Исследователи используют тот же принцип для идентификации устройств в сетях управления электрическими сетями, используя их уникальные электронные «голоса» — отпечатки пальцев, создаваемые индивидуальными физическими характеристиками устройств, — чтобы определить, какие сигналы являются допустимыми, а какие могут исходить от злоумышленников. Аналогичный подход может также использоваться для защиты сетевых систем управления производством на нефте- и газоперерабатывающих заводах, производственных объектах, очистных сооружениях и других критических промышленных системах.Исследование, о котором было объявлено 23 февраля на симпозиуме по безопасности сетей и распределенных систем в Сан-Диего, было частично поддержано Национальным научным фондом (NSF). Хотя снятие отпечатков пальцев с устройства само по себе не является полным решением, этот метод может помочь решить уникальные проблемы безопасности электросети и других киберфизических систем.
Подход успешно апробирован на двух электрических подстанциях.«Мы разработали методы снятия отпечатков пальцев, которые работают вместе для защиты различных операций энергосистемы, чтобы предотвратить или свести к минимуму подделку пакетов, которые могут быть введены для получения ложных данных или ложных команд управления в систему», — сказал Рахим Бейя, доцент кафедры Школа электротехники и вычислительной техники Технологического института Джорджии. «Это первый метод, который может пассивно идентифицировать различные устройства, входящие в состав критически важных инфраструктурных сетей. Мы считаем, что его можно использовать для значительного повышения безопасности энергосистемы и других сетей».Сетевые системы, управляющие электросетью США и другими промышленными системами, часто не имеют возможности запускать современные системы шифрования и аутентификации, а унаследованные системы, подключенные к ним, никогда не были предназначены для сетевой безопасности.
Поскольку они распространены по всей стране, часто в отдаленных районах, эти системы также трудно обновлять с помощью методов «исправления», распространенных в компьютерных сетях. А в электросети сохранение питания является приоритетом, поэтому безопасность не может привести к задержкам или отключениям.«Ставки чрезвычайно высоки, но системы сильно отличаются от домашних или офисных компьютерных сетей», — сказал Бейя. «Очень важно защитить эти системы от злоумышленников, которые могут ввести ложные данные или выполнить злонамеренные команды».
Бейя, его студенты и коллеги из Школы машиностроения Джорджа В. Вудраффа в Технологическом институте Джорджии приступили к разработке методов безопасности, которые используют преимущества уникальных физических свойств сети и согласованного типа операций, которые в ней происходят.Например, устройства управления, используемые в электросети, выдают сигналы, которые отличаются уникальными физическими конфигурациями и составами. Устройства безопасности, прослушивающие сигналы, проходящие через системы управления энергосистемой, могут различать эти допустимые устройства и сигналы, производимые оборудованием, не являющимся частью системы.
В другом аспекте работы используется простая физика. Таким устройствам, как автоматические выключатели и системы электрической защиты, можно дать команду на дистанционное размыкание или замыкание, а затем они сообщают о предпринятых действиях. Время, необходимое для размыкания прерывателя или клапана, определяется физическими свойствами устройства.
Бейя объяснила, что если подтверждение приходит слишком быстро после подачи команды — например, меньше времени, чем требуется для открытия выключателя или клапана — система безопасности может заподозрить спуфинг.Чтобы разработать отпечатки пальцев устройства, исследователи, в том числе доцент кафедры машиностроения Джонатан Роджерс, построили компьютерные модели сетевых устройств, чтобы понять, как они работают. Информация для построения моделей поступала из методов «черного ящика» — наблюдения за информацией, которая поступает в систему и из нее — и из методов «белого ящика», которые используют схемы или физический доступ к системам.
«Отпечатки устройства — это уникальная подпись, которая указывает на идентичность конкретного устройства, или типа устройства, или действия, связанного с этим типом устройства», — пояснил Бейя. «Мы можем использовать физику и математику для анализа и построения модели, используя первые принципы, основанные на самих устройствах. Схемы и спецификации позволяют нам определить, как устройства на самом деле работают».Исследователи продемонстрировали эту технику на двух электрических подстанциях и планируют продолжать ее совершенствовать, пока она не станет близкой к 100-процентной точности.
Их текущая методика относится к протоколу, используемому более чем для половины устройств в электрической сети, и будущая работа будет включать изучение применения этого метода к другим протоколам.Поскольку они также включают устройства с измеримыми физическими свойствами, Бейя считает, что этот подход может иметь широкое применение для защиты систем промышленного контроля, используемых в производстве, переработке нефти и газа, очистке сточных вод и других отраслях. Помимо промышленного контроля, этот принцип также может применяться к Интернету вещей (IoT), где контролируемые устройства имеют определенные сигнатуры, связанные с их включением и выключением.
«Все эти устройства IoT будут выполнять физические действия, например включать или выключать кондиционер», — сказал Бейя. «Произойдет физическое действие, подобное тому, что мы изучали с клапанами и приводами».