English version
In het traditioneel trage landschap van Industrial Control Systems (ICS) en kritieke infrastructuur, kan Artificial Intelligence (AI) krachtige voordelen bieden om de beveiliging van Operationele Technologie (OT) te verbeteren. Het is essentieel om te begrijpen dat we manieren moeten vinden om de nieuwste innovaties toe te passen in industrieën die doorgaans bestaan uit verouderde, niet-geüpdatete en inflexibele systemen. Systemen die oorspronkelijk zijn ontworpen met de nadruk op ononderbroken operationele continuïteit en fysieke veiligheid, maar vaak niet of moeilijk te integreren zijn met moderne technologieën, waardoor ze zeer kwetsbaar zijn voor cyberdreigingen.
AI en OT
Leveranciers van cybersecurity tooling innoveren in een hoog tempo en de meeste hebben AI-capaciteiten, zoals machine learning en deep learning, reeds in hun producten geïntegreerd. Niet als dé oplossing voor alle problemen, maar om de hiaten van traditionele methoden op te vullen.
Vanwege de aard van OT kan AI traditionele beveiligingsmaatregelen slechts aanvullen en niet overnemen. Verouderde systemen zijn niet altijd geschikt voor AI-integratie, en het kan een complex proces zijn dat experts vereist met een zeldzame combinatie van OT-, AI- en cyber security kennis.
Uw organisatie gebruikt waarschijnlijk al AI en ML
Als een of meer van de volgende oplossingen zijn geïmplementeerd in uw OT-omgeving, is de kans groot dat AI-gebaseerde anomaly detection, besluitvorming en/of intrusion prevention al zijn ingebed in deze systemen en samenwerken met de meer traditionele methoden:
Netwerk monitoring tools voor netwerkzichtbaarheid
- Vulnerability scanners om beveiligingslekken te identificeren en mitigeren
- Intrusion Detection Systems voor (vroege) detectie van bedreigingen
- Endpoint Detection and Response om malware-infecties te voorkomen en te beheersen
Als we inzoomen op anomaly detection: hieronder vindt u een vergelijking tussen traditionele methoden zoals signature-based detectie en baselining versus een AI-techniek zoals Machine Learning (ML). U zult merken dat alle drie de methoden elkaar aanvullen en uiterst effectief en krachtig zijn wanneer samen ingezet. Voorbeelden van signature-based detectie zijn antivirusprogramma's en sommige IDS/IPS-systemen. Baselining is wat traditionele network monitoring systems gebruiken om op drempelwaarden gebaseerde alarmen te creëren. Machine learning voor anomaly detection wordt gebruikt door AI-aangedreven tools zoals Darktrace Industrial, Nozomi Networks, Vectra AI en Dragos.
|
Aspect
|
Signature-Based Detectie
|
Baselining
|
Machine Learning voor Anomaly Detection
|
|
Detectiefocus
|
Bekende dreigingen gebaseerd op vooraf gedefinieerde signatures zoals malware en bekende aanvalspatronen.
|
Afwijkingen van vastgesteld "normaal" gedrag in systemen of netwerken.
|
Identificeert onbekende of nieuwe dreigingen door patronen te leren uit historische gegevens en real-time invoer.
|
|
Sterke punten
|
Zeer effectief en efficiënt voor het detecteren van bekende dreigingen.
|
Werkt goed in stabiele omgevingen met goed gedefinieerde voorspelbare patronen.
|
Detecteert zowel bekende als onbekende dreigingen, inclusief zero-day attacks.
Verwerkt grote, complexe datasets en identificeert subtiele anomalieën die moeilijk te vangen zijn.
|
|
Zwakke punten
|
Beperkt tot bekende aanvallen.
|
Handmatige updates nodig voor veranderend gedrag.
|
Vereist hoogwaardige data en expertise voor correcte training van het model.
|
|
Aanpassings
vermogen
|
Inflexibel; vereist constante updates voor nieuwe dreigingen.
|
Inflexibel; vereist handmatige aanpassing aan veranderende omgevingen.
|
Zeer aanpasbaar en kan leren van evoluerend gedrag.
Verbetert voortdurend dmv nieuwe data.
|
|
Complexiteit
|
Lage complexiteit en eenvoudig te implementeren.
|
Matige complexiteit, maar vereist afstelling om false positives te voorkomen in veranderende omgevingen.
|
Hoge complexiteit tijdens initiele implementatie, modeltraining en doorlopend beheer.
|
|
Reactie op Nieuwe Dreigingen
|
Kan geen zero-day attacks of nieuwe dreigingen detecteren.
|
Kan nieuwe dreigingen alleen detecteren als ze sterk afwijken van de baseline.
|
Uitstekend in het identificeren van nieuwe, zero-day threats en subtiele insider attacks.
|
|
False Positives
|
Minimaal, aangezien detectie gebaseerd is op bekende signatures.
|
Hoger risico op false positives, vooral in omgevingen met frequente gedragsveranderingen.
|
Initieel hoge false positive rate, maar verbetert naarmate het model wordt verfijnd en leert in de loop van de tijd.
|
|
Real-Time Mogelijkheden
|
Snelle detectie van bekende dreigingen.
|
Kan real-time monitoring bieden, maar worstelt met adaptieve veranderingen.
|
Real-time detectie van bekende en onbekende dreigingen met geautomatiseerd leren.
|
De gevaren van het niet gebruiken van (on-prem) AI
Het aanvalsoppervlak in ICS-omgevingen is aanzienlijk vergroot door de introductie van nieuwe technologieën in OT, wat ertoe leidt dat zowel nieuwe als verouderde assets steeds meer verbonden (lees: blootgesteld) zijn met externe netwerken zoals het internet. Het gebruik van IIOT (Industrial Internet of Things), het creëren van data-interfaces met IT-systemen, het gebruik van cloud en 5G, en externe toegang voor onderhoud en operaties zijn gebruikelijker geworden, waardoor cyber dreigingen in OT frequenter voorkomen en meer kans hebben om impact te veroorzaken.
Aanvallers ontwikkelen hedendaags geavanceerdere tactieken en technieken zoals AI-versterkte phishing en deepfakes. Ze gebruiken ook AI om cyber aanvallen te automatiseren en te optimaliseren. Hierdoor schieten traditionele beveiligingsmaatregelen tekort; ze zijn wel goed, maar niet snel genoeg zijn. Het is gevaarlijk geworden om geen proactieve, slimme en real-time verdedigingsmechanismen in OT te implementeren. Met andere woorden, we moeten AI-aangedreven aanvallen tegengaan met AI-aangedreven verdediging.
Daarnaast zullen uw medewerkers waarschijnlijk generative AI tools gaan gebruiken om hun leven gemakkelijker te maken. Om uw bedrijfs- en operationele data te beschermen, is het belangrijk ervoor te zorgen dat u lokale (private) generative AI oplossingen gebruikt. Behalve dat dit een noodzaak is in geïsoleerde OT-omgevingen, zorgt dit ook voor betere controle over (trainings)data en andere voordelen.
Wat betekent het uiteindelijk om AI in te zetten voor OT-Security?
Hier zijn enkele aspecten waarbij de inzet van AI bewezen effectief voordeel op kan leveren.
|
Aspect
|
Effectiviteit van AI
|
Financiële/Operationele Impact
|
|
Threat Detection & Anomaly Detection
|
Een significant snellere detectietijd dan traditionele monitoring (IBM Security)
|
Vermindert downtime en beperkt het risico op kostbare OT-verstoringen
|
|
Attack Path Modeling
|
Een grotere reductie in aanvalspaden
|
Beperkt blootstelling aan cyber threats, bespaart aanzienlijke herstelkosten
|
|
Incident Response
|
Veel kortere “Mean Time to Repair”
|
Verkort hersteltijd, verbetert operationele continuïteit
|
|
False Positive Reductie
|
Vermindering van valse alarmen
|
Bespaart onnodige onderzoeken, maakt OT-teamresources vrij
|
|
Detectie van account overnames
|
Een hogere detectiegraad van accountovernames in vergelijking met niet-AI-tools.
|
Vermindert het aantal incidenten met ongeautoriseerde toegang.
|
|
Dagelijkse security operations
|
Een hoge automatiseringsgraad van routine cybersecurity-taken
|
Vermindering van alert fatigue voor OT-personeel, maakt medewerkers vrij voor onderhoud en verbeteringen.
|
|
Vulnerability management
|
Verbetert proactieve verdediging door kwetsbaarheden automatisch te prioriteren en te correleren op basis van asset criticality.
|
Snellere en nauwkeurigere verlaging van risico’s in OT-omgevingen.
|
Wat (niet) te doen met AI in OT?
In de FOMO-haast ligt een kritieke valkuil op de loer: het verwaarlozen van basis cyberhygiëne . De eerste verdedigingslinies zijn absoluut noodzakelijk; specifieke, praktische OT security maatregelen, zorgvuldig geselecteerd, goed geprioriteerd en gebaseerd op een gedetailleerde risicoanalyse. Enkele van de belangrijkste maatregelen zijn vulnerability management, netwerk segmentatie & monitoring en secure remote access.
Houd er rekening mee dat vóór enige AI-integratie een aantal cruciale stappen moeten worden genomen om maximale effectiviteit en een efficiënte verdeling van resources te waarborgen:
- Ontwikkelen van AI-governance
Stel beleid en procedures op, evenals rollen en verantwoordelijkheden om de integratie van AI in OT-omgevingen te beheren/managen. Focus op het afstemmen van cybersecurity teams en OT-teams op de doelen en processen van AI-implementatie.
- Opzetten van een trainingsprogramma
Leid zowel cybersecurity- als operationeel personeel op in AI-technologieën en OT-security om een effectieve samenwerking tussen IT-, OT- en AI-gestuurde security systemen te waarborgen.
- Verbeteren en beschermen van datakwaliteit
Bij het gebruik en trainen van AI-modellen is het essentieel dat alle invoergegevens van hoge kwaliteit zijn, goed gestructureerd en representatief voor de gehele OT-omgeving, om vooroordelen en onnauwkeurigheden te minimaliseren. Dit omvat ook de bescherming van deze gegevens én het model zelf tegen (on)opzettelijke (interne) bedreigingen.
- Selecteren van specifieke use cases
Begin met gerichte toepassingsgebieden zoals passieve anomalie- en dreigingsdetectie of voorspellend onderhoud. Door de scope te beperken, verklein je de kans op valse meldingen en operationele risico’s.
Conclusie
AI wordt onmisbaar voor OT security door de vele voordelen ; het verbetert dreigingsdetectie, automatiseert processen en verhoogt het bewustzijn van de situatie. Toch vereist effectieve inzet aandacht voor uitdagingen zoals valse meldingen, AI-gestuurde aanvallen en datakwaliteit. Door te focussen op basismaatregelen, training en governance kunnen organisaties AI benutten om hun industriële omgevingen veilig te houden en te voldoen aan NIS2, IEC62443 en andere beveiligingsstandaarden.
