Saurabh Bagchi, un professore di Purdue di ingegneria elettrica e informatica, sviluppa modi per migliorare la sicurezza informatica delle reti elettriche e di altre infrastrutture critiche. Credito:Purdue University/Vincent Walter
Milioni di persone potrebbero perdere improvvisamente elettricità se un attacco ransomware modificasse leggermente il flusso di energia sulla rete elettrica degli Stati Uniti.
Nessuna singola società di servizi energetici ha risorse sufficienti per proteggere l'intera rete, ma forse tutte le 3.000 società di servizi di rete potrebbero colmare le lacune di sicurezza più cruciali se ci fosse una mappa che mostra dove dare la priorità ai propri investimenti in sicurezza.
I ricercatori della Purdue University hanno sviluppato un algoritmo per creare quella mappa. Utilizzando questo strumento, le autorità di regolamentazione o le compagnie di assicurazione informatica potrebbero stabilire un quadro che guida gli investimenti in sicurezza delle società di servizi energetici verso le parti della rete a maggior rischio di causare un blackout se violate.
Le reti elettriche sono un tipo di infrastruttura critica, che è qualsiasi rete, fisica come i sistemi idrici o virtuale come la tenuta dei registri sanitari, considerata essenziale per il funzionamento e la sicurezza di un paese. I più grandi attacchi ransomware della storia si sono verificati nell'ultimo anno, colpendo la maggior parte dei settori delle infrastrutture critiche negli Stati Uniti, come i sistemi di distribuzione del grano nel settore alimentare e agricolo e il Colonial Pipeline, che trasporta carburante in tutta la costa orientale.
Tenendo presente questa tendenza, i ricercatori di Purdue hanno valutato l'algoritmo nel contesto di vari tipi di infrastrutture critiche oltre al settore energetico. L'obiettivo è che l'algoritmo aiuti a proteggere qualsiasi sistema infrastrutturale grande e complesso dagli attacchi informatici.
"Più aziende possiedono parti diverse dell'infrastruttura. Quando il ransomware colpisce, colpisce molti componenti diversi della tecnologia di proprietà di diversi fornitori, quindi è ciò che rende il ransomware un problema a livello statale, nazionale e persino globale", ha affermato Saurabh Bagchi, un professore presso la Elmore Family School of Electrical and Computer Engineering e il Center for Education and Research in Information Assurance and Security a Purdue. "Quando investi denaro per la sicurezza in infrastrutture su larga scala, decisioni di investimento sbagliate possono significare che la tua rete elettrica si interrompe o la tua rete di telecomunicazioni si interrompe per alcuni giorni."
Protezione dell'infrastruttura dagli hack migliorando le decisioni di investimento in sicurezza
I ricercatori hanno testato l'algoritmo in simulazioni di hack segnalati in precedenza a quattro sistemi infrastrutturali:una rete intelligente, un sistema di controllo industriale, una piattaforma di e-commerce e una rete di telecomunicazioni basata sul web. Hanno scoperto che l'uso di questo algoritmo si traduce nell'allocazione ottimale degli investimenti in sicurezza per ridurre l'impatto di un attacco informatico.
I risultati del team compaiono in un documento presentato al IEEE Symposium on Security and Privacy di quest'anno , la conferenza più importante nel settore della sicurezza informatica. Il team comprende i professori di Purdue Shreyas Sundaram e Timothy Cason ed ex dottorandi. studenti Mustafa Abdallah e Daniel Woods.
"Nessuno ha un budget di sicurezza infinito. Devi decidere quanto investire in ciascuna delle tue risorse in modo da ottenere un aumento della sicurezza dell'intero sistema", ha affermato Bagchi.
La rete elettrica, ad esempio, è così interconnessa che le decisioni di sicurezza di una società di servizi energetici possono avere un forte impatto sul funzionamento di altri impianti elettrici. Se i computer che controllano i generatori di un'area non dispongono di un'adeguata protezione di sicurezza, un attacco a quei computer interromperebbe il flusso di energia ai generatori di un'altra area, costringendoli a spegnersi.
Poiché non tutte le utenze della rete hanno lo stesso budget di sicurezza, può essere difficile garantire che i punti critici di accesso ai controlli della rete ottengano il massimo investimento nella protezione della sicurezza.
L'algoritmo sviluppato dai ricercatori di Purdue incentiverebbe ogni decisore di sicurezza ad allocare gli investimenti di sicurezza in modo da limitare il danno cumulativo che potrebbe causare un attacco ransomware. Un attacco a un singolo generatore, ad esempio, avrebbe un impatto minore rispetto a un attacco ai controlli di una rete di generatori. Le società di servizi energetici sarebbero incentivate a investire di più in misure di sicurezza per i controlli su una rete di generatori piuttosto che per la protezione di un singolo generatore.
Costruire un algoritmo che consideri gli effetti del comportamento umano
La ricerca di Bagchi mostra come aumentare la sicurezza informatica in modi che affrontino la natura interconnessa delle infrastrutture critiche ma non richiedano una revisione dell'intero sistema infrastrutturale per essere implementata.
In qualità di direttore del Center for Resilient Infrastructures, Systems, and Processes di Purdue, Bagchi ha collaborato con il Dipartimento della Difesa degli Stati Uniti, Northrop Grumman Corp., Intel Corp., Adobe Inc., Google LLC e IBM Corp. sull'adozione di soluzioni dalla sua ricerca. Il lavoro di Bagchi ha rivelato i vantaggi di stabilire una risposta automatica agli attacchi e ha portato a innovazioni chiave contro le minacce ransomware, come modi più efficaci per prendere decisioni sul backup dei dati.
C'è una ragione convincente per cui incentivare buone decisioni di sicurezza funzionerebbe, ha detto Bagchi. Lui e il suo team hanno progettato l'algoritmo sulla base dei risultati del campo dell'economia comportamentale, che studia come le persone prendono decisioni con il denaro.
"Prima del nostro lavoro, non erano state fatte molte ricerche sulla sicurezza informatica su come comportamenti e pregiudizi influenzano i migliori meccanismi di difesa in un sistema. Ciò è in parte dovuto al fatto che gli esseri umani sono terribili nel valutare il rischio e un algoritmo non ha pregiudizi umani", ha detto Bagchi . "Ma per qualsiasi sistema di ragionevole complessità, le decisioni sugli investimenti in sicurezza vengono quasi sempre prese con gli esseri umani coinvolti. Per il nostro algoritmo, consideriamo esplicitamente il fatto che partecipanti diversi a un sistema infrastrutturale hanno pregiudizi diversi."
Per sviluppare l'algoritmo, la squadra di Bagchi ha iniziato giocando un gioco. Hanno condotto una serie di esperimenti analizzando come gruppi di studenti hanno scelto di proteggere le risorse false con investimenti falsi. Come negli studi precedenti sull'economia comportamentale, hanno scoperto che la maggior parte dei partecipanti allo studio ha intuito male quali risorse fossero le più preziose e dovrebbero essere protette dagli attacchi alla sicurezza. La maggior parte dei partecipanti allo studio tendeva anche a distribuire i propri investimenti invece di assegnarli a una risorsa anche quando veniva loro detto quale fosse la risorsa più vulnerabile a un attacco.
Utilizzando questi risultati, i ricercatori hanno progettato un algoritmo che potrebbe funzionare in due modi:o i responsabili delle decisioni sulla sicurezza pagano una tassa o una multa quando prendono decisioni non ottimali per la sicurezza generale del sistema, oppure i responsabili delle decisioni sulla sicurezza ricevono un pagamento per l'investimento nel modo più ottimale.
"In questo momento, le multe vengono riscosse come misura reattiva in caso di incidente di sicurezza. Le multe o le tasse non hanno alcuna relazione con gli investimenti in sicurezza o con i dati dei diversi operatori nelle infrastrutture critiche", ha affermato Bagchi.
Nelle simulazioni dei ricercatori dei sistemi infrastrutturali del mondo reale, l'algoritmo ha ridotto al minimo con successo la probabilità di perdere risorse a causa di un attacco che avrebbe ridotto la sicurezza generale del sistema infrastrutturale.
La ricerca è stata pubblicata negli atti del 2022 IEEE Symposium on Security and Privacy (SP) . + Esplora ulteriormente