По материалам сайта Imperial’s News website
Привет, Гильермо! Прежде всего, добро пожаловать в Имперский колледж Лондона. Что вы исследуете и что привело вас сюда?
Благодарю. Я являюсь директором Центра обеспечения информационной безопасности Университета штата Джэксонвилл. Мы изучаем кибербезопасность важных объектов инфраструктуры, таких как ядерные установки или системы распределения воды.
Меня познакомили с профессором Крисом Ханкином, директором Института безопасности науки и техники (ISST), который также работает в этой области. Мы решили, что наше сотрудничество может стать интересным, и я был удостоен премии Фулбрайта, чтобы приехать в Имперский колледж.
Какие существуют киберугрозы для важных объектов национальной инфраструктуры?
В вопросах безопасности национальных объектов инфраструктуры границы между кибер- и физической угрозой размываются. Злоумышленник, например террорист, может взломать компьютерную систему управления объектом, что приведет к серьезным физическим последствиям.
Например, в прошлом году в результате атаки на энергосистему Украины было отключено электроснабжение более чем для 220 000 человек. Представьте, что в число отключенных объектов попала бы больница, у которой нет резервных генераторов. Возможны еще более страшные сценарии: теоретически нападавший способен отключить охлаждающие насосы на атомной электростанции, что вызовет катастрофу гораздо худшую, чем произошедшая в Фукусиме.
Насколько реальны такие угрозы?
Реальны, и их число продолжает расти. Злоумышленники становятся все более изощренными, и мы каждый месяц обнаруживаем сотни новых уязвимостей в оборудовании. Только за первую неделю марта 2017 года было обнаружено около 348 уязвимостей!
Кроме того, меняются способы подключения к системам и их управления. Недавно я был на объекте по распределению воды, один из рабочих использовал свой смартфон, чтобы управлять насосами на расстоянии в 24 километра. Это создает огромную головную боль для обеспечения безопасности.
Как помогают ваши исследования?
Мои исследования сосредоточены на обнаружении брешей в безопасности. Для этого я использую технологии поведенческого анализа, сравнительного анализа угроз и глубокий анализ сетевого трафика (DPI).
Сравнительный анализ угроз предоставляет данные, которые могут идентифицировать ранее замеченных злоумышленников. Например, мы можем увидеть в нашей сети трафик с IP-адреса, используемого ранее в другой кибератаке. Такой вид анализа может применяться для обнаружения и остановки нападающих на ранних стадиях атак, например для разведывательного сканирования.
Но если интеллектуальный способ обнаружения атаки не работает, мы применяем другие. Поведенческий анализ обнаруживает сетевые аномалии в режиме реального времени. Сначала вы получаете представление о том, что является «нормальным» поведением сети. Например, в системе водоснабжения это график управления насосам: в 6 утра они начинают работать, около 10 утра уменьшают поток, а в 5 вечера выключаются. Затем мы ищем существенные отклонения от этого поведения, чтобы провести более тщательный контроль.
Глубокий анализ пакетов (DPI) – способ исследования полезной нагрузки сетевых пакетов. Это своего рода цифровая криминалистика в системах управления. Поскольку пакеты протокола системы управления инкапсулированы в стандартные пакеты TCP/IP, стандартной проверки на наличие вредоносных данных недостаточно.
Как ваша работа связана с ISST?
В Институте безопасности науки и техники мы совместно с доктором Ченом Фэном разрабатываем инструмент для поведенческого анализа.
В Джэксонвилле у нас есть тестовая модель системы распределения воды, с которой мои ученики собирают сетевые данные. Чен в ISST разработал нейронную сеть, которая позволяет компьютеру определять нормальное поведение и выявлять отклонения от него. Мы моделируем возможные кибератаки, чтобы понять, способна ли нейронная сеть их определять, обнаруживая аномальное поведение.
Что такое нейронная сеть?
Искусственная нейронная сеть – это подход к программированию, который имитирует работу человеческого мозга и взаимосвязан со многими модулями. Ее цель состоит в том, чтобы решать проблемы так, как это делает человек, распознавая образы и обучаясь. Это очень сильный подход к работе, который будет иметь большое значение для обеспечения кибербезопасности.
Какие ваши дальнейшие планы?
Буду заниматься научной деятельностью в ISST до мая, а затем вернусь в Джэксонвилл. Но пока я счастлив, что имею возможность участвовать в конференциях с коллегами из Имперского колледжа, разрабатывать и публиковать научные доклады и документы.
Современные системы анализа и классификации трафика, такие как СКАТ DPI, не являются средствами защиты от кибератак, но благодаря своей многофункциональности и технологии DPI позволяют обеспечивать безопасность сети в комплексе с другими средствами защиты.
Для получения полной информации о системах DPI вы можете обратиться к специалистам компании VAS Experts – разработчика системы глубокого анализа трафика СКАТ.