歴史的に、重要インフラにおけるOT ネットワークや ICS システムを監視するセキュリティセンサーにとって、エンドユーザーに許される唯一のアプローチは受動的アプローチであった。リスクを最小化するために、OT ネットワークの条件は、そのようなデバイスが積極的に監視に関与できないことであった。
リアルタイムのパッシブ・モニタリングは、トラフィックを妨害したり、オペレーションを中断することなく、これらのネットワークの可視性を提供します。ネットワーク上で何が、いつ、どのように通信されているかを知ることは、資産目録、脆弱性管理、運用の可視化、サイバー攻撃に対する防御に有益です。しかし、日々進化するサイバー脅威の状況では、パッシブ・モニタリングだけでは不十分な場合があります。
このブログでは、アクティブ監視を含むパッシブ監視を強化する方法と、これらの様々な方法論の利点について説明します。また、Nozomi Networks プラットフォームが、OT およびIoT システムの安全性を確保するための包括的な監視手法を提供していることについても説明します。
設定ファイルと外部データ統合でパッシブ・モニタリングを強化できる
パッシブ・モニタリングを強化するために、システム構成ファイル(利用可能な場合)をインポートして、資産インベントリを充実させることができます。構成ファイルは、特定のシステムにバインドされた静的情報のスナップショットです。もちろん、制限もあります。ベンダーによっては、この情報を共有していない場合があり、情報が最新でない場合はファイルが古くなっているためです。
OT やICS環境には、外部のサードパーティーベンダーの技術も多数含まれている。外部データ統合は、サードパーティ・ベンダーの資産に関する情報を既存の資産情報と統合し、資産インベントリを最新の状態に保つために必要です。外部データを取り込む際の課題は、常に利用できるとは限らないサードパーティのテクノロジーに依存し、ソースによって精度のレベルが異なる可能性があることです。
パッシブ・モニタリングの利点は、既存の通信に依存することで継続的なネットワーク・モニタリングを提供できることである。しかし、パッシブ・モニタリングには限界があり、正確な資産インベントリ、脆弱性評価、非通信デバイスの可視性に影響を与える可能性がある。アクティブ・モニタリングは、パッシブ・モニタリングの限界のいくつかに対処します。
OT & におけるアクティブ検出IoT
OT 、IoT 環境にアクティブ・モニタリングを導入するには、文化的な転換が必要である。純粋なスキャンは、スループットの増加とエンドポイントのCPUサイクルの悪用を意味し、ネットワークのパフォーマンスと安定性に影響を与える。
いくつかのソリューションは、アクティブクエリによるアクティブ検知やエンドポイントセンサーによるアクティブ検知によって、純粋なスキャンに伴うスループットの向上やCPUサイクルの無駄遣いの問題に取り組んでいる。
アクティブ・クエリーとエンドポイント・センサによるアクティブ検出
古典的なスキャンとは異なり、アクティブ・クエリーを介したアクティブ検知は、デバイスの安定性に影響を与えず、有用な情報を返すことが知られている特別なメッセージや命令を活用し、デバイスのプロトコル機能の知識に基づいてデバイスを質問することを目的としている。これは、エージェントベースのソリューションがホストできない組み込みデバイスには必須です。
アクティブ・クエリによるアクティブ検知は、OT/IoT 組み込みデバイスが使用されている場合や、ITデバイスが使用されていてエンドポイント・センサが使用できない場合に適しています。 アクティブクエリによるアクティブ検知では、以下のメリットが得られます:
- 組み込み機器での最大限の可視性
- Windows / Linux / macOSデバイスでの視認性の向上
- 脆弱性評価の強化。例えば、CCTVカメラのベンダー、製品名、ファームウェアのバージョンは、パッシブ検知では入手できない。これらの情報を能動的に取得することで、脆弱性が算出されます。
次に、エンドポイントセンサーによるアクティブ検知について説明しよう。エンドポイントセンサーの存在は、ネットワーク検知、インストールされたマシンのトラフィック・モニタリング、アセット検知を組み合わせることで、エンドポイントまでの可視性を高める。このセンサーは、ターゲット・マシン上に設置しなければ不可能な機能を追加する。パッシブ・モニタリングによって提供されるバルク・ネットワーク・モニタリングは、ローカル・モニタリングによって補完され、エンドポイント自体からアクティブ・クエリ(上記で述べた)を介してアクティブ検知を実行する可能性を含め、ターゲット・マシン自体をセンサーに変えます。
エンドポイントセンサーによるアクティブ検知では、次のような利点があります:
- Windows/Linux/macOSデバイスを最大限に可視化する独自のホストベース検出機能
- 脆弱性評価の強化
- スイッチやタップに依存することなく、エンドポイントセンサーから直接トラフィックモニタリングを使用することで、完全なローカル可視性を実現。
- オフラインデータ収集により、ネットワーク上で通信していない資産の完全な可視化
- エンドポイントから実行できる「アクティブなクエリーによるアクティブな検出」のすべての利点
OT &IoT のパッシブ&アクティブ検知のパワーを組み合わせる。Nozomi Networks
Nozomi Networks プラットフォームは、パッシブ・モニタリングとアクティブ・モニタリングの両方を組み合わせ、ネットワークとエンドポイントの安定性を損なうことなく、最大限の可視性と保護を提供する。
Nozomi Guardianおよびリモートコレクターセンサーは、OT およびIoT 環境のパッシブモニタリングを提供します。パッシブ・モードに設定すると、追加のトラフィックを生成することなく、ネットワーク上のミラーされたトラフィックを処理します。Guardian 、200を超えるプロトコルと数千のデバイスに関する当社の知識ベースを活用し、より正確な資産識別、脆弱性評価、ネットワーク統計、行動分析を実現します。
Guardian また、設定ファイルのインポートもサポートしています。主要なオートメーションベンダーの設定ファイルのスキーマの知識があれば、資産とネットワーク情報をマッピングして、より正確な資産インベントリを作成できます。SCD(IEC 61850変電所の資産識別と構成に使用)のような標準化された構成ファイルもサポートされています。資産管理ソリューションを含む外部ソースからの資産情報をGuardian に統合することで、サードパーティの資産に関する最新情報を得ることができます。
Guardian Airまた、無線ネットワークを受動的に監視することも可能です。Guardian Air のデータをVantage と統合することで、包括的な可視化が可能になる。
Guardian/リモートコレクターが提供するバルクネットワーク監視は、イネーブラとして受動的にネットワークを監視します。ローカル・エンドポイント・ベースのネットワーク・モニタリングは Arcこれは、インストールされたデバイスからのエッジ通信監視を可能にし、スイッチの再構成の制限を克服し、サポートされたエンドポイントをNozomi Networks センサーに変換します。
アクティブ・クエリによるアクティブ検知は、 プラットフォームで行われる。 Smart PollingNozomi Networks Smart Polling は、 によって保護されたエンドポイントからも使用でき、 インターフェースがプロセス/ ネットワークをポーリングすることを許可されていないセグメント化されたネットワークに、かつてないリーチを与える。Arc Guardian IoT
Arc 、シグマ・ルール、ユーザー・アクティビティ相関、USBの物理アクセス検出など、ネットワーク・ベースの検出を補完する独自のホスト・ベースの検出が追加され、最大限の精度とコンテキストが得られます。データ統合と構成ファイルのインポートは、プラスして使用することができます。
