Onderzoekers van NIST en de Universiteit van Michigan ontwikkelden een nieuw securityframework waarin een digital twins wordt ingezet. Dankzij de realtime digitale kopie kunnen anomalieën sneller ontdekt worden. Machine learning zorgt ervoor dat data juist wordt gecategoriseerd. Hoewel een cybersecurityexpert nu nog de laatste check doet als een aanval is gedetecteerd, moet de machine learning die rol steeds kleiner maken.
De onderzoekers van het National Institute of Standards and Technology (NIST) en de Universiteit van Michigan deden het onderzoek naar de inzet van digital twins voor cybersecurity om fabrikanten te helpen. Fabrikanten in de automobiel-, gezondheidszorg-, ruimtevaart- en andere sectoren zetten namelijk steeds meer robots en productieapparatuur in die op afstand toegankelijk zijn.
Beter te monitoren, maar ook kwetsbaarder
Door operationele gegevens van deze machines op afstand toegankelijk te maken, wordt onderhoud makkelijker en worden eveneens cyberattacks sneller gedetecteerd. Alleen, die toegankelijkheid maakt de machine óók kwetsbaarder. Volgens de onderzoekers zijn sommige cyberaanvallen ongelooflijk subtiel en daarom moeilijk te detecteren of te onderscheiden van andere systeemafwijkingen.
“Ik zie dat cyberbeveiligingsstrategieën bij de productie afhankelijk zijn van kopieën van netwerkverkeer. En die ons niet altijd helpen om te zien wat er in de machine of het proces gebeurt”, vertelt Michael Pease van NIST en co-auteur van het onderzoek. “Als gevolg hiervan lijken sommige OT-cyberbeveiligingsstrategieën op het bekijken van de operatie van buitenaf door een raam. Maar als aanvallers op de vloer liggen kunnen ze die niet zien.”
Digital twins realtime verbonden
Digital twins kunnen hier een uitkomst bieden, aldus de onderzoekers. Ze zijn namelijk nauw verbonden met hun fysieke tegenhangers, waaruit ze gegevens halen en in bijna realtime naast elkaar draaien. Als de fysieke machine dus niet te inspecteren is als de machine draait, dan is de digital het beste alternatief. De onderzoekers hebben deze gedachte gebruikt als basis van het nieuwe framework.
“Omdat fabricageprocessen zulke rijke datasets produceren – temperatuur, spanning, stroom – en ze zo repetitief zijn, kunnen opvallende afwijkingen, zoals cyberaanvallen, worden gedetecteerd”, zegt Dawn Tilbury, professor aan de Universiteit van Michigan en co-auteur van de studie. Om het framework te onderzoeken, maakten ze een digital twin van een 3D-printer en vuurden ze storingen af op het apparaat.
Machine learning wordt getraind
Machine learning algoritmes werden getraind op normale operationele gegevens. Daarna werden de normale gegevens vergeleken met de signalen die uit de fysieke 3D-printer naar voren kwam. Vervolgens categoriseerde het systeem de onregelmatigheid op een verwachte afwijking of een potentiële cyberdreiging. Als het een potentiële dreiging betrof, werd die doorgezet naar een menselijke cybersecurityexpert om de laatste controle te doen.
“Het framework biedt hulpmiddelen om de kennis van de materiedeskundige over afwijkingsdetectie systematisch te formaliseren. Als het raamwerk nog niet eerder een bepaalde anomalie heeft gezien, kan een expert de verzamelde gegevens analyseren om verdere inzichten te bieden die in het systeem kunnen worden geïntegreerd en verbeterd”, zegt hoofdauteur Efe Balta, nu een postdoctoraal onderzoeker aan de ETH Zürich.
Digital twins verder onderzocht
De modellen moeten door het teruggeven van bevindingen van de cyberexpert steeds beter worden en de rol van de menselijke expert steeds kleiner maken. Het framework zelf is ook nog niet uitontwikkeld, vertellen de onderzoekers. Ze willen onderzoeken hoe het framework reageert op meer gevarieerde en agressievere aanvallen. Ook willen ze de strategie toepassen op een printerpark in zijn geheel.
“Met verder onderzoek kan dit raamwerk een enorme win-win zijn voor zowel onderhoud als monitoring voor indicaties van gecompromitteerde OT-systemen”, aldus Pease.
Het hele onderzoek is hier te lezen.