この記事は2019年10月1日に更新されました.
ウクライナの電力網攻撃から始まり,物理システムを標的にしたStuxnet以来のツールセット(CrashOverride/Industroyer)が発見され,ランサムウェア攻撃(WannaCry,Petya/NotPetya)による大きな被害があった1年だったが,2018年は何が待ち受けているのだろうか?
私たちのチームは12ヶ月先を見据えて,その期間の終わりにはICSサイバーセキュリティがどのように変わっているかを考えました. そこから,見逃せない5つの予測を導き出した.
1.産業界のインターネット禁止時代が終わるNetworks
禁酒法の時代には,無責任な飲酒の割合は今よりも高かった.禁酒法は単に行動を地下に追いやり,しばしば劇的な悪影響をもたらした.
同様に,ほとんどの産業用ネットワークでは,インターネット接続は公式には非常に制限されている.例えば,ICSサーバーや据置型のオペレーターやエンジニアリング・ワークステーションは,メンテナンス・ウィンドウの間だけインターネットへの接続が許可される.
また,重要なインフラ・システムに対する著名なインターネット攻撃を受け,主要なセキュリティ・コントロールとしてインターネットのエアギャップを「再酸素化」することに取り組んでいる組織もある.しかし,インターネット接続は,産業用システムのマルウェア感染の主な原因となっている.
これらの接続は,請負業者やシステム・インテグレーターのコンピュータ,管理者や開発者のワークステーション,モバイルデバイスから行われる.カスペルスキー社によれば,「産業用制御インフラに含まれる全マシンの40%が,常時またはフルタイムでインターネットに接続している」という.
また,Amazon Web Servicesのようなインターネットインフラ上で動作するICSサイバーセキュリティ製品を使いたがる大手顧客も現れ始めている.さらに,クラウドサービスやIIoTデバイスも普及している.
Nozomi Networks 予測現実世界での実用性と主要な技術動向の両方が,エアギャップ保護戦略が「裏目に出る」ことを意味している.私たちは,先進的な組織がインターネット接続を受け入れ,このサイバー脅威の源からICSを守るために必要な技術と手順を導入すると予測しています.
2.人工知能が話題性を超えてICSセキュリティに真の変化をもたらす
これまで,ほとんどの産業組織は人工知能(AI)をバズワードとして認識し,それがICSサイバーセキュリティで果たす役割についてはよく知らなかった.しかし,AIを活用したサイバー・セキュリティソリューションが,脅威の迅速な検出とトラブルシューティングにどのような違いをもたらしているかについての口コミが広まっている.
ICSサイバーセキュリティの人材とスキル不足に悩む組織は,セキュリティと生産性の目標を達成するためにAIソリューションに目を向けている.これは,成熟したサイバー・セキュリティプログラムとプロセスを持つ大規模な多国籍企業のレベルでも,他に選択肢がないことに気づいた小規模な組織のレベルでも起こっていることがわかります.
例えば,Dragonfly 2に関する最近のUS-CERTの勧告(アラートTA17-293A)では,マルウェアの兆候について17の異なるログとリポジトリをチェックすることを推奨している.同じチェックを非常に短時間で行うことができる自動脅威検知ソリューションを使用するのとは対照的に,これは多くの貴重なスタッフの時間を奪う可能性がある.
Nozomi Networks 予測2018年,産業組織はAIを活用したICSサイバー・セキュリティソリューションを採用し,脅威の検知と緩和を根本的に自動化する. その結果,信頼性とセキュリティが向上し,スタッフのリソースをより効果的に活用できるようになる.
3.ICSサイバーセキュリティサービスは拡大する
ICSサイバーセキュリティのスキル不足は,サービス提供の増加にもつながっている.これらのサービスは,リスク評価だけでなく,より包括的なサービスに移行しつつある.
例えば,ITセキュリティのリーダーであるフォーティネットは,ICSthreat intelligence サービスである「FortiGuard Industrial Security Service」を発表した.
Nozomi Networks 予測ITサイバーセキュリティ企業は,OT サイバーセキュリティに積極的に進出し,監視,検知,インシデント管理など,OT のために特別に設計された新たなタイプのサービスが導入される.
4.ICSマルウェアはWindowsエクスプロイトからICS固有のマルウェアへ
これまでICSに感染したマルウェアの多くは,Windowsの脆弱性やプロトコルを利用して感染・拡散してきた.例えば,2017年のWannaCry,Industroyer,Dragonfly 2は,いずれもWindowsプロトコルのSMBを主要な感染・拡散メカニズムとして利用していた.
Nozomi Networks 予測:例えばPLCソフトウェアなど,OT のデバイス・ソフトウェアを使ったマルウェア攻撃が,ウィンドウズ依存の攻撃の海に加わり始めるだろう.
5.セキュリティー・バイ・デザインがICSのセキュリティーを少し改善し始めた
歴史的に,ICSシステムは設計上安全でないことで悪名高い.良いニュースは,新しいオートメーション機器の購入にセキュリティーを含めることを要求する主要な顧客を見ていることである.例えば,RTUに暗号化されたソフトウェアを搭載することを要求している.
サイバーセキュリティ認証も急速に拡大しており,大手オートメーションベンダーは,例えばISA Secure認証のための製品テストを実施している.そのため,サイバーセキュリティ機能を「裸のまま」出荷する新しいICS機器は少なくなっている.
とはいえ,セキュリティの脆弱性を持つデバイスが大量に設置されているということは,今後もサイバー攻撃を受けやすいということだ.
Nozomi Networks 予測顧客の要望により,セキュリティを組み込んだ新しいオートメーションデバイスの出荷が増えるだろう.しかし,これによってICSサイバーセキュリティ全体が改善されるには時間がかかり,未知および既知の脆弱性に対する安全なガードとして検出の使用が必要になる.
2018:産業用サイバーセキュリティが主流に
2018年の我々の予測は,ICSサイバーセキュリティが今から12ヶ月後にはより主流になるという事実を付け加えている.IT/OT の融合が進み,より多くのOT セキュリティ・サービスが利用可能になり,より多くの産業組織がAIを搭載したツールを使用することで,プロセスのセキュリティ確保の負担を軽減するだろう.
さらに,サイバーセキュアな製品は,主要顧客からますます求められるようになるだろう.残念ながら,「主流になる」ということは,OT デバイス・ソフトウェアを直接攻撃する新しいマルウェアが登場する可能性が高いということでもある.
産業サイバーセキュリティの実践,製品,サービスの成熟を楽しみにしています. 私たちは,一流のICS脅威検知および運用可視化ツールによって,サイバーセキュリティの課題と負担に対応できるよう,お客様と協力していくつもりです.
