Kaspersky Machine Learning for Anomaly Detection

Число атак на промышленные системы продолжает расти.
С развитием промышленного интернета вещей поверхность атаки на промышленные объекты будет только увеличиваться

Атаки, способные повлечь за собой сбои в работе операционных технологий (OT), являются наиболее опасными для промышленного объекта, так как могут снизить качество результата технологического процесса и даже стать причиной необратимого повреждения оборудования и, как следствие, привести к огромным финансовым и репутационным потерям.

Количество процессов на предприятии очень велико, человеку очень сложно уследить за всеми показателями, нередко сложно понять опасность небольших отклонений в общем потоке меняющихся цифр, поэтому сбой в работе может долго оставаться незамеченным. Кроме того, при атаке злоумышленники стараются скрыть вредоносное воздействие. В таких условиях традиционных решений становится недостаточно для защиты промышленной среды от угроз, нацеленных на технологическую инфраструктуру.

Kaspersky Machine Learning for Anomaly Detection (Kaspersky MLAD) — это инновационная система, которая использует нейронную сеть для одновременного наблюдения за большим количеством показателей телеметрии и выявления аномалий в работе киберфизических систем, каковыми являются современные промышленные объекты.

Kaspersky MLAD позволяет обнаружить отклонения в технологическом процессе на самом раннем этапе вне зависимости от их природы. Наша система дает возможность создать еще один важный уровень в защите киберфизических систем

► Смотреть видео

Kaspersky MLAD может помочь специалистам по кибербезопасности, операторам и специалистам по технологическим процессам

Контроль

Kaspersky MLAD поможет обнаружить отклонения в работе оборудования, вызванные ошибкой или атакой и предотвратить опасную ситуацию на ранних этапах ее развития

Мониторинг

Наша система поможет выявить фрод или саботаж на предприятии

Эффективность

Наша система поможет повысить эффективность технологического процесса посредством выявления и устранения слабо проявляющихся сбоев технологического процесса

Защита

Kaspersky MLAD поможет обеспечить соответствие уровня защиты предприятия требованиям регуляторов

Для работы Kaspersky MLAD не требуется установка дополнительных датчиков

Наша система настраивается так, чтобы получать зеркалированный трафик существующей АСУ ТП. Kaspersky MLAD анализирует уже существующий поток телеметрии технологического процесса: уставки, команды и показания датчиков.

Kaspersky MLAD анализирует зеркалированный поток телеметрии АСУ ТП

Варианты развёртывания Kaspersky MLAD

Параметры технологического процесса тесно взаимосвязаны

Эти связи между параметрами закладываются при проектировании логики контроля АСУ ТП, определяются физическими законами течения технологического процесса, условиями эксплуатации, параметрами подаваемой на вход продукции и другими факторами. Вследствие этого атака, влияющая на одни параметры технологического процесса, неизбежно влечет за собой изменение других параметров.

Нейронная сеть в составе Kaspersky MLAD выучивает эти взаимосвязи и использует их для выявления аномалий, то есть отклонений от нормального течения технологического процесса.

Kaspersky MLAD может использоваться специалистами по кибербезопасности, операторами и специалистами по технологическим процессам для выявления аномалий в технологических процессах и расследования их причин для последующей корректировки работы производственного объекта.

Kaspersky MLAD выявляет аномалии вне зависимости от причин их возникновения

Причины аномалий могут быть следующие:

Кибератаки

Например, подмена данных о ходе технологического процесса

Физические причины

Например, поломка оборудования, выход из строя датчиков

Человеческий фактор

Например, намеренные или ненамеренные некорректные действия оператора, неправильная настройка оборудования, смена режимов или уставок, переход на ручное управление

Специалисты по кибербезопасности смогут получать оповещения об опасных ситуациях на ранних этапах их зарождения и развития. Операторы АСУ ТП смогут отреагировать на сбои технологического процесса до того, как они окажут серьезное влияние на результат

Наблюдение

Kaspersky MLAD практически в реальном времени отслеживает тысячи технологических параметров и анализирует их отклонения от нормального режима

Отображение

Интерфейс программы отображает графики изменения наиболее значимых технологических параметров и их прогнозируемых значений

Выявление

Наша система выявляет аномалии на ранних этапах их развития, когда отклонение отдельных технологических параметров еще не вызывает подозрения у операторов и не приводит к срабатыванию правил противоаварийной защиты

Оповещение

Kaspersky MLAD оповещает об аномалии, если суммарное отклонение от нормального течения технологического процесса выше порога, определенного на этапе обучения нейронной сети.

Оповещение может осуществляться через веб-интерфейс, по электронной почте и посредством сообщений в Kaspersky Industrial CyberSecurity for Networks

Учёт

Наша система фиксирует в журнале событие об обнаружении аномалии для последующего анализа специалистами по технологическим процессам

Гибкость

В отличие от традиционных защитных решений, Kaspersky MLAD не требует написания большого количества правил и трудозатрат по поддержанию их в актуальном состоянии

Когда Kaspersky MLAD обнаруживает аномалию, то предоставляет детальную информацию по тем параметрам технологического процесса, которые сильнее всего отклонились от нормы

Предоставляемая информация позволяет оператору понять, где именно в системе произошел сбой и что является его причиной. Это позволяет говорить об интерпретации аномалий

Получив от нашей системы информацию о том, что именно пошло не так, операторы АСУ ТП и специалисты по кибербезопасности смогут быстрее определить локализацию аномалии, понять ее причины и устранить их.

Аномалия в температуре вакуумной колонны

Kaspersky MLAD хранит историю значений технологических параметров и их прогнозируемых значений, ведет журнал зафиксированных аномалий и предоставляет графический интерфейс для анализа этих данных

Для каждой обнаруженной аномалии наша система сохраняет детальную информацию по тем параметрам технологического процесса, которые сильнее всего отклонились от нормы. Эксперт (технолог или оператор АСУ ТП) может добавить в журнал заключение по результатам анализа аномалии.

Kaspersky MLAD автоматически группирует похожие аномалии

Эксперт имеет возможность назначить группе аномалий уровень критичности, название и рекомендуемые для оператора действия. Если подобные аномалии будут обнаружены впоследствии, то они будут автоматически отнесены к этой группе и получат готовую экспертную оценку.

Посмотрите, как можно использовать Kaspersky MLAD на различных промышленных объектах

Подробнее

Kaspersky MLAD — это инструмент для специалистов по кибербезопасности, технологов и операторов, обслуживающих сложные киберфизические системы с большими потоками данных телеметрии

Вот только некоторые области применения нашей системы:

Нефтехимия и транспортировка нефтепродуктов

Химическое производство

Фармацевтическое производство

Конвейерное производство

Управление умными зданиями

Сельское хозяйство

Умные города

Водоочистка и водоснабжение

Энергетика

Газоснабжение

Kaspersky Machine Learning for
Anomaly Detection