رادار تكنولوژي

دوقلوهای دیجیتال و علیت؛ یه راه‌حل خفن برای امنیت سیستم‌های صنعتی!

Fall Back
  • ۲۲ مهر ۱۴۰۴

خب بچه‌ها، امروز میخوام درباره یه تکنیک تازه و خلاقانه برای امنیت سیستم‌های کنترلی صنعتی براتون حرف بزنم، البته با زبون خودمون و خودمونی! اگه تا حالا اسم سیستم‌های کنترلی صنعتی (یا همون ICS — یعنی همون سیستم‌هایی که توی کارخونه‌ها، پالایشگاها یا نیروگاه‌ها هستن و فرایندها رو کنترل و اتوماتیک می‌کنن) به گوشتون خورده، باید بدونید این سیستم‌ها جدیدا کلی گرفتار حملات سایبری و حتی فیزیکی شدن. یعنی مجرما دارن یه کاری می‌کنن که از طریق شبکه یا حتی با دستکاری رفتارهای فیزیکیِ این سیستم‌ها اخلال ایجاد کنن.

تا الان، خیلی از روش‌هایی که برای کشف اتفاق عجیب (یا همون anomaly detection — یعنی پیدا کردن چیزای غیرعادی) استفاده می‌شدن، اصلا چندان دقیق و معقول نبودن! اکثرشون براساس همبستگی (correlation) کار کردن؛ یعنی فقط میگن دو تا اتفاق با هم رخ داده، پس شاید به هم ربط دارن. ولی فرق همبستگی با علیت (causality) رو درنظر نمی‌گیرن. مثلا اگه ببینی هر وقت بارون میاد ترافیک بیشتر میشه، شاید فکر کنی اینا به هم ربط دارن، ولی با همبستگی ساده نمیشه بدونی واقعا بارون باعث ترافیک شده یا نه. برای همین توی سیستم‌های صنعتی خیلی از این روش‌های قدیمی کلی هشدار اشتباهی میدن و وقتی یه مشکل واقعی پیش میاد هم درست نمی‌تونن بفهمن ریشه‌ش از چیه!

حالا یه تیم خفن اومدن یه «چارچوب دوقلوی دیجیتال علیتی» (Causal Digital Twin Framework یا به اختصار CDT) توسعه دادن که واقعا قضیه رو ارتقا داده! Digital Twin یعنی یه نسخه مجازی و دیجیتال از یه سیستم واقعی؛ انگار که یه برادر دیجیتالی داری که همه حرکاتتو تقلید می‌کنه و می‌تونه توی کامپیوتر همه سناریوها رو شبیه‌سازی کنه. حالا اگه این مدل رو با تئوری علیت (causal inference) که کارش فهمیدن رابطه‌های علت و معلول واقعیه، ترکیب کنیم، نتیجه‌اش همین چیزی میشه که تو این تحقیق ارائه شده.

فاز جالب CDT اینه که می‌تونه سه نوع استدلال علیتی انجام بده:

  1. یافتن الگو (association): یعنی کشف کنه چه چیزایی معمولا با هم رخ میدن.
  2. مداخله (intervention): یعنی فرض کنه شما توی سیستم یه تغییری ایجاد می‌کنید و ببینه سیستم چطور واکنش نشون میده. مثلاً اگر فلان شیر باز بشه، جریان آب چطور تغییر می‌کنه؟
  3. تحلیل خلاف واقع (counterfactual analysis): این یکی خیلی باحاله؛ یعنی بررسی کنه اگر فلان اتفاق نمی‌افتاد، الان اوضاع چه شکلی می‌شد! این نوع تحلیل برای برنامه‌ریزی دفاع در برابر حمله‌ها حسابی به درد می‌خوره.

برای اینکه مطمئن شن این روش واقعا جواب میده، اومدن روی سه دیتاست صنعتی معروف یعنی SWaT، WADI و HAI (هر کدوم مجموعه‌ای از داده‌های مربوط به سیستم‌های واقعی صنعتیه) امتحانش کردن. دو مدل اعتبارسنجی انجام دادن؛ یکی بر اساس رعایت محدودیت‌های فیزیکی سیستم‌ها (که تونستن به عدد ۹۰/۸ درصد برسن یعنی مدل تقریبا همیشه با قوانین واقعی سیستم هماهنگه)، یکی هم بازمونده ساختاری یا Structural Hamming Distance که هرچی کمتر باشه بهتره (اینجا فقط ۰٫۱۳ بوده!).

خب نتایجش چطور بوده؟ واقعاً از تمام هفت روشی که باهاش مقایسه کردن، خیلی بهتر جواب داده! اگر بخوایم اعداد و ارقام دقیق بخوایم:

  • دقت یا همون F1 score روی SWaT حدود ۰.۹۴۴ بوده، برای WADI به ۰.۹۰۲ و برای HAI هم ۰.۹۲۳ رسیده! این یعنی تقریبا با هر حمله‌ای سروکله بزنن، تشخیص میدن.
  • هشدارهای اشتباه (false positive) رو تا ۷۴٪ کاهش دادن! یعنی اپراتورها دیگه سر هر چیز الکی آژیر نمی‌کشن.
  • دقت توی تعیین ریشه اصلی مشکل (root cause analysis) هم از ۴۸.۷٪ در حالت‌های قبلی رسیده به ۷۸.۴٪. این خیلیه!
  • حتی با تحلیل خلاف‌واقعی تونستن برنامه‌‌های دفاعی جدیدی بچینن که نرخ موفقیت حمله رو تا ۷۳/۲٪ کم می‌کنه.
  • جالب‌ترش اینه که همه اینا فقط با ۳.۲ میلی‌ثانیه تاخیر انجام میشه (ملی‌ثانیه یعنی هزارمش ثانیه!) پس کاملاً بدرد محیط‌های صنعتی می‌خوره که باید همه چی زنده و ریل‌تایم باشه.
  • تازه مدلشون قابل فهم و توضیح هم هست؛ یعنی اپراتور راحت می‌فهمه چرا فلان هشدار داده شده، نه اینکه همه چی مثل جعبه سیاه باشه.

جمع‌بندی: اگه صنعتت رو دوست داری و نمی‌خوای پای رایانه‌ها به فنا بره، ترکیب دوقلوی دیجیتال و علیت یکی از کاراترین و هوشمندترین اسلحه‌هایی هست که میشه علیه حملات سایبری و فیزیکی به کار برد. هم علمیه، هم عملی و هم به زبان آدمیزاد قابل توضیحه 😉

منبع: +