Профессор Гильермо Франсия о кибербезопасности национальной инфраструктуры

кибербезопасность

По материалам сайта www3.imperial.ac.uk

Эксперт по кибербезопасности профессор Гильермо Франсия недавно присоединился к Программе Фулбрайта. Мы задали вопросы о его работе по защите важных объектов инфраструктуры и использовании систем глубокого анализа пакетов (DPI).

Привет, Гильермо! Прежде всего, добро пожаловать в Имперский колледж Лондона. Что вы исследуете и что привело вас сюда?

Благодарю. Я являюсь директором Центра обеспечения информационной безопасности Университета штата Джэксонвилл. Мы изучаем кибербезопасность важных объектов инфраструктуры, таких как ядерные установки или системы распределения воды.

Меня познакомили с профессором Крисом Ханкином, директором Института безопасности науки и техники (ISST), который также работает в этой области. Мы решили, что наше сотрудничество может стать интересным, и я был удостоен премии Фулбрайта, чтобы приехать в Имперский колледж.

Какие существуют киберугрозы для важных объектов национальной инфраструктуры?

В вопросах безопасности национальных объектов инфраструктуры границы между кибер- и физической угрозой размываются. Злоумышленник, например террорист, может взломать компьютерную систему управления объектом, что приведет к серьезным физическим последствиям.

Например, в прошлом году в результате атаки на энергосистему Украины было отключено электроснабжение более чем для 220 000 человек. Представьте, что в число отключенных объектов попала бы больница, у которой нет резервных генераторов. Возможны еще более страшные сценарии: теоретически нападавший способен отключить охлаждающие насосы на атомной электростанции, что вызовет катастрофу гораздо худшую, чем произошедшая в Фукусиме.

Насколько реальны такие угрозы?

Реальны, и их число продолжает расти. Злоумышленники становятся все более изощренными, и мы каждый месяц обнаруживаем сотни новых уязвимостей в оборудовании. Только за первую неделю марта 2017 года было обнаружено около 348 уязвимостей!

Кроме того, меняются способы подключения к системам и их управления. Недавно я был на объекте по распределению воды, один из рабочих использовал свой смартфон, чтобы управлять насосами на расстоянии в 24 километра. Это создает огромную головную боль для обеспечения безопасности.

Как помогают ваши исследования?

Мои исследования сосредоточены на обнаружении брешей в безопасности. Для этого я использую технологии поведенческого анализа, сравнительного анализа угроз и глубокий анализ сетевого трафика (DPI).

Сравнительный анализ угроз предоставляет данные, которые могут идентифицировать ранее замеченных злоумышленников. Например, мы можем увидеть в нашей сети трафик с IP-адреса, используемого ранее в другой кибератаке. Такой вид анализа может применяться для обнаружения и остановки нападающих на ранних стадиях атак, например для разведывательного сканирования.

Но если интеллектуальный способ обнаружения атаки не работает, мы применяем другие. Поведенческий анализ обнаруживает сетевые аномалии в режиме реального времени. Сначала вы получаете представление о том, что является «нормальным» поведением сети. Например, в системе водоснабжения это график управления насосам: в 6 утра они начинают работать, около 10 утра уменьшают поток, а в 5 вечера выключаются. Затем мы ищем существенные отклонения от этого поведения, чтобы провести более тщательный контроль.

Глубокий анализ пакетов (DPI) – способ исследования полезной нагрузки сетевых пакетов. Это своего рода цифровая криминалистика в системах управления. Поскольку пакеты протокола системы управления инкапсулированы в стандартные пакеты TCP/IP, стандартной проверки на наличие вредоносных данных недостаточно.

Как ваша работа связана с ISST?

В Институте безопасности науки и техники мы совместно с доктором Ченом Фэном разрабатываем инструмент для поведенческого анализа.

В Джэксонвилле у нас есть тестовая модель системы распределения воды, с которой мои ученики собирают сетевые данные. Чен в ISST разработал нейронную сеть, которая позволяет компьютеру определять нормальное поведение и выявлять отклонения от него. Мы моделируем возможные кибератаки, чтобы понять, способна ли нейронная сеть их определять, обнаруживая аномальное поведение.

Что такое нейронная сеть?

Искусственная нейронная сеть – это подход к программированию, который имитирует работу человеческого мозга и взаимосвязан со многими модулями. Ее цель состоит в том, чтобы решать проблемы так, как это делает человек, распознавая образы и обучаясь. Это очень сильный подход к работе, который будет иметь большое значение для обеспечения кибербезопасности.

Какие ваши дальнейшие планы?

Буду заниматься научной деятельностью в ISST до мая, а затем вернусь в Джэксонвилл. Но пока я счастлив, что имею возможность участвовать в конференциях с коллегами из Имперского колледжа, разрабатывать и публиковать научные доклады и документы.

Современные системы анализа и классификации трафика, такие как СКАТ DPI, не являются средствами защиты от кибератак, но благодаря своей многофункциональности и технологии DPI позволяют обеспечивать безопасность сети в комплексе с другими средствами защиты.

Для получения полной информации о системах DPI вы можете обратиться к специалистам компании VAS Experts – разработчика системы глубокого анализа трафика СКАТ DPI. Подписывайтесь на рассылку новостей блога, чтобы не пропустить новые материалы.

Поделиться в социальных сетях