Il est tôt pour l'intelligence artificielle dans la cybersécurité ICS

Un assistant virtuel développé par Google a fait des vagues lors de ses débuts l'année dernière car cela semblait impossible à distinguer d'un humain lorsqu'il téléphonait à un restaurant pour faire une réservation. "Bonjour, j'aimerais réserver une table pour mercredi 7", rayonnait la voix masculine polie dans la démo Google Duplex. « Pour sept personnes ? » demanda une femme à l'autre bout du fil, apparemment incompréhensible. « C'est pour quatre personnes », a rétorqué l'assistant virtuel, faisant précéder cette déclaration d'un « euh » naturel.

L'exemple de Google Duplex sert de microcosme à l'état actuel de l'IA. Désormais disponible dans 43 États américains pour les utilisateurs de téléphones Google Pixel, le système Duplex est à la fois impressionnant, mais rappelle également les limites technologiques. Bien que Duplex puisse ressembler étrangement à un humain, ses compétences sont plutôt limitées à des interactions plutôt routinières. En revanche, le Project Debater d'IBM est plus fluide dans l'abstrait. Il peut donner du fil à retordre aux débatteurs humains qualifiés en termes de formulation d'arguments, mais il présente son cas d'une voix plate à consonance robotique. Les exemples Duplex et Project Debater rappellent également la régularité avec laquelle l'IA la plus performante est le produit d'entreprises technologiques géantes avec des budgets énormes et des ensembles de données avec des armées d'employés. Et même dans ce cas, les entreprises de premier plan mettent en garde contre le risque de raté de la technologie. "Les algorithmes d'IA peuvent être défectueux", lit-on dans un récent dossier réglementaire de Microsoft. « Les ensembles de données peuvent être insuffisants ou contenir des informations biaisées. Des pratiques de données inappropriées ou controversées […] pourraient nuire à l'acceptation des solutions d'IA. »

[ Le monde de l'Internet des objets est l'endroit où les entreprises industrielles trouvent l'innovation IoT. Réservez votre pass conférence et économisez 350 $, obtenez un pass expo gratuit , ou consultez le enceintes IIoT à l'événement.]

L'argument marketing générique pour l'IA, cependant, est que la technologie est une panacée potentielle pour les problèmes commerciaux modernes - capable d'aider les entreprises et les entreprises industrielles à donner un sens aux montagnes de données (y compris celles provenant des appareils IIoT) tout en les aidant à renforcer la sécurité de l'industrie. systèmes de contrôle. « L'analyse industrielle, appliquée aux données des machines pour obtenir des informations opérationnelles, est un moteur de convergence de l'OT et de l'informatique et, en fin de compte, la création de valeur pour la quatrième révolution industrielle », lit-on dans l'introduction de l'Industrial Internet of Things Analytics Framework du Consortium Internet industriel.

Interrogé sur le potentiel de l'IA pour la cybersécurité ICS, l'expert en cybersécurité Jason Haward-Grau, CISO pour PAS Global, a déclaré que « l'automatisation des processus robotiques est probablement beaucoup plus intéressante, du point de vue de l'IA, que l'IA en matière de sécurité », se référant au processus métier. technologie d'automatisation qui peut réduire le besoin d'intervention humaine dans des tâches telles que l'approvisionnement.

Pourtant, le paysage des fournisseurs regorge d'entreprises qui proposent une offre d'IA pour presque tous les problèmes imaginables. « Si vous demandez à quelqu'un : « Avez-vous une IA ? », il répondra toujours« oui ». » a déclaré Haward-Grau. «Mais définissez ce que c'est. Posez la question : « Si l'IA est la réponse, quelle est la question ? » Parce qu'il vaut mieux commencer par demander : « De quoi mon entreprise a-t-elle besoin ? » »

Le niveau de menace est important dans la cybersécurité ICS. Au total, 49 % des 321 répondants industriels ont subi au moins une attaque par an, selon une étude Kaspersky de 2018. Le chiffre réel pourrait être plus élevé, a déclaré Haward-Grau, car le chiffre susmentionné représente des attaques que les organisations sont prêtes à admettre.

À l'heure actuelle, le terme IA est utilisé de multiples façons et les définitions du terme peuvent sembler philosophiques car il reste difficile de comprendre concrètement ce qu'est l'intelligence. "D'un point de vue technique, il est difficile de définir" intelligent "", a déclaré l'écrivain technologique Jaron Lanier lors d'un débat sur l'IA en 2016. « Si vous ne définissez pas une base de référence mesurable, vous êtes dans un pays imaginaire. » Il a également ajouté que :« Beaucoup de systèmes que nous appelons des systèmes « intelligents » sont en quelque sorte déviés du processus empirique. »

Un cas d'utilisation proposé pour les systèmes d'IA, ou pour être plus précis, l'apprentissage automatique, est son utilisation pour détecter les logiciels malveillants ou les anomalies sur un réseau. Si vous disposez d'une base de référence sur la façon dont le réseau doit fonctionner et que vous disposez d'algorithmes d'apprentissage automatique solides et d'un accès suffisant aux données, la technologie peut être puissante pour détecter rapidement les menaces réseau et, au fil du temps, réduire potentiellement le nombre de fausses alarmes pour un code ou un réseau potentiellement suspect. comportement. Étant donné que l'industrie de la cybersécurité dans son ensemble est aux prises avec une pénurie considérable de travailleurs talentueux, c'est une grande promesse.

Mais pour réussir, le système d'apprentissage automatique doit avoir accès aux données pertinentes. Si l'entreprise fait quelque chose dont le système d'IA n'est pas au courant, vous pouvez avoir des problèmes - sous la forme de fausses alarmes. Ou peut-être que le système d'apprentissage supervisé conçu pour enquêter sur le code logiciel a été formé sur de mauvaises données, conduisant l'algorithme à considérer potentiellement les logiciels malveillants comme normaux. En outre, les adversaires pourraient également modifier le logiciel d'un fournisseur de sécurité pour faire passer les logiciels malveillants comme du code normal. Une autre possibilité, mentionnée dans un article de Technology Review, est que les attaquants découvrent simplement les fonctionnalités que le modèle d'apprentissage automatique utilise pour identifier les logiciels malveillants et les suppriment de leur propre code malveillant.

Dans un contexte industriel, il peut être difficile de tisser des données à partir d'équipements qui ne sont pas orientés réseau informatique ou qui n'utilisent pas le protocole IT TCP/IP. « Comment fonctionne l'IA sur un bus de contrôle de 25 ans ? » demanda Haward-Grau.

Pour donner un exemple de la difficulté potentielle de lancer un projet IoT à grande échelle dans un environnement industriel, Haward-Grau donne l'exemple d'une raffinerie, qui dispose de 500 appareils informatiques traditionnels tels que des postes de travail physiques, des IHM, des serveurs et des commutateurs. « C'est gérable. C'est comme un petit bureau. Je pourrais mettre le suivi du réseau autour de cela », a-t-il déclaré. Mais ensuite, lorsque le responsable de la sécurité demande à la raffinerie combien de points de terminaison OT elle possède, la réponse est 28 500. Bien que l'un des avantages de l'IA, en général, soit son potentiel à donner un sens à des volumes massifs de données variées, générés à une vitesse rapide, en réalité, il est toujours difficile de donner un sens à des données complexes et historiquement cloisonnées. "Le défi n'est pas le nombre" de points finaux, a déclaré Haward-Grau. « C'est le défi d'avoir 20 fournisseurs différents. Disons que j'ai des équipements ABB, Schneider Electric, Siemens, Yokogawa, Philips, GE et Honeywell », a-t-il déclaré. « Ils sont tous différents, ils parleront différemment. Alors, comment allez-vous traduire toutes ces choses différentes pour commencer, puis répondre à la question :« À quoi ressemble le bien ? » », a demandé Haward-Grau.

Ajoutez à cela le changement de position en matière de cybersécurité de l'hypothèse selon laquelle ce n'est qu'une question de temps avant que les entreprises ne soient violées à l'hypothèse que votre entreprise a déjà été violée, la complexité de comprendre à quoi ressemble un bon comportement de réseau devient plus intimidante. Une étude de 2018 soutenue par IBM a révélé qu'il faut en moyenne 197 jours aux entreprises pour identifier une violation. C'est une mauvaise nouvelle pour les organisations potentiellement compromises qui cherchent à former des modèles d'apprentissage automatique sur des topologies de réseau complexes.

Tout cela ne veut pas dire que l'IA n'a pas un potentiel considérable pour la cybersécurité ICS, c'est juste que les entreprises industrielles qui cherchent à déployer la technologie devraient commencer par des cas d'utilisation définis avec une complexité de données initialement limitée. Comme E. F. Schumacher l'a écrit un jour :« Tout imbécile intelligent peut rendre les choses plus grandes, plus complexes et plus violentes. Il faut une touche de génie et beaucoup de courage pour aller dans la direction opposée. »