この記事は2019年9月12日に更新されました。
サンフランシスコで開催された RSA カンファレンスでは、多くの CISO や IT リーダーが、OT リスク管理、防御、レジリエンシーがマストハブリストの上位を占めていることを明らかにしました。彼らは、Nozomi Networks 、産業用OT ネットワークと運用の可視性とリスク評価をどのように提供するか、また、当社のソリューションが他のセキュリティ製品とどのように連携し、包括的なIT/OT サイバーセキュリティ防御を実現するかについて興味を持っていました。
Nozomi Networks とフォーティネットが、回復力と防御のための1つの「ノックアウト」サイバー・セキュリティソリューションを提供し、最も一般的な2つのユースケース(OT )に取り組んでいる様子をご覧ください。
パッシブな脅威検知とアクティブな産業用ファイアウォールの組み合わせ
2016年、Nozomi Networks とフォーティネットは共同で、OT セキュリティ問題の非侵入型検出と、プロアクティブな脅威の修復および封じ込めを組み合わせた包括的な産業用サイバーセキュリティソリューションを開発した。
このソリューションは、Nozomi Networks 'Guardian ICS(産業用制御システム)ネットワーク、プロトコル、デバイスの動作に関する当社の深い理解に裏打ちされたソリューションと、OT/ICS/SCADA システム向けのフォーティネットのFortiGate産業用ファイアウォールを統合したものです。このソリューションを組み合わせることで、2つの一般的なサイバーセキュリティシナリオにどのように対処できるかを見てみましょう。
ユースケース1:意図しない行動がサイバー事件を引き起こす場合
どのような環境においても、ミスは珍しくないことは誰もが認めるところである。企業のITと同様に、ネットワークや「オペレーターのミス」が、意図しないセキュリティの脆弱性につながることがあります。意図しないサイバーインシデントの例を考えてみよう:
- 定期メンテナンス中にマシンのソフトウェアをアップデートした業者が、意図せず、無意識のうちにマルウェアをネットワークに侵入させてしまう。
- インフラ・ベンダーが新しい機器をネットワークに接続し、ネットワークトラフィックが急増した。新しいトラフィックを処理できないレガシー機器がクラッシュし、OT ネットワーク上の他の機器に障害が発生する。
- ある従業員がデフォルトのパスワード "admin "を使用した。別の権限のない従業員がログインし、その結果を理解せずにネットワークに変更を加える。
- 経験の浅いスタッフが、ネットワーク上のデバイスを誤って設定した。
ここでは、統合されたNozomi Networks - フォーティネットのソリューションが、このような意図しない脆弱性をプロアクティブに特定し、何か対策を講じる必要があることを組織に警告し、ドアを閉じるためのプロアクティブな措置を講じる方法を紹介します。
Guardian は、ネットワークトラフィックを非侵入的に監視し、システム全体、ノード、および各デバイスの典型的な動作の内部表現を作成します。また、OT システム全体のデバイス間の相互作用と運用結果も追跡します。異常、不審な挙動、または既知のシグネチャベースの脅威ベクトルが検出された場合、セキュリティ・オペレーターとネットワーク管理者にアラームを送信します。
同時に、Guardian はフォーティネットのセキュリティ強制およびセグメンテーションデバイスにアラートを送信します。フォーティネットのファイアウォールは、不審なトラフィックをピンポイントでブロックする新しいセキュリティポリシーを適用します。その結果、権限のある担当者がインシデントの最適な管理方法について指示を出すまで、生産の中断やダウンタイムが回避されます。
ユースケース #2:OT 偵察活動の阻止
偵察は、サイバーキルチェーンにおける最初の段階である。この段階での脅威者の目標は、本格的な攻撃に備えて、弱点となる部分を探り、ネットワークに関する可能な限りの情報を収集することである。
偵察は、例えば登録されたドメインのような一般に入手可能な情報を使って情報を漁るなど、受動的に行われることもあれば、システム情報を使って足場を固め、後に脅威行為者が最終的なターゲットに向かってネットワーク内で横方向に移動できるようにするなど、能動的に行われることもある。
Nozomi Networks - フォーティネットのソリューションを組み合わせることで、第一段階の偵察活動を未然に阻止します。まず、Nozomi Networks 'Guardian は、挙動ベースの異常検知と複数のタイプのシグネチャベースの検知を含むハイブリッドアプローチを使用して、異常、リスク、脅威を特定します。検出結果は、何が起きているのかを迅速に把握するために、運用上のコンテキストと関連付けられ、ミティゲーションとフォレンジック分析にかかる時間を短縮します。
Nozomi Networks'Guardian は、OT/IT/SCADAシステム用のFortiGateファイアウォールを含む、フォーティネットの資産およびデバイスとネイティブに統合されます。Guardian 、突如ネットワーク上に出現して通信を開始した未知のノード(偵察の証拠な ど)などのリスク、脅威、異常を検出すると、FortiGateにアラートを送信し、セキュリティポリシ ーとプロアクティブな修復対応を自動的にトリガーします。FortiGateは、不審なトラフィックを隔離および/またはブロックすることで、偵察活動をシャットダウンする一方、影響を受けていない重要なインフラストラクチャの制御トラフィックは通常どおり実行できるようにします。
Nozomi Networks フォーティネットとICSサイバーセキュリティを次のレベルへ
SANS2017年セキュリティ意識調査報告書では、調査回答者の52%がICSの信頼性と可用性をビジネス上の最大の懸念事項として挙げている。彼らの最大の脅威懸念は、ネットワークに追加される新しいデバイスと、社内で発生した偶発的な問題に集中している。
産業界におけるサイバーインシデントの潜在的な影響と頻度の増加を考えれば、セキュリティ担当者が現在のリスクレベルを高いと評価するのは当然である。
リスクを管理し、24時間365日稼働するオペレーションをサポートするために、CISOはOT ネットワークをよりよく可視化し、意図的でないリスクや意図的な脅威を検知・防止するためのよりよい方法を必要としている。
セキュリティ専門家は、IT/OT の相互接続性を考慮し、リアルタイムのモニタリングとアクティブな防御を組み合わせた、堅牢なICSネットワークセキュリティ・プラットフォームを必要としている。
Nozomi Networks 'Guardian とフォーティネットの産業用セキュリティ製品との革新的な統合により、OT ネットワークに現在利用可能な最も包括的なサイバーセキュリティソリューションを提供します。
