-
08/10/2013
-
400
-
985 bài viết
Làm thế nào cặp song sinh kỹ thuật số có thể bảo vệ các nhà sản xuất khỏi các cuộc tấn công mạng?
Các bản sao ảo chi tiết của các đối tượng vật lý, được gọi là cặp song sinh kỹ thuật số (Digital Twins - DT), đang mở ra cơ hội cho các sản phẩm tốt hơn trong lĩnh vực ô tô, chăm sóc sức khỏe, hàng không vũ trụ và các ngành công nghiệp khác. Câu hỏi đặt ra là, có thể dùng DT để phát hiện các cuộc tấn công mạng hay không? Bài viết này sẽ đề cập đến cách tiếp cận dùng DT để phát hiện tấn công mạng, sử dụng học máy (machine learning).
Khi có nhiều robot và thiết bị sản xuất khác có thể truy cập từ xa, các điểm xâm nhập mới cho các cuộc tấn công mạng độc hại sẽ được tạo ra. Để bắt kịp với mối đe dọa mạng đang gia tăng, một nhóm các nhà nghiên cứu tại Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và Đại học Michigan đã nghĩ ra một khuôn khổ an ninh mạng kết hợp công nghệ song sinh kỹ thuật số cùng với học máy và chuyên môn của con người để gắn cờ các dấu hiệu tấn công mạng.
Trong một bài báo đăng trên IEEE Transactions on Automation Science and Engineering, các nhà nghiên cứu của NIST và Đại học Michigan đã chứng minh tính khả thi của chiến lược của họ bằng cách phát hiện các cuộc tấn công mạng nhằm vào máy in 3D trong phòng thí nghiệm. Họ cũng lưu ý rằng khuôn khổ này có thể được áp dụng cho một loạt các công nghệ sản xuất.
Các cuộc tấn công mạng có thể cực kỳ tinh vi và do đó khó phát hiện hoặc phân biệt với các dấu hiệu bất thường thường xuyên của hệ thống. Dữ liệu vận hành mô tả những gì đang xảy ra bên trong — chẳng hạn như dữ liệu cảm biến, tín hiệu lỗi, lệnh kỹ thuật số được đưa ra hoặc thực thi — có thể hỗ trợ phát hiện tấn công mạng. Tuy nhiên, việc truy cập trực tiếp loại dữ liệu này trong thời gian gần từ các thiết bị công nghệ vận hành (OT), chẳng hạn như máy in 3D, có thể gây rủi ro cho hiệu suất và độ an toàn của quy trình tại nhà máy.
Michael Pease, kỹ sư cơ khí của NIST, đồng tác giả của nghiên cứu cho biết: “Thông thường, tôi đã quan sát thấy rằng các chiến lược an ninh mạng trong sản xuất dựa trên việc giám sát lưu lượng mạng không phải lúc nào cũng giúp phát hiện điều gì đang xảy ra bên trong một bộ phận của máy móc hoặc một quy trình”. “Nó giống như việc quan sát các hoạt động của máy móc từ xa, bằng cách nhìn qua một cửa sổ; trong lúc đó kẻ gian có thể đã tìm được cách xâm nhập vào trong rồi.” Vì vậy nếu không ngồi quan sát trực tiếp, các chuyên gia an ninh mạng có thể tạo điều kiện cho các tác nhân độc hại hoạt động mà không bị phát hiện. Nhưng máy móc đang chạy thì ai ngồi canh được 24/7?
Trong những năm gần đây, cặp song sinh kỹ thuật số của máy móc sản xuất đã trang bị cho các kỹ sư rất nhiều dữ liệu vận hành, giúp họ đạt được nhiều thànhtựu khác nhau (mà không ảnh hưởng đến hiệu suất hoặc độ an toàn), bao gồm dự đoán khi nào các bộ phận sẽ bắt đầu hỏng hóc và cần bảo trì.
Các tác giả của nghiên cứu cho biết, ngoài việc phát hiện các chỉ số hao mòn thông thường, cặp song sinh kỹ thuật số có thể giúp tìm thấy nhiều thứ hơn trong dữ liệu sản xuất.
Dawn Tilbury, giáo sư kỹ thuật cơ khí tại Đại học Michigan, cho biết: “Bởi vì các quy trình sản xuất tạo ra các tập dữ liệu phong phú như vậy - nhiệt độ, điện áp, dòng điện - và chúng rất lặp đi lặp lại nên có nhiều cơ hội để phát hiện ra những điểm bất thường, bao gồm cả các cuộc tấn công mạng”.
Để nắm bắt cơ hội do cặp song sinh kỹ thuật số mang lại nhằm đảm bảo an ninh mạng chặt chẽ hơn, các nhà nghiên cứu đã phát triển một khuôn khổ bao gồm một chiến lược mới mà họ đã thử nghiệm trên một máy in 3D có sẵn. Nhóm đã xây dựng một bộ đôi kỹ thuật số để mô phỏng quy trình in 3D và cung cấp cho nó thông tin từ máy in thực. Khi máy in chế tạo một bộ phận (trong trường hợp này là đồng hồ cát bằng nhựa), các chương trình máy tính đã theo dõi và phân tích các luồng dữ liệu liên tục bao gồm cả nhiệt độ đo được từ đầu in vật lý và nhiệt độ mô phỏng được bộ đôi kỹ thuật số tính toán theo thời gian thực.
Các nhà nghiên cứu đã tạo ra các làn sóng nhiễu lên máy in. Một số là những nhiễu vô hại, chẳng hạn như quạt bên ngoài làm mát, nhưng cũng tạo ra một số nhiễu khiến máy in báo sai chỉ số nhiệt độ. Vì vậy làm thế nào mà các chương trình máy tính phân biệt được một cuộc tấn công mạng với nhiễu vô hại? Câu trả lời là sử dụng một quá trình loại bỏ. Các chương trình phân tích sử dụng mô hình machine learning nhận dạng mẫu được huấn luyện trên bộ dữ liệu hoạt động bình thường. Bộ dữ liệu này rất lớn. Nói cách khác, mô hình sẽ rất giỏi trong việc nhận biết máy in đang hoạt động trong điều kiện bình thường, cũng có nghĩa là chúng có thể biết khi nào có điều gì đó khác thường.
Nếu các mô hình này phát hiện ra điểm bất thường, chúng sẽ chuyển hướng sang các mô hình khác để kiểm tra xem các tín hiệu nhiễu "lạ" có khớp với các vấn đề đã biết trong thư viện hay không? Kết quả là hệ thống sẽ phân loại được nhiễu đó là bình thường hay bất thường. Ở bước cuối cùng, một chuyên gia sẽ diễn giải phát hiện của hệ thống và sau đó đưa ra quyết định.
“Framework cung cấp các công cụ để hệ thống kiến thức của chuyên gia về chủ đề phát hiện bất thường. Nếu framework chưa từng thấy sự bất thường nhất định trước đó, một chuyên gia về chủ đề có thể phân tích dữ liệu được thu thập để cung cấp thêm thông tin chuyên sâu để tích hợp và cải thiện hệ thống”.
Nói chung, chuyên gia sẽ xác nhận những nghi ngờ của hệ thống an ninh mạng hoặc dạy nó một điểm bất thường mới để lưu trữ trong cơ sở dữ liệu. Và rồi khi thời gian trôi qua, các mô hình trong hệ thống về mặt lý thuyết sẽ ngày càng học được nhiều hơn, và chuyên gia con người sẽ ngày càng cần phải dạy chúng ít hơn.
Trong trường hợp của máy in 3D, nhóm đã kiểm tra hoạt động của hệ thống an ninh mạng và nhận thấy hệ thống này có thể phân loại chính xác các cuộc tấn công mạng khỏi các bất thường thông thường bằng cách phân tích dữ liệu vật lý và dữ liệu mô phỏng.
Nhưng mặc dù kết quả là nhiều hứa hẹn, nhưng làm thế nào để framework phản ứng các cuộc tấn công đa dạng và tinh vi hơn trong tương lai? Cần đảm bảo rằng chiến lược bản sao kỹ thuật số này đáng tin cậy và có thể mở rộng.
Khi có nhiều robot và thiết bị sản xuất khác có thể truy cập từ xa, các điểm xâm nhập mới cho các cuộc tấn công mạng độc hại sẽ được tạo ra. Để bắt kịp với mối đe dọa mạng đang gia tăng, một nhóm các nhà nghiên cứu tại Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) và Đại học Michigan đã nghĩ ra một khuôn khổ an ninh mạng kết hợp công nghệ song sinh kỹ thuật số cùng với học máy và chuyên môn của con người để gắn cờ các dấu hiệu tấn công mạng.
Trong một bài báo đăng trên IEEE Transactions on Automation Science and Engineering, các nhà nghiên cứu của NIST và Đại học Michigan đã chứng minh tính khả thi của chiến lược của họ bằng cách phát hiện các cuộc tấn công mạng nhằm vào máy in 3D trong phòng thí nghiệm. Họ cũng lưu ý rằng khuôn khổ này có thể được áp dụng cho một loạt các công nghệ sản xuất.
Các cuộc tấn công mạng có thể cực kỳ tinh vi và do đó khó phát hiện hoặc phân biệt với các dấu hiệu bất thường thường xuyên của hệ thống. Dữ liệu vận hành mô tả những gì đang xảy ra bên trong — chẳng hạn như dữ liệu cảm biến, tín hiệu lỗi, lệnh kỹ thuật số được đưa ra hoặc thực thi — có thể hỗ trợ phát hiện tấn công mạng. Tuy nhiên, việc truy cập trực tiếp loại dữ liệu này trong thời gian gần từ các thiết bị công nghệ vận hành (OT), chẳng hạn như máy in 3D, có thể gây rủi ro cho hiệu suất và độ an toàn của quy trình tại nhà máy.
Michael Pease, kỹ sư cơ khí của NIST, đồng tác giả của nghiên cứu cho biết: “Thông thường, tôi đã quan sát thấy rằng các chiến lược an ninh mạng trong sản xuất dựa trên việc giám sát lưu lượng mạng không phải lúc nào cũng giúp phát hiện điều gì đang xảy ra bên trong một bộ phận của máy móc hoặc một quy trình”. “Nó giống như việc quan sát các hoạt động của máy móc từ xa, bằng cách nhìn qua một cửa sổ; trong lúc đó kẻ gian có thể đã tìm được cách xâm nhập vào trong rồi.” Vì vậy nếu không ngồi quan sát trực tiếp, các chuyên gia an ninh mạng có thể tạo điều kiện cho các tác nhân độc hại hoạt động mà không bị phát hiện. Nhưng máy móc đang chạy thì ai ngồi canh được 24/7?
Nhìn vào gương kỹ thuật số
Cặp song sinh kỹ thuật số không phải là mô hình máy tính thông thường. Chúng được liên kết chặt chẽ với các thành phần vật lý, từ đó chúng trích xuất dữ liệu và chạy cùng với thời gian gần như thực. Vì vậy, khi không thể kiểm tra một cỗ máy vật lý khi nó đang hoạt động, thì bản sao kỹ thuật số của nó chính là lời giải.Trong những năm gần đây, cặp song sinh kỹ thuật số của máy móc sản xuất đã trang bị cho các kỹ sư rất nhiều dữ liệu vận hành, giúp họ đạt được nhiều thànhtựu khác nhau (mà không ảnh hưởng đến hiệu suất hoặc độ an toàn), bao gồm dự đoán khi nào các bộ phận sẽ bắt đầu hỏng hóc và cần bảo trì.
Các tác giả của nghiên cứu cho biết, ngoài việc phát hiện các chỉ số hao mòn thông thường, cặp song sinh kỹ thuật số có thể giúp tìm thấy nhiều thứ hơn trong dữ liệu sản xuất.
Dawn Tilbury, giáo sư kỹ thuật cơ khí tại Đại học Michigan, cho biết: “Bởi vì các quy trình sản xuất tạo ra các tập dữ liệu phong phú như vậy - nhiệt độ, điện áp, dòng điện - và chúng rất lặp đi lặp lại nên có nhiều cơ hội để phát hiện ra những điểm bất thường, bao gồm cả các cuộc tấn công mạng”.
Để nắm bắt cơ hội do cặp song sinh kỹ thuật số mang lại nhằm đảm bảo an ninh mạng chặt chẽ hơn, các nhà nghiên cứu đã phát triển một khuôn khổ bao gồm một chiến lược mới mà họ đã thử nghiệm trên một máy in 3D có sẵn. Nhóm đã xây dựng một bộ đôi kỹ thuật số để mô phỏng quy trình in 3D và cung cấp cho nó thông tin từ máy in thực. Khi máy in chế tạo một bộ phận (trong trường hợp này là đồng hồ cát bằng nhựa), các chương trình máy tính đã theo dõi và phân tích các luồng dữ liệu liên tục bao gồm cả nhiệt độ đo được từ đầu in vật lý và nhiệt độ mô phỏng được bộ đôi kỹ thuật số tính toán theo thời gian thực.
Các nhà nghiên cứu đã tạo ra các làn sóng nhiễu lên máy in. Một số là những nhiễu vô hại, chẳng hạn như quạt bên ngoài làm mát, nhưng cũng tạo ra một số nhiễu khiến máy in báo sai chỉ số nhiệt độ. Vì vậy làm thế nào mà các chương trình máy tính phân biệt được một cuộc tấn công mạng với nhiễu vô hại? Câu trả lời là sử dụng một quá trình loại bỏ. Các chương trình phân tích sử dụng mô hình machine learning nhận dạng mẫu được huấn luyện trên bộ dữ liệu hoạt động bình thường. Bộ dữ liệu này rất lớn. Nói cách khác, mô hình sẽ rất giỏi trong việc nhận biết máy in đang hoạt động trong điều kiện bình thường, cũng có nghĩa là chúng có thể biết khi nào có điều gì đó khác thường.
Nếu các mô hình này phát hiện ra điểm bất thường, chúng sẽ chuyển hướng sang các mô hình khác để kiểm tra xem các tín hiệu nhiễu "lạ" có khớp với các vấn đề đã biết trong thư viện hay không? Kết quả là hệ thống sẽ phân loại được nhiễu đó là bình thường hay bất thường. Ở bước cuối cùng, một chuyên gia sẽ diễn giải phát hiện của hệ thống và sau đó đưa ra quyết định.
“Framework cung cấp các công cụ để hệ thống kiến thức của chuyên gia về chủ đề phát hiện bất thường. Nếu framework chưa từng thấy sự bất thường nhất định trước đó, một chuyên gia về chủ đề có thể phân tích dữ liệu được thu thập để cung cấp thêm thông tin chuyên sâu để tích hợp và cải thiện hệ thống”.
Nói chung, chuyên gia sẽ xác nhận những nghi ngờ của hệ thống an ninh mạng hoặc dạy nó một điểm bất thường mới để lưu trữ trong cơ sở dữ liệu. Và rồi khi thời gian trôi qua, các mô hình trong hệ thống về mặt lý thuyết sẽ ngày càng học được nhiều hơn, và chuyên gia con người sẽ ngày càng cần phải dạy chúng ít hơn.
Trong trường hợp của máy in 3D, nhóm đã kiểm tra hoạt động của hệ thống an ninh mạng và nhận thấy hệ thống này có thể phân loại chính xác các cuộc tấn công mạng khỏi các bất thường thông thường bằng cách phân tích dữ liệu vật lý và dữ liệu mô phỏng.
Nhưng mặc dù kết quả là nhiều hứa hẹn, nhưng làm thế nào để framework phản ứng các cuộc tấn công đa dạng và tinh vi hơn trong tương lai? Cần đảm bảo rằng chiến lược bản sao kỹ thuật số này đáng tin cậy và có thể mở rộng.
Tham khảo
NIST
NIST
Chỉnh sửa lần cuối: