Comment les jumeaux numériques pourraient protéger les fabricants des cyberattaques

Des copies virtuelles détaillées d’objets physiques, appelées jumeaux numériques, ouvrent la voie à de meilleurs produits dans les secteurs de l’automobile, de la santé, de l’aérospatiale et autres. Selon une nouvelle étude, la cybersécurité pourrait également s’intégrer parfaitement dans le portefeuille des jumeaux numériques.

À mesure que de plus en plus de robots et d’autres équipements de fabrication deviennent accessibles à distance, de nouveaux points d’entrée pour les cyberattaques malveillantes sont créés. Pour suivre le rythme de la cybermenace croissante, une équipe de chercheurs du National Institute of Standards and Technology (NIST) et de l’Université du Michigan a conçu un cadre de cybersécurité qui associe la technologie des jumeaux numériques à l’apprentissage automatique et à l’expertise humaine pour signaler les indicateurs de cyberattaques. .

Dans un article publié dans Transactions IEEE sur la science et l’ingénierie de l’automatisation, les chercheurs du NIST et de l’Université du Michigan ont démontré la faisabilité de leur stratégie en détectant des cyberattaques visant une imprimante 3D dans leur laboratoire. Ils notent également que le cadre pourrait être appliqué à un large éventail de technologies de fabrication.

Les cyberattaques peuvent être incroyablement subtiles et donc difficiles à détecter ou à différencier d’autres anomalies système, parfois plus courantes. Les données opérationnelles décrivant ce qui se passe dans les machines (données de capteur, signaux d’erreur, commandes numériques émises ou exécutées, par exemple) pourraient prendre en charge la détection des cyberattaques. Cependant, l’accès direct à ce type de données en temps quasi réel à partir d’appareils de technologie opérationnelle (OT), comme une imprimante 3D, pourrait mettre en danger les performances et la sécurité du processus dans l’usine.

“En règle générale, j’ai observé que les stratégies de cybersécurité de fabrication reposent sur des copies du trafic réseau qui ne nous aident pas toujours à voir ce qui se passe à l’intérieur d’une machine ou d’un processus”, a déclaré Michael Pease, ingénieur en mécanique du NIST, co-auteur de l’étude. “En conséquence, certaines stratégies de cybersécurité OT semblent analogues à l’observation des opérations de l’extérieur à travers une fenêtre ; cependant, les adversaires pourraient avoir trouvé un moyen d’atteindre le sol.”

Sans regarder sous le capot du matériel, les professionnels de la cybersécurité peuvent laisser la place à des acteurs malveillants pour opérer sans être détectés.

Jeter un coup d’œil dans le miroir numérique

Les jumeaux numériques ne sont pas vos modèles informatiques ordinaires. Ils sont étroitement liés à leurs homologues physiques, à partir desquels ils extraient des données et fonctionnent en temps quasi réel. Ainsi, lorsqu’il n’est pas possible d’inspecter une machine physique pendant son fonctionnement, son jumeau numérique est la meilleure solution.

Ces dernières années, les jumeaux numériques des machines de fabrication ont fourni aux ingénieurs une abondance de données opérationnelles, les aidant à accomplir une variété d’exploits (sans affecter les performances ou la sécurité), y compris la prédiction du moment où les pièces commenceront à tomber en panne et nécessiteront une maintenance.

En plus de repérer les indicateurs de routine d’usure, les jumeaux numériques pourraient aider à trouver quelque chose de plus dans les données de fabrication, selon les auteurs de l’étude.

“Parce que les processus de fabrication produisent des ensembles de données aussi riches – température, tension, courant – et qu’ils sont si répétitifs, il existe des opportunités de détecter des anomalies qui ressortent, y compris des cyberattaques”, a déclaré Dawn Tilbury, professeur de génie mécanique à l’Université du Michigan. et co-auteur de l’étude.

Pour saisir l’opportunité offerte par les jumeaux numériques pour une cybersécurité renforcée, les chercheurs ont développé un cadre impliquant une nouvelle stratégie, qu’ils ont testée sur une imprimante 3D standard.

L’équipe a construit un jumeau numérique pour émuler le processus d’impression 3D et lui a fourni des informations provenant de la véritable imprimante. Au fur et à mesure que l’imprimante construisait une pièce (un sablier en plastique dans ce cas), des programmes informatiques surveillaient et analysaient des flux de données continus, y compris les températures mesurées à partir de la tête d’impression physique et les températures simulées calculées en temps réel par le jumeau numérique.

Les chercheurs ont lancé des vagues de perturbations au niveau de l’imprimeur. Certaines étaient des anomalies innocentes, comme un ventilateur externe provoquant le refroidissement de l’imprimante, mais d’autres, dont certaines ont amené l’imprimante à signaler incorrectement ses relevés de température, représentaient quelque chose de plus néfaste.

Ainsi, même avec la richesse des informations disponibles, comment les programmes informatiques de l’équipe ont-ils distingué une cyberattaque de quelque chose de plus routinier ? La réponse du cadre est d’utiliser un processus d’élimination.

Les programmes analysant à la fois les imprimantes réelles et numériques étaient des modèles d’apprentissage automatique à reconnaissance de formes entraînés sur des données de fonctionnement normales, qui sont incluses dans le document, en vrac. En d’autres termes, les modèles étaient aptes à reconnaître à quoi ressemblait l’imprimante dans des conditions normales, ce qui signifie également qu’ils pouvaient dire quand les choses sortaient de l’ordinaire.

Si ces modèles détectaient une irrégularité, ils passaient le relais à d’autres modèles d’ordinateurs qui vérifiaient si les signaux étranges étaient cohérents avec quoi que ce soit dans une bibliothèque de problèmes connus, tels que le ventilateur de l’imprimante refroidissant sa tête d’impression plus que prévu. Ensuite, le système a classé l’irrégularité comme une anomalie attendue ou une cybermenace potentielle.

Dans la dernière étape, un expert humain est censé interpréter les résultats du système, puis prendre une décision.

“Le cadre fournit des outils pour formaliser systématiquement les connaissances de l’expert en la matière sur la détection d’anomalies. Si le cadre n’a pas vu une certaine anomalie auparavant, un expert en la matière peut analyser les données collectées pour fournir des informations supplémentaires à intégrer et améliorer le système “, a déclaré l’auteur principal Efe Balta, ancien étudiant diplômé en génie mécanique à l’Université du Michigan et maintenant chercheur postdoctoral à l’ETH Zurich.

De manière générale, l’expert devra soit confirmer les soupçons du système de cybersécurité, soit lui apprendre une nouvelle anomalie à stocker dans la base de données. Et puis, au fil du temps, les modèles du système apprendraient théoriquement de plus en plus, et l’expert humain aurait besoin de leur apprendre de moins en moins.

Dans le cas de l’imprimante 3D, l’équipe a vérifié le travail de son système de cybersécurité et a constaté qu’il était capable de trier correctement les cyberattaques des anomalies normales en analysant les données physiques et émulées.

Mais malgré les résultats prometteurs, les chercheurs prévoient d’étudier comment le cadre répond à des attaques plus variées et agressives à l’avenir, en s’assurant que la stratégie est fiable et évolutive. Leurs prochaines étapes comprendront probablement également l’application de la stratégie à une flotte d’imprimantes à la fois, pour voir si la couverture étendue nuit ou aide leurs capacités de détection.

“Avec des recherches supplémentaires, ce cadre pourrait potentiellement être un énorme gagnant-gagnant pour la maintenance ainsi que la surveillance des indications de systèmes OT compromis”, a déclaré Pease.

Cette histoire est republiée avec l’aimable autorisation du NIST. Lisez l’histoire originale ici.