1

Uzgadniamy

warunki udanej współpracy: wybieramy obiekt wdrożenia, określamy cel, wybieramy opcję wdrożenia rozwiązania Kaspersky MLAD, tworzymy grupę roboczą i podpisujemy odpowiednie umowy.

2

Analizujemy

budynek wdrożenia: zbieramy dane technologiczne w celu zbudowania modelu ML i wspólnie opracowujemy projekt połączenia z Kaspersky MLAD.

3

Budujemy

model ML i sporządzamy listę anomalii, które będzie wykrywać w dostarczonych danych technologicznych. Konfigurujemy sprzęt.

4

Wdrażamy

Kaspersky MLAD w obiekcie i łączymy go z przepływem danych.

5

Uruchamiamy

rozwiązanie Kaspersky MLAD. Uczymy pracowników klienta obsługi rozwiązania Kaspersky MLAD. Analizujemy anomalie wykryte podczas jego działania i dostosowujemy model ML.

6

Zapewniamy pomoc techniczną

dla rozwiązania Kaspersky MLAD. W ramach odrębnej usługi oferujemy utworzenie nowego modelu ML, jeśli proces technologiczny ulegnie zmianie.

Etap 1. Uzgadniamy warunki udanej współpracy

Wybieramy obiekt wdrożeniowy, określamy cel, wybieramy opcję wdrożenia Kaspersky MLAD, tworzymy grupę roboczą i podpisujemy odpowiednie umowy.

Czy dostępne są niezbędne dane dotyczące obiektu?

Upewnij się, że gromadzisz dane telemetryczne związane z obiektem, który ma zostać zintegrowany z rozwiązaniem Kaspersky MLAD; historię danych telemetrycznych możesz pobrać z bazy danych przemysłowego systemu sterowania ICS w dowolnym formacie (na przykład CSV lub HDF5). Dane historyczne są potrzebne do utworzenia modelu ML.

Do poprawnego działania rozwiązanie Kaspersky MLAD potrzebuje danych telemetrycznych o następujących cechach:
1

Powinny zawierać one wiele parametrów (od 10 do 10 000). Na przykład dane z systemów przemysłowych mogą składać się z odczytów czujników, wartości nastaw czy poleceń siłownika.

2

Parametry powinny mieć wartości liczbowe lub zapewniać możliwość konwersji na nie. Na przykład: zawór zamknięty – 0, otwarty – 1.

3

Wartości parametrów powinny mieć związek z czasem i zmieniać się wraz z jego upływem; czas źródeł telemetrii powinien być zsynchronizowany. Częstotliwość aktualizacji danych powinna wynosić od 100 milisekund do 24 godzin.

4

Wartości różnych parametrów powinny być ze sobą powiązane (przez prawa fizyczne, logikę sterowania, logikę procesu itp.).

5

Wśród parametrów powinny znajdować się te o znaczeniu najbardziej obserwacyjnym oraz takie, które stanowią główną przyczynę wystąpienia anomalii (lub są jak najbliżej niej) zmieniającej różne inne parametry.


Przykład danych akceptowalnych przez rozwiązanie Kaspersky MLAD

Która opcja wdrożenia Kaspersky MLAD jest najbardziej odpowiednia dla Ciebie?

Rozwiązanie Kaspersky MLAD jest zwykle wdrażane lokalnie.

W połączeniu z Kaspersky Industrial CyberSecurity for Networks

W przypadku tej opcji rozwiązanie Kaspersky Industrial CyberSecurity for Networks musi być zainstalowane w obiekcie wdrożenia wraz z Kaspersky MLAD, a ponadto oba rozwiązania muszą być połączone. Kaspersky Industrial CyberSecurity for Networks analizuje zdublowany ruch i wysyła znaczniki do Kaspersky MLAD w trybie online. Następnie Kaspersky MLAD zwraca informacje o wykrytych anomaliach. W tej konfiguracji Kaspersky MLAD odbiera znaczniki za pomocą protokołu gRPC za pośrednictwem złącza Kaspersky Industrial CyberSecurity for Networks.

Instalacja odrębna Kaspersky MLAD

W tym przypadku Kaspersky MLAD jest instalowany jako samodzielne rozwiązanie i używa złącza OPC UA do odbierania danych za pomocą protokołu opisanego w specyfikacji OPC Unified Architecture. W tym celu obiekt wdrożenia musi mieć możliwość przesyłania znaczników z systemu ICS za pośrednictwem protokołu OPC UA w trybie online.

Jeśli standardowe opcje wdrażania nie odpowiadają Twoim wymaganiom, nasi eksperci w dziedzinie integracji Kaspersky MLAD zaproponują inne możliwości. Kaspersky MLAD odbiera i obsługuje dane telemetryczne z urządzeń internetu rzeczy. Ponadto w pakiecie znajduje się też złącze HTTP Connector, którego można użyć do skonfigurowania przekazywania znaczników zgodnie z harmonogramem w formie plików CSV z bazy danych SCADA Historian, przy użyciu protokołu HTTP (na przykład skrypt, który przesyła dane co godzinę lub co minutę).

Kto należy do grupy roboczej?

Aby zaimplementować Kaspersky MLAD, należy powołać grupę roboczą złożoną z ekspertów w dziedzinie integracji Kaspersky MLAD i Twoich specjalistów ds. IT, specjalistów ds. bezpieczeństwa IT, inżynierów procesów i operatorów. Grupa powinna składać się z ekspertów upoważnionych do podejmowania decyzji. Podczas wdrażania Kaspersky Industrial CyberSecurity for Networks ważne jest, aby w grupie znajdowali się eksperci posiadający doświadczenie w zakresie integracji tego rozwiązania.

Kanały komunikacji i poświadczenia bezpieczeństwa

Aby wdrożenie przebiegło pomyślnie, należy ustalić wyraźne kanały komunikacji między członkami grupy roboczej, a także uzgodnić warunki wpuszczania ekspertów ds. integracji Kaspersky MLAD do obiektu wdrożenia. Kanały komunikacyjne muszą obsługiwać przekazywanie dużych ilości danych (na przykład gigabajty danych historycznych z systemu ICS). Eksperci ds. integracji będą potrzebować fizycznego dostępu do serwerów Kaspersky MLAD. Zdalny dostęp do nich za pośrednictwem protokołu SSH przyspieszy wdrażanie.

Umowy

Pierwszy etap obejmuje również podpisanie umowy o zachowaniu poufności (NDA), umowy licencyjnej oraz umowy serwisowej dotyczącej budowy modelu ML.

Etap 2. Badamy obiekt wdrożenia

Gromadzimy dane technologiczne potrzebne do tworzenia modelu ML. Opracowujemy projekt połączenia Kaspersky MLAD.

Gromadzimy dane, aby zbudować model ML

Kaspersky MLAD opiera się na sztucznej sieci neuronowej. Należy wytrenować ją na historycznych danych telemetrycznych uzyskanych z obiektu wdrożenia, a także ustawić jej parametry eksploatacyjne. Przed zbudowaniem modelu ML nasi eksperci ds. integracji Kaspersky MLAD muszą określić kluczowe znaczniki w danych telemetrycznych i przygotować zestaw szkoleniowy. W tym celu muszą spotkać się z inżynierami procesów w obiekcie wdrożenia i otrzymać od nich:

  • Diagramy przepływu w obiekcie rozmieszczenia
  • Listę załadowanych znaczników z opisami, zmapowanych na diagramach przepływu
  • Listę kluczowych znaczników dla procesów technologicznych
  • Historyczne dane telemetryczne (od 1-2 miesięcy do roku)
Opracowujemy i zatwierdzamy projekt połączenia Kaspersky MLAD

Kaspersky MLAD stanowi zestaw kontenerów platformy Docker wdrożony na serwerze (więcej informacji znajduje się w sekcji „Technologie”). Użytkownik ma dostęp do Kaspersky MLAD za pośrednictwem interfejsu internetowego. Na tym etapie określana jest lokalizacja serwera, wybierana jest opcja wdrażania Kaspersky MLAD, a także przygotowywane jest wyposażenie wraz z infrastrukturą obiektu wdrożenia zgodnie z wymaganiami Kaspersky MLAD.

Wymagania dotyczące środowiska sieciowego

W sieci musi znajdować się serwer NTP, który zapewni dokładny czas. Kaspersky MLAD musi mieć do niego dostęp.

Jeśli chcesz otrzymywać powiadomienia o wykryciu anomalii za pośrednictwem poczty e-mail, w sieci musi być zainstalowany serwer SMTP. Kaspersky MLAD musi być w stanie się z nim komunikować.

Jeśli wybierzesz opcję wdrażania Kaspersky MLAD wraz z Kaspersky Industrial CyberSecurity for Networks, podczas instalacji Kaspersky MLAD konieczne będzie określenie pełnej, jednoznacznej nazwy domenowej (ang. Fully Qualified Domain Name, FQDN) serwera, na którym instalowany jest Kaspersky Industrial CyberSecurity for Networks. Serwer ten musi być dostępny z komputera, na którym zainstalowany jest system Kaspersky MLAD.

Jeśli wybierzesz opcję odrębnego wdrożenia Kaspersky MLAD, serwer Kaspersky MLAD musi być w stanie odbierać znaczniki z systemu ICS za pośrednictwem protokołu OPC UA w trybie online.

Minimalne wymagania dotyczące platformy docelowej podczas instalacji Kaspersky MLAD po stronie serwera

Minimalne wymagania sprzętowe:
  • Procesor Intel Xeon E3 v6
  • 32 GB pamięci RAM
  • 2 x 1 TB wolnego miejsca na dysku twardym
Procesor musi obsługiwać następujące rozszerzenia dla biblioteki TensorFlow 1.12.0:
  • Advanced Vector Extensions (avx)
  • Advanced Vector Extensions 2 (avx2)
  • zestaw instrukcji Streaming SIMD Extensions 3 (sse3)
  • zestaw instrukcji Streaming SIMD Extensions 4.1 (sse4_1)
  • zestaw instrukcji Streaming SIMD Extensions 4.2 (sse4_2)
  • instrukcja CMPXCHG16B (cx16)
  • instrukcja POPCNT (popcnt)
  • zestaw instrukcji Fused multiply-add (FMA)
Obsługiwany system operacyjny

Ubuntu 18.04 LTS

Przed wdrożeniem Kaspersky MLAD na serwerze należy zainstalować następujące oprogramowanie:
  • docker-18.09.4-ce lub nowsze
  • docker-compose 1.23.2 lub nowsze

Wymagania dla komputera operatora

Aby korzystać z interfejsu internetowego Kaspersky MLAD, komputer operatora musi spełniać następujące minimalne wymagania:
  • Procesor Intel Core i5-4570
  • 8 GB pamięci RAM
  • przeglądarka Google Chrome 56 lub nowsza
  • Minimalna rozdzielczość monitora dla prawidłowego wyświetlania interfejsu internetowego to 1600×900.

Jeżeli powyższe wymagania dotyczące komputera operatora są spełnione, w sekcji Monitorowanie poprawnie wyświetlane jest do 10 wykresów zawierających prognozy (na przykład dla wstępnie ustawionych 10 znaczników).

Etap 3. Tworzymy model ML do wykrywania anomalii

Budujemy model ML i kompilujemy listę anomalii, które będzie wykrywać w dostarczanych danych technologicznych. Konfigurujemy sprzęt.

Aby utworzyć model ML, nasi eksperci ds. integracji Kaspersky MLAD muszą przygotować zestaw szkoleniowy danych telemetrycznych, który obejmuje filtrowanie szumów, wybranie najważniejszych znaczników do wykrywania anomalii, generowanie reguł skalowania i prezentowanie danych w postaci akceptowanej przez sieć neuronową. W tym momencie identyfikowane są braki w danych telemetrycznych przewidzianych do szkolenia sieci neuronowej. Aby dostarczyć bardziej reprezentatywną próbkę danych, może być potrzebna pomoc od ekspertów.

W trakcie tworzenia modelu ML potrzebna może być także pomoc ze strony inżynierów procesu w celu przeanalizowania anomalii wykrytych przez model ML w próbce danych szkoleniowych.

Na tym etapie oprócz budowania modelu ML sprzęt i infrastruktura są przygotowywane do wdrożenia rozwiązania Kaspersky MLAD.

Etap 4. Wdrażamy Kaspersky MLAD

Wdrażamy serwer Kaspersky MLAD w obiekcie i łączymy go z przepływem danych.

Wdrożenie odbywa się zgodnie z projektem połączenia Kaspersky MLAD. Sieć informacyjna, sprzęt i infrastruktura powinny być przygotowane zgodnie z projektem połączenia Kaspersky MLAD.

W celu pomyślnego wdrożenia nasi eksperci w dziedzinie integracji Kaspersky MLAD muszą mieć fizyczny dostęp do platformy hostingowej serwera. Implementację przyspieszy zdalny dostęp do serwera Kaspersky MLAD za pośrednictwem protokołu SSH.

Na tym etapie niezbędny jest udział zatrudnionych przez klienta inżynierów ds. IT i procesów, którzy pomogą rozwiązać potencjalne problemy z infrastrukturą oraz przechwytywaniem danych telemetrycznych przez Kaspersky MLAD.

Po wdrożeniu rozwiązania Kaspersky MLAD następuje testowanie, po czym system jest podłączany do przepływu telemetrii online.

Etap 5. Uruchamiamy Kaspersky MLAD

Szkolimy pracowników klienta w zakresie obsługi rozwiązania Kaspersky MLAD. Analizujemy anomalie wykryte podczas działania i dostosowujemy model ML.

Na tym etapie tworzymy program testowy dla okresu dostrajania rozwiązania Kaspersky MLAD, uczymy inżynierów procesów i operatorów pracy z systemem i wraz z inżynierami procesów analizujemy wykryte anomalie i przedstawiamy wyniki. Na podstawie wyników analizy dostosowujemy model ML.

Etap 6. Zapewniamy pomoc techniczną dla Kaspersky MLAD

Zapewniamy standardowe wsparcie techniczne. W ramach odrębnej usługi oferujemy budowę nowego modelu ML, jeśli proces technologiczny ulegnie zmianie.

Prace serwisowe i wsparcie Kaspersky MLAD mogą być realizowane zarówno na miejscu, poprzez wizytę ekspertów w dziedzinie integracji Kaspersky MLAD, jak również zdalnie — za pośrednictwem protokołu SSH. Nasi eksperci będą potrzebować dzienników Kaspersky MLAD i wybranych zestawów danych telemetrycznych.

Jeżeli w obiekcie wdrożenia proces technologiczny zostanie znacząco zrestrukturyzowany lub jego tryb działania zostanie zmieniony, może być konieczne zbudowanie nowego modelu ML. Usługa ta jest świadczona oddzielnie.

W przypadku jakichkolwiek pytań dotyczących np. możliwości współpracy skontaktuj się z nami

Kaspersky Lab Polska

ul. Trawiasta 35, 04-607 Warszawa

E-mail

sprzedaz@kaspersky.pl