人工智能在 ICS 网络安全领域尚处于早期阶段

谷歌开发的虚拟助手在去年首次亮相时引起了轰动因为打电话给餐厅进行预订时，这听起来与人类没有区别。 “嗨，我想为星期三预订一张桌子，第七个，”谷歌双工演示中礼貌的男声说道。 “七个人？”电话那头的女人问，显然是误会了。 “这是四个人用的，”虚拟助理反驳道，用一个听起来很自然的“嗯”开头。

Google Duplex 的例子是人工智能当前状态的缩影。 Duplex 系统现已在美国 43 个州为 Google Pixel 手机用户提供，令人印象深刻，但也让人想起技术限制。虽然 Duplex 可能听起来像人类一样怪异，但它的技能集相当限于相当常规的互动。相比之下，IBM 的 Project Debater 在抽象方面更加流畅。它可以让熟练的人类辩论者在制定论点方面大赚一笔，但它以平淡的机器人声音来表达自己的观点。 Duplex 和 Project Debater 的例子也让人想起最成功的人工智能是拥有大量预算和数据集的庞然大物科技公司的产品，以及大量员工。即便如此，顶级公司也警告该技术可能会失火。 “人工智能算法可能存在缺陷，”微软最近提交的一份监管文件中写道。 “数据集可能不足或包含有偏见的信息。不恰当或有争议的数据实践 [...] 可能会影响人工智能解决方案的接受度。”

[ 物联网世界 是工业企业发现物联网创新的地方。预订您的 会议通行证 节省 350 美元，获得一个 免费展会通行证 ，或见 工业物联网演讲者 在活动中。]

然而，人工智能的通用营销宣传是，该技术是解决现代商业问题的潜在灵丹妙药——能够帮助企业和工业公司理解海量数据（包括来自 IIoT 设备的数据），同时帮助他们提高工业的安全性。控制系统。 “工业分析应用于机器数据以获得运营洞察力，是推动 OT 和 IT 融合的引擎，并最终为第四次工业革命创造价值，”来自工业物联网分析框架的部分介绍读到工业互联网联盟。

当被问及人工智能在 ICS 网络安全方面的潜力时，PAS Global 的 CISO 网络安全专家 Jason Haward-Grau 表示，“从人工智能的角度来看，机器人流程自动化可能比人工智能在安全方面更有趣，”指的是业务流程自动化技术，可以减少人工参与采购等任务的需要。

然而，供应商的格局中充满了为几乎所有可以想象的问题提供 AI 产品的公司。 “如果你问任何人：‘你有人工智能吗？’他们总会说‘有。’”Haward-Grau 说。 “但要定义它是什么。问这个问题：‘如果人工智能是答案，那么问题是什么？’因为你最好开始问：‘我的企业需要什么？’”

威胁级别在 ICS 网络安全中很重要。根据卡巴斯基 2018 年的研究，在 321 名工业受访者中，共有 49% 每年至少遭受一次攻击。 Haward-Grau 说，实际数字可能更高，因为上述数字代表了组织愿意承认已经发生的攻击。<​​/P>

目前，AI 一词以多种方式使用，该术语的定义看起来很哲学，因为它仍然难以用具体术语来理解智能是什么。 “从工程的角度来看，很难定义‘智能’，”技术作家 Jaron Lanier 在 2016 年关于人工智能的辩论中说。 “如果你没有定义一个可衡量的基线，你就进入了幻想世界。”他还补充说：“很多我们称之为‘智能’系统的系统都与经验过程脱轨了。”

人工智能系统的一个拟议用例，或者更准确地说是机器学习，是用于检测网络上的恶意软件或异常情况。如果您对网络应该如何运行有一个基准，并且拥有健全的机器学习算法和足够的数据访问权限，那么该技术可以强大地快速检测网络威胁，并且随着时间的推移，可能会减少潜在可疑代码或网络的误报数量行为。鉴于更广泛的网络安全行业正在努力解决人才严重短缺的问题，这是一个很大的承诺。

但为了使其成功，机器学习系统需要能够访问相关数据。如果企业正在做一些人工智能系统不知道的事情，你可能会遇到问题——以误报的形式。或者，设计用于调查软件代码的监督学习系统接受了不良数据的训练，导致算法可能将恶意软件视为正常。此外，攻击者还可以修改安全供应商的软件，将恶意软件作为普通代码进行传递。技术评论文章中提到的另一种可能性是，攻击者只需找出机器学习模型用于识别恶意软件的功能，然后将其从自己的恶意代码中删除。

在工业环境中，很难从非面向 IT 网络或不使用 IT TCP/IP 协议的设备中编织数据。 “人工智能如何在 25 岁的控制总线上工作？” “哈沃德-格劳问道。

为了举例说明在工业环境中启动大规模物联网项目的潜在困难，Haward-Grau 举了一个炼油厂的例子，该炼油厂拥有 500 台传统 IT 设备，如物理工作站、HMI、服务器和交换机。 “这是可控的。这就像一个小办​​公室。我可以围绕它进行网络跟踪，”他说。但是当安全负责人询问炼油厂有多少个 OT 端点时，答案是 28,500。总的来说，虽然人工智能的优势之一是它可以理解以快速生成的大量不同数据的潜力，但实际上，理解复杂的、历史上孤立的数据仍然具有挑战性。 Haward-Grau 说，“挑战不在于端点的数量”。 “拥有 20 家不同的供应商是一项挑战。假设我有来自 ABB、施耐德电气、西门子、横河电机、飞利浦、通用电气和霍尼韦尔的设备，”他说。 “他们都是不同的，他们会以不同的方式说话。那么，您将如何首先翻译所有这些不同的东西，然后回答这个问题：‘什么是好的？’”Haward-Grau 问道。

再加上网络安全立场的转变，从公司被攻破只是时间问题到你的公司已经被攻破的假设，理解良好网络行为是什么样子的复杂性变得更加艰巨。一项由 IBM 支持的 2018 年研究发现，企业公司平均需要 197 天才能识别出违规行为。对于希望在复杂的网络拓扑结构上训练机器学习模型的组织而言，这是个坏消息。

所有这一切并不是说人工智能在 ICS 网络安全方面没有相当大的潜力，只是希望部署该技术的工业公司应该从最初数据复杂性有限的定义用例开始。正如 E. F. Schumacher 曾经写道：“任何聪明的傻瓜都能把事情变得更大、更复杂、更暴力。这需要一点点天才——以及向相反方向前进的巨大勇气。”