По мере того как ландшафт промышленной кибербезопасности осваивает технологии искусственного интеллекта (ИИ) и машинного обучения (ML), меняются и подходы к обнаружению аномалий в средах операционных технологий (OT) и промышленных систем управления (ICS / АСУ ТП). Внедрение этих инноваций не только повышает безопасность, но и улучшает прозрачность на протяжении всего жизненного цикла систем.
Однако применение ИИ в OT-средах связано с уникальными трудностями: данные здесь имеют другую специфику. Исторически сложилось, что относительно простые OT-системы генерируют «шумные», неструктурированные или неполные данные, что требует глубокой фильтрации на основе доменных знаний и тщательной предварительной обработки.
В отличие от традиционных методов обнаружения на основе сигнатур, которые с трудом поспевают за новыми векторами атак, системы на базе AI/ML могут оценивать массивные наборы данных и распознавать необычные поведенческие паттерны, указывающие на потенциальные угрозы, которые можно предотвратить в реальном времени.
От сигнатур — к поведенческой аналитике
Использование ИИ/ML для снижения зависимости от заранее известных сигнатур крайне выгодно: оно позволяет выявлять тончайшие отклонения, свидетельствующие о новых эксплойтах (Zero-day). Однако зависимость от ИИ несет и риски. Незначительные корректировки чувствительности моделей могут как повысить процент обнаружения, так и привести к лавине ложноположительных или ложноотрицательных срабатываний. Борьба с «усталостью от алертов» требует кропотливой настройки параметров.
Интеграция ИИ требует от команд изменения компетенций. Теперь инженерам и ИБ-специалистам необходимо фундаментальное понимание алгоритмов ML, науки о данных и моделирования угроз, а также тесное сотрудничество для разработки новых мер защиты АСУ ТП.
Взгляд экспертов: как ИИ повышает эффективность обнаружения аномалий
Отраслевые эксперты поделились мнениями о том, как именно технологии AI/ML повышают точность промышленной кибербезопасности.
Телеметрия и LLM-агенты (NVIDIA)
Офир Аркин (Ofir Arkin), менеджер и ведущий архитектор платформ кибербезопасности в NVIDIA, отмечает уникальную возможность применения поведенческой аналитики в OT-сетях благодаря специфике их данных.
«Телеметрические данные, содержащие команды, отправляемые на устройства, позволяют сравнивать оборудование одного типа и выявлять то, которое сконфигурировано вне нормы или получает аномальные команды. Это обеспечивает возможности предиктивного обслуживания. Ценность здесь выходит далеко за рамки кибербезопасности и переходит в плоскость операционной устойчивости», — поясняет Аркин.
Аркин также выделяет интеллектуальный анализ журналов с помощью ИИ. Использование генеративных моделей и LLM-агентов позволяет анализировать бесконечные потоки логов, проактивно выявляя аномалии. В ряде реализаций специалисты могут запрашивать данные журналов с помощью текстовых промптов на естественном языке, сокращая время расследования инцидентов с часов до минут.
Обучение без учителя в реальном времени (Darktrace)
Джеффри Макр (Jeffrey Macre), архитектор решений для промышленной безопасности в Darktrace, подчеркивает роль машинного обучения без учителя (unsupervised ML).
«ИИ может изучить уникальные паттерны сетевых коммуникаций каждого устройства в этих средах. В отличие от традиционных методов на основе правил, unsupervised ML обнаруживает аномалии в реальном времени, замечая тонкие изменения (например, необычное поведение ПЛК или сетевой трафик). Это делает мониторинг гораздо более точным и снижает количество ложных срабатываний».
В мире ICS, где критически важно поддерживать бесперебойную работу, проактивное обнаружение спасает технологические процессы от непредвиденных простоев.
Краудсорсинг данных и базовые линии (Armis)
Карлос Буэнаньо (Carlos Buenaño), технический директор по OT в Armis, рассказывает о важности создания базовых линий (baseline).
С помощью машинного обучения модели могут обучаться на исторических данных для распознавания паттернов нормальной работы, включая метрики производительности устройств, журналы связи и условия среды. Алгоритмы постоянно обновляют понимание «нормы».
Более того, интеграция краудсорсинговых данных позволяет осуществлять кросс-устройственное обучение. Если аномалия обнаружена в одном сегменте сети или на определенном типе контроллеров, информация об этом событии может быть передана остальным системам, информируя их о потенциальных рисках.
Эвристика против простого сопоставления (ThreatGEN)
Клинт Бодунген (Clint Bodungen), основатель ThreatGEN, напоминает о масштабах:
«AI/ML не ограничивается сопоставлением паттернов, как традиционные рабочие процессы на основе кода. Он может обрабатывать статистику и эвристику для вывода поведения. А с добавлением генеративного ИИ он теперь может анализировать корреляционные связи, семантику и даже "проверять факты" в собственном выводе».
Преодоление проблем с качеством данных в АСУ ТП
Одной из главных преград для ИИ в АСУ ТП остается сбор качественных, размеченных наборов данных (labeled datasets).
Ограниченная связность и legacy-системы: Многие OT-системы спроектированы с минимальным доступом к внешним сетям для повышения надежности. В устаревших ПЛК и SCADA-системах часто отсутствует стандартизированное логирование, а реальные инциденты редки, из-за чего примеры атак (для обучения моделей) находятся в дефиците.
Дефицит вычислительных мощностей: Большинство OT-устройств оптимизированы под конкретные технологические задачи и не обладают ресурсами для обработки тяжелых ML-алгоритмов на местах.
Конфиденциальность: Владельцы промышленных активов не хотят (и не должны) раскрывать свои чувствительные данные для обучения общих моделей ИИ.
Как это решается?
Unsupervised ML: Как отметил представитель Darktrace, алгоритмы без учителя не требуют предварительно размеченных данных, обучаясь «на лету» на сыром трафике.
Гибридная архитектура и Edge Computing: Развертывание пограничных вычислительных устройств (edge-устройств) с мощными процессорами позволяет предварительно обрабатывать данные локально (как в фреймворке Morpheus от NVIDIA), прежде чем отправлять их в центральные системы. Это снижает объем передаваемых данных и решает проблему задержек (latency).
Преодоление проблемы «Грязных данных» в ОТ-средах / Архитектура с воронкой Генеративный ИИ и синтетические данные: По словам Клинта Бодунгена, GenAI предоставляет возможность создания точных синтетических данных для обучения моделей, не компрометируя реальные конфиденциальные логи предприятий.
Архитектура ИИ-защиты промышленных сетей / Diagnostic Matrix
Заключение
Интеграция искусственного интеллекта в АСУ ТП — это уже не концепт, а реальность, с которой сталкиваются инженеры и безопасники. Переход от статичных правил к динамическому анализу поведения позволяет не только быстрее выявлять сложные кибератаки, но и предсказывать выходы оборудования из строя. Внедрение LLM-агентов, способных понимать специфику промышленных протоколов и логов, открывает новые горизонты для автоматизации рутинных задач аудита и мониторинга, делая предприятия по-настоящему устойчивыми.