Difesa con Intelligenza Artificiale da Attacchi a Dispositivi Energetici e Monitoraggio Avanzato

DIADEMA

La piattaforma di anomaly detection basata su AI e Machine Learning è stata sviluppata per rilevare in modo tempestivo attacchi informatici nelle infrastrutture energetiche critiche, analizzando continuamente il traffico di rete per individuare comportamenti anomali. Grazie a un’architettura modulare e all’integrazione di strumenti come Nozomi Guardian, ELK stack e modelli AI avanzati (tra cui T-GAN), la piattaforma è in grado di operare anche in assenza di dati reali etichettati. Testata con successo su infrastrutture reali, ha dimostrato la capacità di intercettare minacce simulate in tempo reale, contribuendo a rafforzare la sicurezza e la resilienza delle reti monitorate.

Schema di esempio per prodotto

La piattaforma di anomaly detection basata su Intelligenza Artificiale (AI) e Machine Learning (ML) è stata sviluppata per il rilevamento tempestivo di attacchi informatici nelle infrastrutture energetiche critiche. Il sistema sfrutta algoritmi avanzati per analizzare in modo continuo il traffico di rete, individuando comportamenti anomali che possono indicare potenziali intrusioni o minacce informatiche. La piattaforma ha un’architettura modulare e integra una varietà di strumenti specializzati:

  • Tshark per la cattura dei pacchetti di rete;
  • Nozomi Guardian, dedicato al monitoraggio delle reti industriali (OT);
  • Agenti SNMP e Syslog per la raccolta di dati da dispositivi e sistemi distribuiti;
  • Lo stack ELK (Elasticsearch, Logstash, Kibana), per l’analisi, la gestione e la visualizzazione dei log;
  • Moduli di detection basati su AI.
La piattaforma permette di utilizzare moduli software basati su modelli generativi avanzati, come le Time-series Generative Adversarial Networks (T-GAN), per la generazione di dati sintetici realistici, utili per l’addestramento e la validazione dei modelli in assenza di dati reali sufficienti o etichettati. La piattaforma è stata sperimentata in due contesti reali:
  • un’infrastruttura di ricarica per veicoli elettrici
  • la test facility DER di RSE per la gestione di risorse energetiche distribuite
In entrambi i casi, sono stati raccolti dati estratti dal traffico OT, addestrati modelli AI per il rilevamento di anomalie, che sono poi stati testati con successo su un set di scenari di attacco simulati. I risultati hanno dimostrato la capacità della piattaforma di intercettare attività sospette in tempo reale relative alle minacce emulate, contribuendo così ad aumentare la resilienza e la sicurezza delle infrastrutture monitorate.

La piattaforma di anomaly detection è particolarmente utile per gli operatori di infrastrutture critiche, come le reti elettriche che connettono generazione distribuita e le infrastrutture di ricarica di veicoli elettrici. Gli utilizzatori principali includono gli analisti di cybersecurity, che possono utilizzare la piattaforma per monitorare le reti in tempo reale e rilevare tempestivamente eventuali attacchi. Inoltre, la piattaforma può essere integrata con strumenti di simulazione ed emulazione per analizzare scenari di attacco complessi e valutare l'efficacia delle contromisure implementate. A supporto della piattaforma, il tool SecuriDN permette di modellare l’architettura del sistema e generare grafi di attacco e modelli predittivi basati su reti bayesiane dinamiche, integrabili nel sistema di rilevamento. È inoltre possibile generare dati sintetici, utili per l’addestramento dei modelli in condizioni di dati reali limitati. Grazie alla sua modularità e flessibilità, la piattaforma può essere estesa e aggiornata secondo l’evoluzione delle tecniche di attacco e relative misure di detection. Inoltre, può essere adattata a diversi contesti operativi, offrendo un supporto prezioso nella gestione della sicurezza delle infrastrutture energetiche digitalizzate.