BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry~5.0 Cyber-Physical Systems

Het artikel introduceert BRIDG-ICS, een door AI-aangedreven kennisgrafiekframework dat heterogene industriële en cybersecuritydata integreert met Large Language Models om contextbewuste dreigingsanalyse en kwantitatieve cyberresilience-beoordeling mogelijk te maken voor Industry 5.0 Cyber-Physical Systems.

De kern

🏭 De Grote Uitdaging: De "Digitale" en "Fysieke" Wereld Vallen Samen

Stel je voor dat een moderne fabriek (zoals in Industrie 5.0) een levend organisme is. Vroeger was deze fabriek een gesloten eiland: de machines (de "fysieke" wereld) draaiden op hun eigen manier en hadden geen contact met de kantoorcomputers (de "digitale" wereld). Er was een onzichtbare muur, een airgap, die hackers buiten hield.

Maar vandaag de dag zijn die muren geslecht. De machines praten nu met de cloud, met smartphones en met kantoorsoftware. Dit maakt de fabriek slimmer en efficiënter, maar het is ook alsof je de voordeur van je huis open hebt gelaten terwijl je de achterdeur ook niet op slot hebt gedaan. Hackers kunnen nu via de "slimme" kantoorcomputers (IT) de fabrieksmachines (OT) binnendringen en echte, fysieke schade aanrichten (zoals het kapotmaken van een robotarm of het verstoren van de waterleiding).

Het probleem? De beveiligingsexperts kijken vaak naar twee verschillende kaarten: één voor de computers en één voor de machines. Ze zien niet hoe een hacker van het ene naar het andere kan springen.

🌉 De Oplossing: BRIDG-ICS (De Brug)

De auteurs van dit paper hebben BRIDG-ICS bedacht. De naam staat voor BRIDge for Industrial Control Systems (De Brug voor Industriële Besturingssystemen).

Je kunt je BRIDG-ICS voorstellen als een super-slimme, interactieve 3D-kaart van de hele fabriek. Maar dit is geen gewone plattegrond; het is een Kennisnetwerk (een "Knowledge Graph").

Hoe werkt deze "Brug"?

1. Het Legpuzzel (De Data):
   Stel je voor dat je duizenden losse puzzelstukjes hebt:

   • Lijsten met bekende softwarefouten (zoals een "foutenboek" voor computers).
   • Beschrijvingen van hoe hackers aanvallen (zoals een "handboek voor criminelen").
   • De specifieke details van jouw fabriek (welke robot staat waar, welke software draait er).
   • Vroeger: Deze stukjes lagen in verschillende dozen en niemand kon ze aan elkaar koppelen.
   • Nu: BRIDG-ICS plakt ze allemaal aan elkaar tot één groot, compleet plaatje.

2. De Slimme Assistent (De AI):
   Het grootste probleem is dat veel informatie in lange, saaie teksten staat (zoals rapporten van hackers of handleidingen). Een mens kan dit niet snel genoeg lezen.

   • De Metafoor: Stel je voor dat je een superleesende robot (een Large Language Model of LLM) hebt. Deze robot leest duizenden rapporten in seconden. Hij haalt de belangrijke namen en verbanden eruit en zegt: "Oh, deze specifieke fout in de software van Siemens kan worden misbruikt met deze specifieke hack-methode, en dat gebeurt vaak op deze robot."
   • De robot vult de gaten in de puzzel in. Waar de kaart vroeger leeg was, tekent de AI nu nieuwe lijntjes tussen de machines en de gevaren.

3. Het Simuleren van een Aanval (De Proef):
   Nu de kaart compleet is, kunnen we simulaties draaien.

   • Vraag: "Wat gebeurt er als een hacker via de e-mailserver van het kantoor de fabriek binnendringt?"
   • Antwoord van BRIDG-ICS: De AI rekent direct uit: "De hacker springt eerst naar de server, dan naar de router, en dan direct naar de kritieke pomp. Het duurt slechts 3 stappen. De kans dat dit lukt is 80%."
   • De "Wat-als" test: Vervolgens zeggen we: "Oké, laten we een extra firewall plaatsen en wachtwoorden veranderen."
   • Nieuw Antwoord: "Nu moet de hacker 6 stappen maken. De kans is gedaald naar 5%. De route is geblokkeerd."

🛡️ Waarom is dit zo belangrijk?

In de oude wereld waren beveiligingsexperts vaak blind voor de verbindingen. Ze wisten dat er een fout was, maar niet welke machine erdoor kon vallen.

Met BRIDG-ICS krijgen ze:

• X-ray zicht: Ze zien niet alleen de machines, maar ook de onzichtbare lijnen van gevaar ertussenin.
• De "Grootste Risico's": De AI kan vertellen: "Let op! Die ene oude computer in de hoek is de sleutel. Als die gekraakt wordt, kan de hacker de hele fabriek stilleggen."
• Slimme Beslissingen: In plaats van overal sloten te plaatsen (wat duur is), weten ze precies waar ze de beste sloten moeten zetten om de meeste schade te voorkomen.

🚀 Conclusie in één zin

BRIDG-ICS is als het geven van een slimme bril aan fabrieksbeveiliging: het maakt onzichtbare gevaarlijke routes zichtbaar, laat zien hoe hackers door de muren kunnen kruipen, en helpt managers precies te zien waar ze hun beveiliging moeten verbeteren om de fabriek veilig te houden in een wereld waar alles met elkaar verbonden is.

Het is een brug tussen de wereld van de hackers, de softwarefouten en de echte machines, zodat we proactief kunnen reageren voordat er echte schade ontstaat.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "BRIDG-ICS: AI-Grounded Knowledge Graphs for Intelligent Threat Analytics in Industry 5.0 Cyber–Physical Systems" in het Nederlands.

Probleemstelling

De integratie van IT (Informatietechnologie) en OT (Operationele Technologie) systemen in Industry 5.0 heeft de operationele efficiëntie van industriële processen verbeterd, maar heeft ook het aanvalsoppervlak voor cyber-physical-aanvallen aanzienlijk vergroot. Traditionele, silo-gebaseerde verdedigingsmechanismen falen vaak in het bieden van samenhangende, domein-overstijgende inzichten in bedreigingen.
De belangrijkste uitdagingen zijn:

• Gefragmenteerde Inlichtingen: Bedreigingsinlichtingen (CTI) zijn vaak geïsoleerd en koppelen geen vijandig gedrag aan onderliggende systeemafhankelijkheden.
• Gebrek aan Context: Bestaande modellen (zoals STRIDE of MITRE ATT&CK matrices) modelleren vaak niet hoe cyberaanvallen zich ontwikkelen tot fysieke gevolgen in industriële omgevingen.
• Schaalbaarheid en Complexiteit: Traditionele risicobeoordelingsmethoden kunnen de complexiteit van moderne ICS-omgevingen (Industrial Control Systems) niet aan, vooral niet de dynamische relaties tussen assets, kwetsbaarheden en operationele processen.
• Semantische Koppelingen: Er ontbreekt een geïntegreerd raamwerk dat industriële context, kwetsbaarheidsinformatie en vijandig gedaring koppelt in één analytisch model.

Methodologie: BRIDG-ICS Framework

BRIDG-ICS is een AI-aangedreven raamwerk dat een Knowledge Graph (KG) bouwt om contextbewuste bedreigingsanalyse en kwantitatieve beoordeling van cyber-resilientie mogelijk te maken. De aanpak bestaat uit vier hoofdfasen:

1. Ontologie Ontwerp en Data Integratie:

   • Het framework fuseert heterogene databronnen: industriële testbed-data (volgend op de Purdue-architectuur), CVE, CWE, CAPEC, en MITRE ATT&CK.
   • Een hiërarchische ontologie wordt opgezet met vijf sub-ontologieën: ICS (assets), CVE (kwetsbaarheden), CWE (zwaktes), CAPEC (aanvalspatronen) en MITRE ATT&CK (tactieken/technieken).
   • Dit creëert een semantisch verband tussen industriële producten (bijv. PLC's, sensoren) en hun kwetsbaarheden en aanvalsmogelijkheden.

2. Kennisverrijking met Large Language Models (LLMs):

   • Om semantische gaten in openbare datasets op te vullen, worden gespecialiseerde LLM's (zoals SecureBERT, CySecBERT, SecRoBERTa) ingezet.
   • NER (Named Entity Recognition): Identificeert domeinspecifieke entiteiten (tools, bestanden, netwerkpaden) in ongestructureerde teksten.
   • RE (Relation Extraction): Extrahiert semantische relaties (bijv. "gebruikt", "modificeert") tussen entiteiten.
   • NL2KG (Natural Language to Knowledge Graph): Transformeert natuurlijke taalbeschrijvingen van bedreigingen naar gestructureerde triples voor de KG.
   • Graph Embeddings: Gebruikt FastRP en KNN om ontbrekende relaties (zoals verborgen communicatiepaden) te voorspellen en de structuur van de graph te versterken.

3. Risicomodellering en Aanvalsbaan-simulatie:

   • Het framework introduceert twee kernrelaties: COMMUNICATES WITH (normale operatie) en CONTROLLED COMMUNICATES WITH (onder beveiliging).
   • Kwantitatieve Metrieken: Elke link krijgt probabilistische attributen toegewezen:
     • pExploit: De waarschijnlijkheid van exploitatie, berekend op basis van EPSS (Exploit Prediction Scoring System) en de effectiviteit van beveiligingscontroles.
     • attackCost: De complexiteit en vereiste middelen voor een aanval.
     • riskWeight: Een gecombineerde metriek van exploitatiekans en de kritikaliteit van het doelwit.
   • Aanvalsbaan-analyse: Met graph-analyse technieken (zoals Yen's k-shortest paths, PageRank, Betweenness Centrality) worden multi-hop aanvalspaden gesimuleerd om de waarschijnlijkheid van een succesvolle doorbraak te berekenen.

4. Scenario-analyse:

   • Het systeem simuleert aanvalsscenario's in drie fasen: uitbreiding van het aanvalsoppervlak, laterale beweging en impact op "crown-jewel" assets.
   • Er wordt vergeleken tussen een "Originele" (blote) graph, een "Verrijkte" graph (met AI-voorspelde relaties) en een "Gereguleerde" graph (met beveiligingsmaatregelen zoals netwerkscheiding en patchmanagement).

Belangrijkste Bijdragen

1. Industrie 5.0 Knowledge Graph: Een uniek domeinspecifiek KG dat industriële data fuseert met cybersecurity-taxonomieën, waardoor processemantiek en apparaatafhankelijkheden worden gecodeerd.
2. Intelligente Verrijking: Een hybride aanpak die LLM's (voor NER, RE, NL2KG) combineert met graph-embedding technieken om ontbrekende relaties te infereren en de semantische diepte van de graph te vergroten.
3. Contextbewuste Bedreigingsanalyse: Een unificatie van IT- en OT-beveiligingskijken voor multi-layer redenering, waardoor inzicht wordt verkregen in de intentie van aanvallers en de propagatie van impact.
4. Data-gedreven Ontdekking van Aanvalspaden: Gebruik van graph-based learning om waarschijnlijke aanvalspaden te voorspellen en de effectiviteit van verdedigingsmaatregelen kwantitatief te beoordelen.
5. Resilientie en Adaptieve Verdediging: Het mogelijk maken van scenario-gebaseerde simulaties voor adaptieve verdediging, wat bijdraagt aan autonome en zelfverdedigende Industry 5.0 ecosystemen.

Resultaten

De experimenten werden uitgevoerd op een synthetische industriële testbed met 15 smart manufacturing scenario's. De resultaten tonen aan dat:

• Verbeterde Zichtbaarheid: Door AI-verrijking daalt het gemiddelde aantal hops dat een aanvaller nodig heeft om een doelwit te bereiken met 20-40% (van ~4.0 naar ~3.5 hops). Dit komt door het onthullen van verborgen, latente aanvalspaden die in de ruwe data niet zichtbaar waren.
• Effectiviteit van Beveiliging: Het toepassen van beveiligingscontroles (zoals netwerkscheiding en patchmanagement) verhoogt de gemiddelde aanvalslengte met 25-50% (naar ~5.5 hops) en vermindert het aantal bereikbare assets drastisch (van >12 naar 2-4 in sommige scenario's).
• Risicoreductie: De verrijkte graph identificeert kritieke knooppunten (zoals IIoT-gateways en robotcellen) met hoge tussenliggende centraliteit (Betweenness Centrality). Na toepassing van controles daalt de residuale risico voor kritieke assets aanzienlijk (bijv. tot 100% reductie in sommige gevallen).
• Voorspellende Accuraatheid: De gebruikte LLM-modellen (SecRoBERTa met CyberBERT classifier) bereikten een validatie-accuraatheid van 98,70% bij het voorspellen van MITRE ATT&CK-technieken op basis van CVE-tekst.

Betekenis en Conclusie

BRIDG-ICS biedt een doorbraak in de industriële cybersecurity door een brug te slaan tussen de semantiek van operationele technologie en de wereld van cyberbedreigingen. Het raamwerk bewijst dat het combineren van Knowledge Graphs met AI (LLMs en Graph Neural Networks) niet alleen de zichtbaarheid van aanvalspaden vergroot, maar ook een kwantitatieve basis biedt voor het meten van de effectiviteit van verdedigingsmaatregelen.

De studie benadrukt dat traditionele, statische modellen ontoereikend zijn voor de dynamische en geïntegreerde aard van Industry 5.0. BRIDG-ICS stelt organisaties in staat om proactief te denken over "Security-by-Design", adaptieve verdediging te implementeren en de weerbaarheid van cyber-fysieke systemen te vergroten door gebruik te maken van contextbewuste, datagedreven inzichten. Toekomstig werk richt zich op het integreren van Agentic AI voor autonome bedreigingshypothese-generatie en real-time "what-if" analyses.