Miljoenen mensen zouden plotseling elektriciteit kunnen verliezen als een ransomware-aanval de energiestroom naar het Amerikaanse elektriciteitsnet slechts lichtjes zou veranderen.

Geen enkel energiebedrijf heeft genoeg middelen om het hele netwerk te beschermen, maar misschien zouden alle 3.000 nutsbedrijven van het netwerk de meest cruciale beveiligingslacunes kunnen opvullen als er een kaart zou zijn die aangeeft waar hun beveiligingsinvesteringen prioriteit moeten krijgen.

Onderzoekers van Purdue University hebben een algoritme ontwikkeld om die kaart te maken. Met behulp van deze tool kunnen regelgevende instanties of cyberverzekeringsmaatschappijen een raamwerk opzetten dat de beveiligingsinvesteringen van energiebedrijven leidt naar delen van het elektriciteitsnet met het grootste risico op een black-out als ze worden gehackt.

Elektriciteitsnetten zijn een soort kritieke infrastructuur. Elk netwerk, of het nu fysiek is, zoals watersystemen of virtueel, zoals het bijhouden van gegevens in de gezondheidszorg, wordt als essentieel beschouwd voor de functie en veiligheid van een land. De grootste ransomware-aanvallen in de geschiedenis hebben het afgelopen jaar plaatsgevonden, waarbij de meeste sectoren van kritieke infrastructuur in de VS zijn getroffen, zoals graandistributiesystemen in de voedsel- en landbouwsector en de koloniale pijpleiding, die brandstof door de oostkust vervoert.

Met deze trend in het achterhoofd evalueerden Purdue-onderzoekers het algoritme in de context van verschillende soorten kritieke infrastructuur naast de energiesector. Het doel is dat het algoritme elk groot en complex infrastructuursysteem zou helpen beveiligen tegen cyberaanvallen.

"Meerdere bedrijven bezitten verschillende delen van de infrastructuur. Wanneer ransomware toeslaat, heeft dit invloed op veel verschillende stukjes technologie die eigendom zijn van verschillende providers, dus dat maakt ransomware een probleem op staats-, nationaal en zelfs wereldwijd niveau", zegt Saurabh Bagchi, een professor in de Elmore Family School of Electrical and Computer Engineering en Centre for Education and Research in Information Assurance and Security bij Purdue. "Als u beveiligingsgeld investeert in grootschalige infrastructuren, kunnen slechte investeringsbeslissingen ertoe leiden dat uw elektriciteitsnet uitvalt of uw telecommunicatienetwerk een paar dagen uitvalt."

Infrastructuur beschermen tegen hacks door betere investeringsbeslissingen te nemen

De onderzoekers testten het algoritme in simulaties van eerder gerapporteerde hacks op vier infrastructuursystemen:een smart grid, industrieel controlesysteem, e-commerceplatform en webgebaseerd telecommunicatienetwerk. Ze ontdekten dat het gebruik van dit algoritme resulteert in de meest optimale toewijzing van beveiligingsinvesteringen om de impact van een cyberaanval te verminderen.

De bevindingen van het team verschijnen in een paper dat dit jaar werd gepresenteerd op het IEEE Symposium on Security and Privacy , de belangrijkste conferentie op het gebied van computerbeveiliging. Het team bestaat uit Purdue-hoogleraren Shreyas Sundaram en Timothy Cason en voormalig Ph.D. studenten Mustafa Abdallah en Daniel Woods.

"Niemand heeft een oneindig beveiligingsbudget. U moet beslissen hoeveel u in elk van uw activa wilt investeren, zodat u een boost krijgt in de beveiliging van het totale systeem", zei Bagchi.

Het elektriciteitsnet is bijvoorbeeld zo met elkaar verbonden dat de beveiligingsbeslissingen van het ene elektriciteitsbedrijf grote gevolgen kunnen hebben voor de activiteiten van andere elektriciteitscentrales. Als de computers die de generatoren van het ene gebied besturen, niet voldoende beveiligingsbescherming hebben, zou een hack op die computers de energiestroom naar de generatoren van een ander gebied verstoren, waardoor ze gedwongen worden uit te schakelen.

Aangezien niet alle nutsvoorzieningen van het netwerk hetzelfde beveiligingsbudget hebben, kan het moeilijk zijn om ervoor te zorgen dat kritieke toegangspunten tot de bedieningselementen van het net de meeste investeringen in beveiligingsbescherming krijgen.

Het algoritme dat Purdue-onderzoekers ontwikkelden, zou elke beslisser op het gebied van beveiliging ertoe aanzetten om beveiligingsinvesteringen zo toe te wijzen dat de cumulatieve schade die een ransomware-aanval zou kunnen veroorzaken, wordt beperkt. Een aanval op een enkele generator zou bijvoorbeeld minder impact hebben dan een aanval op de besturing van een netwerk van generatoren. Energiebedrijven zouden gestimuleerd worden om meer te investeren in veiligheidsmaatregelen voor de controle over een netwerk van generatoren in plaats van in de bescherming van een enkele generator.

Een algoritme bouwen dat rekening houdt met de effecten van menselijk gedrag

Het onderzoek van Bagchi laat zien hoe cyberbeveiliging kan worden verbeterd op manieren die de onderling verbonden aard van kritieke infrastructuur aanpakken, maar waarvoor geen revisie van het hele infrastructuursysteem nodig is om te worden geïmplementeerd.

Als directeur van Purdue's Center for Resilient Infrastructures, Systems, and Processes heeft Bagchi samengewerkt met het Amerikaanse ministerie van Defensie, Northrop Grumman Corp., Intel Corp., Adobe Inc., Google LLC en IBM Corp. om oplossingen uit zijn onderzoek over te nemen. Het werk van Bagchi heeft de voordelen onthuld van het instellen van een automatische reactie op aanvallen en heeft geleid tot belangrijke innovaties tegen ransomware-bedreigingen, zoals effectievere manieren om beslissingen te nemen over het maken van back-ups van gegevens.

Er is een dwingende reden waarom het stimuleren van goede beveiligingsbeslissingen zou werken, zei Bagchi. Hij en zijn team ontwierpen het algoritme op basis van bevindingen uit de gedragseconomie, die bestudeert hoe mensen beslissingen nemen met geld.

"Vóór ons werk was er niet veel computerbeveiligingsonderzoek gedaan naar hoe gedragingen en vooroordelen de beste verdedigingsmechanismen in een systeem beïnvloeden. Dat komt deels omdat mensen slecht zijn in het evalueren van risico's en een algoritme geen menselijke vooroordelen heeft," zei Bagchi. . "Maar voor elk systeem met een redelijke complexiteit, worden beslissingen over beveiligingsinvesteringen bijna altijd gemaakt met mensen in de lus. Voor ons algoritme houden we expliciet rekening met het feit dat verschillende deelnemers aan een infrastructuursysteem verschillende vooroordelen hebben."

Om het algoritme te ontwikkelen, begon het team van Bagchi met het spelen van een spel. Ze voerden een reeks experimenten uit en analyseerden hoe groepen studenten ervoor kozen om nep-activa te beschermen met nep-investeringen. Net als in eerdere onderzoeken naar gedragseconomie, ontdekten ze dat de meeste deelnemers aan het onderzoek slecht raadden welke activa het meest waardevol waren en beschermd moesten worden tegen beveiligingsaanvallen. De meeste deelnemers aan het onderzoek hadden ook de neiging om hun investeringen te spreiden in plaats van ze toe te wijzen aan één asset, zelfs als hen werd verteld welk asset het meest kwetsbaar is voor een aanval.

Met behulp van deze bevindingen ontwierpen de onderzoekers een algoritme dat op twee manieren zou kunnen werken:ofwel betalen beslissers op het gebied van beveiliging een belasting of boete wanneer ze beslissingen nemen die niet optimaal zijn voor de algehele beveiliging van het systeem, of beslissers op het gebied van beveiliging ontvangen een betaling voor investeringen op de meest optimale manier.

"Op dit moment worden boetes opgelegd als reactieve maatregel als er een beveiligingsincident is. Boetes of belastingen hebben geen enkele relatie met de beveiligingsinvesteringen of gegevens van de verschillende operators in kritieke infrastructuur", zei Bagchi.

In de simulaties van de onderzoekers van echte infrastructuursystemen heeft het algoritme met succes de kans geminimaliseerd dat activa verloren gaan door een aanval die de algehele veiligheid van het infrastructuursysteem zou verminderen.

Het onderzoek is gepubliceerd in de procedures van het 2022 IEEE Symposium on Security and Privacy (SP) . + Verder verkennen

Nieuwe beveiligingstechnologie controleert stroomverbruik op waarschuwingssignalen van cyberaanvallen