この記事は2022年12月28日に更新されました。
産業オートメーションのサイバーセキュリティは、これらの環境で接続されたデバイスやシステムの使用が増加するにつれて、関心が高まっています。製造、エネルギー、輸送などで使用されるような産業用制御システムは、施設の運営や従業員の安全にとって重要であることが多い。そのため、サイバー攻撃の格好の標的となっている。ここ数年、操業を中断させ、大きな損害をもたらした有名な産業用サイバー攻撃がいくつか発生している。
2017年、ウクライナの産業施設を狙ったNotPetya攻撃は広範囲に被害をもたらし、数十億ドルの損害を与えたと考えられている。サウジアラビアの石油化学施設を標的とした2019年のTriton攻撃は、施設の安全システムを狙ったもので、発見が間に合わなければ壊滅的な被害をもたらした可能性がある。これらの攻撃は、潜在的な混乱や危険から守るための産業オートメーション・サイバーセキュリティの重要性を浮き彫りにしている。
既存のIT/OT プロセスとサイバーセキュリティインフラを補完するリアルタイムの産業用制御システム(ICS)の可視性と脅威検出は、サイバー回復力を大幅に向上させることができる。産業オートメーションにおけるサイバーセキュリティの課題に対処する際に取り入れるべき3つの重要な要素は、ICS環境への可視性、ハイブリッド脅威検出、シームレスなIT、OT 、IoT 統合です。
1.複雑な環境を可視化するOT
典型的なICS環境は、イーサネットTCP/IP、セルラー、LAN、シリアル制御、リモート/インテリジェントI/Oなど、さまざまなネットワーク技術からなる異種システムで構成されている。今日の産業用オートメーション・システムは、効率を改善し、予知保全を実行し、コストを節約するために、管理されていないIoT デバイスも組み込んでいる。これらのOT 、IoT デバイス、およびデバイス間の通信は、従来のITネットワークやサイバーセキュリティツールでは識別・監視することができません。
これに対処するため、今日の主要なICSサイバー・セキュリティソリューションは、ITの可視性をOT 環境に拡張している。これらのソリューションは通常、非侵入的に展開され、複雑なOT ネットワークの隅々まで可視性と検出を提供します。
2.ハイブリッド・アプローチによるICS脅威の検知
新たな形態のマルウェアが絶えず出現する中、産業界のオペレータは、脅威検知に対する多面的なアプローチ、つまり、注意深く、迅速に対応し、プロアクティブなアプローチを検討する必要があります。ハイブリッド型脅威検知では、行動ベースの異常検知とルールベースの検知を使用して、攻撃のあらゆる段階でマルウェアを特定します。攻撃をタイムリーに検知するためには、この2つの手法を取り入れることが重要です。以下では、この2つの方法について詳しく説明します。
行動ベースの異常検知
産業用制御ネットワーク内のすべてのトラフィックの挙動を非侵入的に学習および監視する能力により、従来のサイバーセキュリティのアプローチでは通常気づかれなかったサイバー脅威となる可能性のあるものを特定することができます。地理的に分散した多層ネットワーク全体の多くの異常の相関に基づく有用なコンテキスト分析により、挙動ベースの異常検知は従来のサイバーセキュリティから切り離されます。多くの場合、共通の根本原因が何千ものサイバーインシデントに起因している可能性があるため、根本的な犯人を特定することは、迅速なフォレンジック分析と修復を実現する上で極めて重要です。
ルールに基づく分析
ルールベースの分析によって推進されるプロアクティブな脅威ハンティングにより、ディープパケットインスペクションを活用してネットワーク上のマルウェアサイバー攻撃を発見し、初期感染段階の前に対応を開始することができます。これは、Nozomi Networks のハイブリッド脅威検出アプローチの重要な要素であり、外部ルール(Yara ルールやパケットルールなど)とGuardian独自のカスタマイズ可能な解析ツールキットに固有の独自ルールの両方を使用します。どちらの形式のルールベース解析も、マルウェアの脅威を特定するのに効果的です。
豊富な分析エンジンと人工知能(AI)技術を活用する当社のソリューションは、プロセス・データの読み取りや重要な状態認識との相関関係を含め、プロセスと通信の両方の異常を特定します。検出される異常の例としては、ネットワーク内のデバイスの変更や追加、不規則な通信、帯域幅や遅延の変動などがあります。当社のコンテキスト相関を使用することで、ユーザーは脅威カテゴリ、リスクレベル、ネットワーク内の場所に応じて、異常を迅速に整理、集約、評価することができます。
3.IT、IoT 、OT サイバーセキュリティの統合
成功のもう1つの要因は、ネットワークに監視制御や運用制御の複数の階層が含まれる、大規模で分散した産業組織のニーズを満たすために、ICSサイバー・セキュリティソリューションがいかにうまく拡張できるかということです。最大限の効果を得るためには、ソリューションは、ファイアウォール、SIEM、ユーザー認証システムなど、既存のITおよびICSセキュリティ・インフラとシームレスに統合する必要があります。
API(アプリケーション・プログラミング・インターフェース)のオープン性、プロトコルのサポート機能、製品のモジュール性が、効果的なICSサイバーセキュリティソリューションの主要な統合性と拡張性を定義します。以下は、あなたが考慮すべきことです:
- オープンな API は、ソリューションが既存のアプリケーションといかに容易かつ効果的に統合し、全体的なエンタープライズアーキテクチャの将来の方向性にいかに適応するかを決定する。例えば、選択したICSサイバーセキュリティソリューションが他のアプリケーションからのデータの共有と取り込みをサポートすることを確実にするために、APIが安全な双方向のデータフローをサポートする能力をテストする必要がある。
- プロトコル・ソフトウェア開発キット(SDK)は、さまざまなOT および IT プロトコルの解析と分析をサポートし、独自のプロトコルや匿名性を必要とするプロトコルをサポートします。高度なリアルタイム・サイバー・セキュリティモニタリングと運用の可視性を提供しながら、プロトコルのプライバシーを確保できるSDKをお探しください。
- ICS サイバー・セキュリティソリューションは、拡張をサポートし、将来のエンタープライズ・アーキテクチャの追加や変更にコスト効率よく安全に対応する必要があります。調整と拡張の準備態勢を評価するには、ハードウェアからオペレーティングシステムまで、技術スタック全体をどの程度所有し、管理しているかを調べる。さらに、物理的なものから仮想的なものまで、ICSサイバーセキュリティソリューションの製品提供オプションを調査し、さまざまな帯域幅要件を必要とするさまざまなアプリケーションシナリオをどの程度サポートしているかを把握する。
産業用制御システムを可視化し、ハイブリッド・アプローチで脅威を検知し、産業用セキュリティソリューションを既存のインフラと統合することで、現在も将来も保護されたサイバー・セキュリティ体制を維持することができます。
