本日、Black Hat USA 2019において、インテリジェント電子機器(IED)の監視を大幅に改善する革新的な電力網サイバーセキュリティソリューションを発表します。
産業用ネットワークを監視するためのIEC 62351規格を使用して、検出が困難な4種類の攻撃を容易に識別する方法を実証します。資産の健全性監視に対する私たちの新しいアプローチは、脅威の検知と電力網のサイバー耐性を大幅に強化します。
電力網のサイバーセキュリティ:State of the Art
電力会社は最近まで、電力系統の信頼性を維持するための設備の導入と運用にほぼ専心してきた。さらに、この業界は伝統的に、ビジネス/IT サイドの組織と送電網の運用を分離してきました。
しかし、過去10年間で、この状況は劇的に変化しました。
- 効率を向上させ、変化する顧客の需要に対応するため、発電所オペレーターはITとOT (運用技術)システムとチームを統合してきた。接続性の向上はビジネス上のメリットをもたらす一方で、送電網をより高いサイバーリスクにさらすことにもなる。
- 脅威の主体は、特にエネルギー分野での重要インフラ攻撃により注力しており、インターネット上のマルウェアツールセットの利用可能性から利益を得ている。
- 世界経済フォーラムは2年連続で、重要インフラへのサイバー攻撃をグローバルリスクのトップ5に挙げている。2019年版グローバル・リスク・レポート」は、一国の電力システムへの攻撃が壊滅的な影響を及ぼす可能性があることを強調している。
電力会社は、ICSの可視化とサイバー・セキュリティソリューションを採用することで、高まるサイバー・リスクに対応してきた。これらのソリューションは通常、パッシブ・ネットワーク・モニタリングを使用して脅威を検出し、資産を特定し、状況認識を向上させる。これらのソリューションは、スパン・ポートにパッシブ・アプライアンスを取り付けることで導入されます。
パッシブ・モニタリング・アプローチは、重要インフラの安全性を飛躍的に向上させるが、限界もある。例えば、資産の健全性や信頼できる脆弱性評価に関する貴重な情報を提供することはできません。
したがって、重要インフラに対するエスカレートする脅威に効果的に対処するためには、電力網ネットワークと資産の監視の有効性を改善することが不可欠です。
センサーやスイッチの切断などの物理的攻撃を即座に検知する。
IEC 62351 電力系統通信のセキュリティ確保に関する規格
通信プロトコルは、フィールド機器から情報を取得し、制御コマンドを送信する役割を担う、産業システムの最も重要な部分の一つである。
しかし、重要なインフラ・システムは、社会が円滑に機能するために不可欠である。そこで2000年代初頭、電力系統管理規格を専門とするIEC技術委員会57は、電力系統をセキュア・バイ・デザインにする方法に焦点を当て始めた。ワーキング・グループ15(WG15)は、技術的観点から要件を評価し、それらを実装する標準的な方法を定義するために結成された。
WG15は、重要なインフラ・ネットワーク内部に安全な通信チャネルを構築することを目的とした一連のソリューションを提案した。その結果、標準規格はいくつかの異なる部分に編成され、それぞれが暗号化、データ認証、なりすまし防止、侵入検知など、異なるセキュリティ目的に対応している。
IEC 62351-7規格を用いた電力網監視:
サイバー攻撃による電力供給障害の即時検知
IEC 62351-7 Radically Improves Asset Health and Security Monitoring
IEC 62351のパート7は、大幅な改善に必要な情報を含むデータオブジェクトを定義している:
- フィールド機器の障害や電源障害など、資産の可視化
- CPUやメモリの使用状況など、資産の健全性評価
- ウォッチドッグや実行中のプロセスの状態など、資産のセキュリティ評価
- イーサネットポートのリンクなど、ネットワークの状況認識
IEC62351-7は、SNMP、DNP3、IEC61850のような広く使用されている管理およびオートメーションプロトコルに依存し、主要な資産とネットワーク情報の信頼性の高い安全な収集をサポートしています。
このアプローチの重要な価値を考慮し、いくつかのメーカーは、標準に準拠したファームウェアのアップデートや新しい機器を利用できるようにしています。これは、製品のセキュリティを向上させるだけでなく、実際のシナリオで IEC 62351 を使用することを可能にする。
IEC 62351 Part 7 が新たな脅威検出シナリオを提供
IEC 62351 準拠機器と相互作用する電力網サイバーセキュリティソリューションは、ネットワークセキュリティと信頼性監視を大幅に強化する。例えば、資産の健全性監視が大幅に改善されたことで、故障や過負荷の機器が検出された場合にアラートを発することができるようになった。
実際、内部状態が不規則な資産に関する情報は、事故や深刻な混乱を未然に防ぐ機会をエンジニアに与える。
ネットワーク資産の状態を認識することは、デバイスの内部ロジックを標的にした高度な攻撃を検知するのにも非常に有効です。一例として、攻撃者が産業プロセスの動作を変更することを目的としたラダーベースの攻撃があります。変更されたラダー・ロジックは、IED の CPU 過負荷やメモリ使用率の高さを引き起こし、調査を開始するアラートをトリガーする可能性があります。
サイバー攻撃は、停電や機器の損傷といった物理的な結果を引き起こす可能性がある。特定の機器に対する攻撃が成功した場合、速やかに検知し緩和しなければ、危険な状況につながる可能性があります。IEC 62351-7は、電源装置のようなデバイスに関する詳細な情報を提供し、早期の脅威検知を可能にする。IEC 62351-7規格を使用した電力網ネットワーク・モニタリング:
The Future of Securing Power Grid Intelligent Electronic Devices
IEC 62351-7規格とともに、IEDを監視するための能動的だが低リスクのアプローチを使用することで、産業資産の健全性を綿密に監視することが可能になる。この革新的なアプローチは、ここで概説され、Black Hatのプレゼンテーションで示されたような、検出が困難な脅威シナリオを特定する。
電力網のサイバーセキュリティを改善することが急務である。IEC 62351規格を実際に適用してみると、包括的なスマートグリッドの脅威と信頼性の監視を実現するソリューションが今日利用可能であることがわかります。
Nozomi Networks Labsの無料ツール
- ウェブページNozomi Networks ラボ・ツール
- Github.com:Nozomi Networks トリコツールズ
- Github.com:GreyEnergy Unpacker + Yaraモジュール
- Github.com:ラダムサの強化
