文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

OT系统如何应对生成式AI带来的安全挑战?

2024-11-30 01:43

关注

在现代网络战中,真正新颖和有创意的方式非常罕见。一个值得注意的例子是Stuxnet恶意软件,这是一种自主蠕虫,它破坏了伊朗用于加工铀的机器。还有在2015年和2016年针对乌克兰变电站的网络攻击中所部署的BlackEnergy和Industrioyer恶意软件,导致了大停电。这些事态发展突显了网络威胁演变的性质,一些攻击开始在现实世界中造成物理后果。最近,由于网络攻击,Clorox产品出现短缺。

还有另一个数据:我们见证了因网络攻击而对工业和关键基础设施造成物理损害的案例显著增加。自2020年以来,此类攻击频率每年翻一番,与前十年仅有15起攻击形成鲜明对比。然而,这些物理影响通常不是来自创新的攻击,而是来自于使物理过程中不可或缺的机器丧失功能的通用加密技术。

具有物理后果的攻击:2023年威胁报告–OT网络攻击及其物理后果。

生成式AI如何改变攻击

在电影小说中,我们经常看到人工智能执行令人印象深刻的任务,从操纵红绿灯到加速火车速度。这其中的大部分是为人类而虚构的,是娱乐而非现实,所以我们知道当网络安全崩溃时,我们能够想到什么。如果人工智能完全控制环境中的网络,比如建筑管理系统,它能做些什么?

为了探索这一点,我们与一个生成式AI模型进行了对话,讨论了一个假设的水处理厂可能发生的攻击场景,该厂配备了工业控制和通用部署。虽然它的许多反应在意料之中,但有些反应非常准确,比如注入虚假数据。问题是,一旦攻击者对他们希望实现的影响有了基本的想法,他们就可以利用生成式AI作为研究助手,以非常有效的方式进一步开发。

对于工业系统的攻击带来的潜在危害,来自ChatGPT的回复如下:

1.基础设施损坏:

2.运营中断:

著名网络安全专家Robert M.Lee在其开创性论文《工业控制系统网络杀伤链》中,详细描述了运营技术网络攻击阶段。在这篇论文中,他将对工业控制系统的攻击分为两个不同的阶段。第一阶段与熟悉的信息技术(IT)攻击方法密切相关,并在更专业的第二阶段达到高潮,这是专门针对OT入侵的。

ICS杀伤链示例:第1阶段为蓝色,第2阶段为黄色。图片来源:WATERFALL SECURITY

生成式AI显著改变了最初的妥协阶段,该阶段主要针对人类的脆弱性。这包括从语音克隆到精心制作有说服力的钓鱼电子邮件等各种策略。然而,进攻性AI真正未开发的潜力出现在第二阶段。

在这些OT场景中,攻击者经常遇到设计适合不同运营环境的有效攻击手段的挑战,尤其是那些需要协调可编程逻辑控制器(PLC)和其它适合特定物理过程服务器的有效攻击。虽然许多攻击者可以绕过传统防御,但在遇到水处理或制造等专业领域时,他们往往会功亏一篑。

生成式AI有希望重塑这一动态,为攻击者提供生产复杂、自适应有效攻击方法的能力。这可能包括能损坏机器或危及人类生命的代码。在李的论文中,“低置信度设备效应”等行为将从难以执行转变为相对简单。从本质上讲,由于生成式人工智能,第二阶段攻击规模的整个格局发生了根本性的变化。

安全工程是我们对抗AI的新安全网吗?

AI的民主化将使防御系统错误配置和证书被盗变得更为复杂。在OT中系统,第二阶段的风险甚至更高。加密文件与销毁机器有很大不同。传统的防御系统很容易被绕过,可能无法应对这些新出现的威胁。当然,也不是完全没有希望。

工程专业拥有强大的工具来抵消AI带来的OT网络风险。例如,机械过压阀可以防止压力容器爆炸。由于这些系统没有CPU,它们不会受到黑客的攻击。类似地,扭矩限制离合器可以保护涡轮机免受损坏,单向网关利用光学系统,防止攻击信息在某个方向上通过。这些工具由于缺乏IT安全对应工具而经常被忽视,但一切都在变化,可能它们很快就会变得不可或缺。

随着AI的不断发展,IT与OT系统的融合,再加上创造可能危及人类安全或关键基础设施的富有想象力的有效攻击,工业企业需要万无一失的防御措施。这些基于物理元素的防御措施,即使是最先进的AI也无法攻击,可以确保我们在日益数字化的世界中保持安全。也许,在未来的几年里,它们甚至可以阻止最先进的AI系统。

来源:控制工程网内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯