Промышленные системы управления — ПЛК, SCADA, распределённые системы АСУ ТП — долгое время считались защищёнными самим фактом изоляции от интернета. Но по мере того как OT-среды интегрируются с корпоративными сетями и облаком, периметр исчезает, а традиционные сигнатурные средства защиты оказываются неэффективны: они не знают, как выглядит атака, которую никто ещё не видел.
Сигнатурный подход работает по принципу базы данных известных угроз — антивирус сравнивает файл или пакет с эталоном. В промышленных сетях это создаёт принципиальную проблему: Zero-day эксплойты, нацеленные на конкретный тип контроллера или протокол, в базе просто отсутствуют. Именно поэтому отрасль переходит к поведенческой аналитике на основе машинного обучения — системы не ищут «плохой» паттерн, а строят модель нормы и реагируют на отклонения от неё.
Архитектор платформ кибербезопасности NVIDIA Офир Аркин указывает на специфическое преимущество OT-данных: телеметрия промышленных устройств содержит команды, отправляемые на оборудование, что позволяет сравнивать устройства одного типа между собой. Если один контроллер получает команды, нетипичные для своего класса, — это сигнал. Аркин отмечает, что ценность такого подхода выходит за рамки кибербезопасности и переходит в предиктивное обслуживание: система предупреждает о выходе оборудования из строя до того, как это произошло. NVIDIA также продвигает использование LLM-агентов для анализа журналов событий — специалист задаёт вопрос на естественном языке, и модель сама выбирает нужные записи из потока логов. По данным компании, это сокращает время расследования инцидентов с часов до минут.
Darktrace делает ставку на unsupervised ML — обучение без учителя, не требующее заранее размеченных данных. Архитектор решений Джеффри Макр объясняет: модель изучает уникальные паттерны сетевых коммуникаций каждого устройства и фиксирует тонкие изменения — например, нетипичное поведение ПЛК или аномальный трафик в сегменте сети. Это принципиально отличается от систем на основе правил, которые требуют ручного обновления при появлении новых угроз. Для промышленных сред, где остановка технологического процесса обходится дороже любого расследования, проактивное обнаружение критично.
Armis решает проблему через краудсорсинг данных. Технический директор по OT Карлос Буэнаньо рассказывает, что модели обучаются на исторических данных — метриках производительности, журналах связи, параметрах среды — и постоянно обновляют представление о норме. Если аномалия зафиксирована в одном сегменте сети, информация об этом событии передаётся другим системам в инфраструктуре. Такое кросс-устройственное обучение позволяет предупреждать об угрозе до того, как она распространится.
Основатель ThreatGEN Клинт Бодунген добавляет измерение генеративного ИИ: в отличие от классического сопоставления паттернов, GenAI способен анализировать корреляционные связи и семантику, а также верифицировать собственные выводы. Он же указывает на практическое решение проблемы дефицита обучающих данных — синтетические данные, сгенерированные моделью, позволяют тренировать алгоритмы без раскрытия реальных промышленных логов.
Главные технические барьеры для внедрения ИИ в АСУ ТП остаются системными. Legacy-устройства — устаревшие ПЛК и SCADA — не имеют стандартизированного логирования и вычислительных ресурсов для локального запуска ML-алгоритмов. Реальные инциденты редки, поэтому примеров атак для обучения моделей катастрофически мало. Решением становится гибридная архитектура: edge-устройства с мощными процессорами предварительно обрабатывают данные на месте — NVIDIA продвигает для этого фреймворк Morpheus — и передают уже отфильтрованный поток в центральные системы анализа. Это снижает требования к пропускной способности и решает проблему задержек, критичных для промышленных процессов реального времени.
