この記事は2019年10月10日に更新されました。
先日オーランドで開催されたARC フォーラムでは、800 ものオートメーション・コミュニティが集い、将来に向けた喫緊の課題について議論した。サイバーセキュリティは、ARCの産業セキュリティ・アナリストであるシド・スニトキン(Sid Snitkin)氏が率いるトラックで、トピックのトップに挙げられた。
パネル・セッションでは、制御システムを安全に保つための戦いにおいて、最も重要な新しいツールの1つについて専門家グループが集まった。その新しいツールとは、産業用制御ネットワーク向けのリアルタイムの異常・違反検知である。これらの製品についてARC が特定した4つの重要な機能と、Nozomi Networks ' 技術がそれらにどのように対応しているかを見てみよう。
1.重要な能力サイバーセキュリティの確保と運用上のメリット
異常検知と侵害検知を導入することによるROIは、サイバーセキュリティ保護と運用上の利点の両方からもたらされ、オートメーションシステムの信頼性を高める。
当社の製品Guardian がこの2つの分野でどのような価値を提供しているかを示すために、システムエンジニアリング・グループから次の2つの例を入手した。
まず、サイバー・セキュリティ保護に関して、悪意のある保守作業員のノートパソコンが変電所ネットワークに接続され、プロセス・ネットワークに標的型マルウェアを導入したとしよう。侵入者は偽のレイヤー 2 GOOSE パケットとデバイスを発行します。受信側は、信頼できる、またはセキュリティで保護されたエンティティから送信された有効な(真の)パケットを受信していると誤解します。このシナリオでは
- ノートパソコンのネットワークへの接続は、Guardian によって直ちに検出されます。
- GOOSEパケット・インジェクションは、IEDから送られてくるカウンターのステートフル解析によって特定されます。
- 高レベルのインシデントアラートは、直ちに適切なオペレーターとSOCスタッフに送信される。
- スタッフは、Guardian から入手できるネットワーク図、資産目録、プロセス情報を活用して、インシデントレスポンス計画を実行する。
- インシデント発生後、Guardian ICSインシデントの再生とアーカイブ機能(「タイムマシン」機能)により、フォレンジック分析が加速されます。
ノマド・ノートパソコンは、OT のネットワークにとって最も重大なリスクの一つであり、この例は、Guardian が意図的なサイバー攻撃による被害を迅速に食い止めるのに役立つことを示している。
第二に、運用上の利点について、変電所RTUとコントロールセンターSCADA間の相互作用に不規則性があるとしよう。SCADAで利用可能な検査/トラブルシューティングツールはセットアップが面倒で、必ずしも有効ではない。トレースログのような重要な情報が利用できない場合があります。さらに、ログが利用可能な場合、ベンダーによって異なる傾向があり、解釈するのが困難です。
このシナリオでは、Guardian 、ネットワーク接続とプロセス状態の両方を考慮する多次元的なアプローチを使用して、IEC 60870-5-104通信を評価しました。送信原因=自発のIEC 60870-5-104 ASDUの量を分析し、RTUごとにグループ化することで、そのうちの3つがRTUの電源状態に関連するフラッピングアラーム状態であることがわかりました。顧客は、影響を受けたRTUの電源を交換することを選択し、問題は解決しました。
機器の故障を事前に通知することで、運用の継続性に貢献し、予防保守のコストを抑えることができた。今後は、Guardian'の監視ダッシュボード内の診断クエリを使用して、臨時メンテナンスを防止し、すべてのRTUを良好な運転状態に保つことができます。
2.重要な能力制御システムの動作に影響なし
セキュリティ可視化ツールは、ITの世界では長い間使用されてきたが、産業用制御ネットワークの高可用性要件には適していない。これらのITツールは通常、ネットワーク通信を中断させ、円滑なプロセス運用を脅かし、生産と安全性さえも危険にさらすスキャン・プロセスを伴う。 ITセキュリティソリューションの中には、インバンドまたはインラインでの展開が必要なものもあり、ダウンタイムが必要となり、運用上のリスクを増大させる可能性があります。
Guardian は、産業用システムにリスクを与えない完全なパッシブ・ソリューションである。様々なハードウェアベースと仮想アプライアンス・モデルがあり、SPANまたはミラー・ポートを介してネットワーク・デバイスに接続します。ネットワークのダウンタイムや中断を伴わず、非侵入的にインストールされます。
3.主な機能誤検知を最小限に抑えたコンテキストベースのアラートの提供
異常検知ツールや侵害検知ツールの課題は、誤検知を発生させたり、多すぎるアラートで人々を圧倒したりすることである。あまりに多くの情報が提供されると、オペレータによる効率的な評価と適切でタイムリーなアクションが期待できなくなる。
Guardian は、物理プロセスの正確な内部表現を作成し、そのすべてのフェーズを特定し、ネットワークデバイス、プロセス変数、およびフェーズの間の相関関係を特定することによって、これらの懸念に対処します。 物理プロセスのこの内部表現がベースライン化されると、この製品は、プロセスの各段階における各デバイスの予想される動作の非常に詳細なプロファイルを作成します。 このようなカスタムプロファイルにより、誤検出の数は最小限に抑えられ、そこからの逸脱が誤検出となる可能性は非常に低くなります。
また、当社のエンジニアとSIパートナーがお客様とともに実践している重要な対策は、仮想イメージとそれが確立するシステムのベースラインを、オペレーターやセキュリティ専門家と検証することです。既存の異常を組み込んだり、クリーンアップしたりすることができ、これが行われれば、誤検知をさらに減らすことができます。
最後に、Guardian の重要な機能は、アラートを分析し、コンテキストを意識したインシデントに統合することである。インシデントは、組織内の重要な役割に応じて設定されたカスタマイズ可能なダッシュボードにも表示することができ、その視覚的な表示によって適切なアクションが促進される。
4.重要な能力サイバーセキュリティ管理ソリューションとの統合
セキュリティソリューションは、組織のセキュリティ・インフラと統合されていなければ、効果的なものではない。
Nozomi Networks'製品は、SIEM、ユーザー認証ディレクトリ、アクティブ・セキュリティ・システムなどの他のテクノロジーと統合して、ICSの侵入検知とパッシブOT モニタリングを提供するように設計されています。例えば、Guardian は、ユーザー定義のポリシーをきめ細かくアクティブに実行するために、フォーティネットとチェック・ポイントのセキュリティ・スイートと統合されています。
実践的なアドバイスソリューションのテストドライブ
最後に、パネルから実践的なアドバイスがあった。Nozomi Networks では、概念実証(Proof of Concept)のパイロットを提供しています。ご連絡いただければ、デモを手配し、ご自身のテストドライブを設定することができます。シド・スニトキン氏をはじめとするパネリストの皆様、ARC フォーラムでの興味深いディスカッションに感謝いたします!
