Siber güvenlikte sinir ağlarının amacı, özellikle OT varlıkları ve ağları içinde olağandışı davranış ve kalıpları tespit edebilmektir. Olağandışı davranışları tespit etmek, genellikle güvenliğinizin ihlal edildiğinin veya bir şeyin yanlış yapılandırıldığının keşfedilmesine yol açar.
Altyapı siber güvenlik uzmanı Opswat’ta OT güvenliği ürün başkan yardımcısı Pete Lund, “Endüstriyel varlıklarınız ve ağlarınız hakkında görünürlüğe sahip olmak, genel OT siber güvenlik duruşunuzu anlamanın ilk adımıdır” diyor.
Opswat, bu tür yeteneklerden yararlanmak için yapay zeka destekli ağ görünürlük çözümü Neuralyzer’ı tanıttı. Yazılım aracı, “normal” etkinliğin ne olduğunu belirlemek için varlıklar ve ağlar arasındaki iletişim modellerini öğrenmek için makine öğreniminden (ML) yararlanır. Bu, OT çalışanlarının eldeki birincil görevlere odaklanmalarını ve yalnızca anormal aktivite meydana geldiğinde onları uyarmalarını sağlar.
Lund, “Sinir ağları, insan beyniyle benzer bir şekilde öğrenme yeteneğine sahiptir ve böylece sizin adınıza kırmızı bayrakları ikinci bir göz gibi görebilirler” diye açıklıyor. “Neuralyzer’daki ML, ağdaki cihaz veya varlık türünü tanımlayarak varlık görünürlüğü sağlar.”
Makine Öğrenimi Varlıkları ve Anormallikleri Arıyor
Neuralyzer’da ML’nin bir uygulaması, varlık görünürlük özelliği olarak adlandırılan ağdaki cihaz/varlık türünü tanımlama yeteneğidir.
Varlık görünürlüğü için çoğu araç, genellikle cihazı keşfetmek ve/veya profilini çıkarmak için kullanılan cihaz parmak izini (DFP) kullanır. Tipik OT cihazlarında, BT cihazlarının aksine yüklü bir tarayıcı yoktur, bu nedenle tarayıcı parmak izi (BT’de DFP için etkili bir yaklaşım) genellikle OT ortamında çalışmaz.
Lund, “Ekibimiz, kapsamlı araştırma ve deneyler yoluyla, cihaz türünü sınıflandırmak için doğruluk, performans ve gerekli girdiler açısından en iyi sonucu veren seçilmiş bir özellik seti ve ML algoritması üzerinde çalıştı” diye açıklıyor.
Makine öğrenimi için başka bir uygulamanın, belirli bir cihazın veya tüm ağın ağ bağlantısı ve etkinliğindeki anormallikleri tespit etmek olduğunu söylüyor.
Neuralyzer, cihazı veya cihazları ve ağ bağlantılarını bir grafik olarak modelleyebilir, ardından anormallik tespiti için 1D evrişimli sinir ağını kullanabilir.
Lund, “Ağ trafiği diseksiyonu ve anormallik tespiti, makine öğrenimi ve sinir ağları için iyi kullanım durumlarıdır” diyor. “Ağ trafiği diseksiyonu, OT’de DFP için uygun bir yaklaşım olacaktır.”
OT ortamı görünürlüğünde anormallik algılamanın önemli bir yönü olduğuna dikkat çekiyor.
Lund, “Bir anormallik yalnızca bütünlükle (örneğin bir ağ ihlali) ilgili olmayabilir, aynı zamanda OT ortamı için çok önemli olan varlıkların kullanılabilirliği veya normal çalışmasıyla da ilgili olabilir.”
Sinir Ağları Çoklu Siber Güvenlik Avantajları Sunar
Otomatik IoT siber hijyen sağlayıcısı Viakoo’nun CEO’su Bud Broomhead, diğer tüm teknolojiler gibi sinir ağlarının da siber güvenliği hem iyileştirmek hem de yenmek için kullanılabileceğini söylüyor.
“Sinir ağlarının kötü sonuçlar üretmek için nasıl eğitilebileceğine veya sistemleri bozmak için veri beslenebileceğine dair birçok örnek var” diye açıklıyor. Bununla birlikte, siber güvenlikte mevcut kaynak boşluklarının üstesinden gelmek için, örneğin siber tehditleri saniyeler içinde tespit etmek veya bir kalabalığın içindeki tehdit aktörlerini neredeyse anında bulmak gibi verimlilikte büyük bir iyileşmeye ihtiyaç duyulacaktır.”
Sinir ağları, karmaşık sistemleri analiz edebilir ve bunların nasıl sunulacağı ve sınıflandırılacağı konusunda akıllı kararlar verebilir. Başka bir deyişle, çok fazla ham veri alır ve bunları anlamlı içgörülere dönüştürürler.
Broomhead, “Bir varlık envanterine sahip olmak, size bunların sıkı bir şekilde bağlanmış bir iş akışındaki kombinasyonunu göstermez – ancak işletmelerin bu sistemlerin güvenlik açığına ve riskine öncelik vermesi gereken şey budur” diyor.
Bir güvenlik ve operasyon analitiği SaaS şirketi olan Netenrich’in başlıca tehdit avcısı John Bambinek, sinir ağlarının bir insanın kapasitesinin çok ötesinde istatistiksel analizlere izin verdiğini ekliyor.
“Yeterli veri noktaları ve kapsamlı ve etkili eğitim verildiğinde, normal ve anormali hızlı bir şekilde sınıflandırabilirler, bu da bir analistin başka türlü tespit edilemeyecek olayları takip etmesine izin verir” diyor.
Ancak Bambinek, sinir ağlarını varlık keşfi veya güvenlik açığı yönetimi için güvenilir görmediğini söylüyor.
“DHCP günlüklerinde bir varlık görünmüyorsa, onu bulmak için çok fazla veri yoktur” diye belirtiyor. “Öte yandan, risk yönetimi anormal bulabilir ve ardından iş risk yanıtlarını vermek için mevcut diğer bağlamları kullanarak riskli davranışı kategorilere ayırabilir.”
Broomhead, OT sistem davranışındaki küçük değişiklikleri tespit etmenin bile bir sinir ağının ne zaman bakım gerektiğini, siber tehditlerin ne zaman meydana geldiğini ve çevresel değişikliklerin sistemin nasıl tepki vermesine neden olduğunu görmesini sağlayabileceğini söylüyor.
“Özellikle OT sistemlerinin güvenli ve emniyetli bir şekilde çalışmasını sağlamak için sınırlı insan kaynağının olduğu şimdiki gibi zamanlarda, sinir ağları birçok organizasyonun güvenebileceği bir güç çarpanıdır” diyor.