дополненной классификатором CyberBERT. Для предсказания связей HAS_POSSIBLE_CWE была использована модель BERT, обеспечившая точность на уровне 66.47%. Данные показатели демонстрируют эффективность применения моделей глубокого обучения для выявления потенциальных техник атак и уязвимостей в инфраструктуре, что позволяет значительно повысить уровень проактивной защиты.

В качестве базовой графовой базы данных BRDIG-ICS использует Neo4j, что обеспечивает масштабируемость и высокую эффективность запросов. Neo4j позволяет обрабатывать и анализировать большие объемы данных об активах, связях и уязвимостях в режиме, близком к реальному времени. Это критически важно для оперативной оценки рисков, поскольку позволяет быстро идентифицировать критические активы и потенциальные пути атаки, а также оценивать влияние внедренных средств контроля на общую безопасность инфраструктуры. Архитектура Neo4j оптимизирована для работы с взаимосвязанными данными, что делает ее подходящей для моделирования сложных сетевых сред и проведения анализа, основанного на графах.

Методология BRIDG-ICS представляет собой комплексный подход к решению задач, объединяющий анализ, проектирование, реализацию и оценку.
Методология BRIDG-ICS представляет собой комплексный подход к решению задач, объединяющий анализ, проектирование, реализацию и оценку.

К Проактивной Устойчивости в Индустрии 5.0

Система BRDIG-ICS обеспечивает переход от традиционного реагирования на инциденты к упреждающему поиску угроз и управлению уязвимостями. Вместо того чтобы ограничиваться анализом последствий атак, она позволяет организациям активно выявлять и нейтрализовывать потенциальные опасности до того, как они смогут нанести ущерб. Этот подход предполагает непрерывный мониторинг сети, анализ данных о поведении пользователей и систем, а также автоматизированное сканирование на предмет известных уязвимостей. Благодаря этому, BRDIG-ICS не только минимизирует риски, но и существенно снижает затраты на ликвидацию последствий кибератак, позволяя ресурсам быть направленными на развитие и инновации.

В рамках предлагаемого подхода, система объединяет данные из различных источников — от журналов сетевой активности и данных систем обнаружения вторжений до информации об уязвимостях и данных об угрозах из внешних баз данных. Эта корреляция позволяет организациям выявлять наиболее критичные риски и активы, нуждающиеся в усиленной защите. Вместо равномерного распределения ресурсов, приоритезация инвестиций осуществляется на основе реальной картины угроз и уязвимостей, что значительно повышает эффективность мер безопасности и снижает общие затраты. Такой подход позволяет не просто реагировать на инциденты, но и предвидеть их, оптимизируя распределение ресурсов и обеспечивая более надежную защиту критически важной инфраструктуры.

Интеграция BRDIG-ICS с инициативами Индустрии 5.0 способствует формированию синергии между человеческим интеллектом и возможностями машинного обучения в сфере кибербезопасности. Данный подход позволяет не только автоматизировать рутинные задачи по обнаружению и анализу угроз, но и значительно расширить возможности специалистов по информационной безопасности за счет предоставления им структурированных данных и инструментов для принятия обоснованных решений. В результате, повышается скорость и точность реагирования на инциденты, а также улучшается общая устойчивость промышленных систем к кибератакам. Акцент на совместной работе человека и машины позволяет эффективно использовать сильные стороны обеих сторон, что особенно важно в условиях постоянно меняющегося ландшафта угроз и возрастающей сложности промышленных сетей.

Сравнение метрик распространения в 15 смоделированных сценариях атак показывает, что конфигурации Enriched и Controlled превосходят Original по эффективности.
Сравнение метрик распространения в 15 смоделированных сценариях атак показывает, что конфигурации Enriched и Controlled превосходят Original по эффективности.

Представленная работа демонстрирует стремление к созданию целостной системы защиты промышленных объектов в эпоху Industry 5.0. В основе BRIDG-ICS лежит идея интеграции разрозненных данных — от технологических процессов до информации об угрозах — в единый граф знаний. Это позволяет не только выявлять существующие уязвимости, но и прогнозировать потенциальные риски, что соответствует принципу комплексного подхода к обеспечению безопасности. Как однажды заметил Дональд Дэвис: «Простота — высшая форма сложности». Эта фраза отражает суть BRIDG-ICS: сложная задача обеспечения кибербезопасности решается посредством элегантной и структурированной модели, где каждый элемент взаимосвязан и служит общей цели. Хорошая архитектура незаметна, пока не ломается, и только тогда видна настоящая цена решений.

Куда двигаться дальше?

Представленная работа, конструируя BRIDG-ICS, неизбежно выявляет узкие места в самой концепции интеграции. Граф знаний, каким бы элегантным он ни был в своей структуре, остается лишь отражением реальности, а не самой реальностью. Зафиксированная в документации структура не передает динамику поведения, которая возникает во взаимодействии компонентов кибер-физических систем. Ключевым вопросом остается способность системы адаптироваться к непредсказуемым, аномальным состояниям, которые, по определению, не могут быть заранее включены в базу знаний.

Дальнейшие исследования должны быть направлены не только на расширение графа знаний, но и на разработку механизмов самообучения и автоматического вывода новых связей. Особенно важна разработка методов, позволяющих отличать истинные угрозы от ложных срабатываний, учитывая сложность и взаимосвязанность промышленных систем. Эффективность системы напрямую зависит от качества и своевременности получаемых данных, что требует развития сенсорных сетей и методов обработки больших данных в реальном времени.

В конечном счете, задача состоит не в создании всеобъемлющей базы знаний, а в построении системы, способной к эволюции и самоорганизации. Как и любой живой организм, она должна уметь приспосабливаться к изменяющимся условиям, восстанавливаться после повреждений и предвидеть потенциальные угрозы. Простота и ясность структуры — залог её устойчивости, а не бесконечное наращивание сложности.

Оригинал статьи: https://arxiv.org/pdf/2512.12112.pdf

Связаться с автором: https://www.linkedin.com/in/avetisyan/

Смотрите также:

2025-12-17 01:05