Known-Unknown Matrixを使用したOTサイバーセキュリティの脅威の検出

Known-Unknown Matrixを使用したOTサイバーセキュリティの脅威の検出

汎用マルウェアから迷惑ワーム、巧妙な標的型攻撃まで、組織はサイバーセキュリティの脅威にさらされる機会を減らすことで自らを守る必要があります。脅威には、ネットワーク上に何らかの形で残る、よく知られ理解されているものから、実世界に害を及ぼすことを目的とした、制御システムの機能を標的にした斬新な攻撃まで、さまざまなものがあります。  

サイバーセキュリティの脅威(OT )を含め、サイバーセキュリティの脅威を理解し、検出する方法を知るための有用なツールがKnown-Unknown Matrixである。

既知-未知マトリックスとは何か?

企業の戦略立案に携わったことがある人なら、「Known-Unknown Matrix」を目にしたことがあるだろう。不確実性マトリックスとも呼ばれるこのツールは、既知と未知に基づいて課題を分類することで、意思決定を支援するように設計されたシンプルかつ強力なリスク評価ツールである。

既知の未知のマトリックス
既知-未知マトリックスの4象限

このマトリックスは、OT およびIoT のサイバーセキュリティの脅威の種類を分類し、適切な手法で脅威を検出し、可能な限り早期にリスクを最小化できるようにするのにも最適です。また、これらの分類では、脅威をルールベースまたはビヘイビアベースのテクニックの 2 つの方法のいずれかで検出することの重要性を区別します:

  • ルールベースの検知は、インジケータが容易に観察可能で、一致する可能性が識別可能な脅威の検知に効率的です。ファイルハッシュ、IPアドレス、ドメイン名など、事前に定義された属性のユニークなパターン(シグネチャ)に基づいて脅威を特定します。これらの属性は、疑わしい脅威の活動から抽出され、同じシグネチャを持つ既知の脅威のデータベースと比較することができます。
  • 行動ベースの検知はより洗練されている。脅威、行動、アクティビティがどのように振る舞い、ネットワークと相互作用するかを観察・分析し、パターンや関連する行動やイベントを探します。ヒューリスティック・ルールや機械学習アルゴリズムを使用し、不正アクセス、ファイル変更、その他の異常などを識別します。  

既知の既知の商品マルウェア - Conficker

Conficker(CVE-2008-4250)は「死なないワーム」と呼ばれている。2008年に出現したこのワームは、瞬く間に世界中で約900万台のWindowsコンピュータに感染しました。Cybersecurity and Infrastructure Security Agency (CISA)によると、2020年には200台以上のICSエンドポイントが感染するという。  

未知のマトリックス(Known-Unknown Matrix)の観点から言えば、私たちはConfickerについて知っておくべきことをすべて知っている。Confickerが何であるか、どのように動作するか、そしてどのように軽減するかを知っている。どのような環境でも、Confickerに遭遇すれば、迅速に対処することができる。  

Nozomi Networks は、OT/IoT ネットワークに影響を与える既知の脆弱性に関する広範なデータベースを管理しています。これは、当社のセキュリティ・リサーチ・チームおよび世界中の研究機関によって収集されたものです。このデータベースとお客様の環境を比較するためにルールベースの検出を使用することで、当社のセンサーはOT/IoT ネットワークの脆弱性と脅威を即座に特定することができます。  

既知の未知:クレデンシャル・アクセスの悪用 - BlackEnergy  

既知の未知のリスクとは、存在することは分かっているが、それが何なのか正確には分かっていないリスクのことである。その一例が、現在悪名高いBlackEnergy事件である。2015年12月、西ウクライナの電力網がロシアのハッキンググループSandwormによって攻撃され、クレデンシャルアクセスの悪用により、OT/ICS に直接影響を与えることができました。この攻撃により、約22万5000人の住民が最大6時間にわたって停電した。  

クレデンシャル・アクセスの悪用は既知の脅威ですが、その未知の影響は、標的となるシステムやオペレーションのインフラやアーキテクチャによって異なります。BlackEnergyへの対応には、広範かつ分散的な緩和策と人員の投入が必要でした。  

OT/IoT 環境で潜在的な敵が使用している TTP についてthreat intelligence を持っていればいるほど、防御で一歩先を行くことができます。ICS Advisory Projectや MITRE ATT&CK for ICSのような静的なオープンソースのリファレンスツールでは、同様の攻撃を検知するには不十分です。  

Nozomi Networks Threat Intelligence フィードは、集約された脅威リサーチと分析、およびYaraルール、パケットルール、STIXインジケータ、脅威定義、脅威ナレッジベース、脆弱性シグネチャを含む脅威インジケータに関する詳細情報を提供します。当社のセンサーとプラットフォームは、産業プロセスやIoT デバイスに特化した最新のマルウェアや侵害指標で継続的に更新されています。  

未知の既知:破壊的ワイパー - NotPetya

破壊的ワイパーは、未知の既知の完全な例であり、予期せぬ能力を用いて環境を混乱させ、劣化させるように設計されている。2017年、破壊的ワイパー「NotPetya」は、世界的な大手企業であるマースクやメルクを含む世界中の80社以上に感染した。NotPetyaのようなゼロデイ・エクスプロイトは、標的の組織やシステムに甚大な影響を与えることが知られている、これまで公表されていなかったエクスプロイトであるため、未知の既知である。  

NotPetyaは、ランサムウェアを装っていたが、リカバリ機能を持たず、EternalBlueとMimikatzのエクスプロイトを組み合わせて使用し、RAMから保存されたパスワードをハイジャックし、リモートアクセスを取得し、人間の操作を必要とせずにコードを実行した。これだけでは十分でない場合は、システムからシステムへジャンプして認証情報を見つけ、認証してワイパーを展開することも可能で、最終的に被害総額は100億ドルを超えた。

ゼロデイ・エクスプロイトには、asset intelligence に基づく行動ベースの検知が不可欠である。これらの脅威は、研究者、ソフトウェアベンダー、一般にまだ知られていない脆弱性を利用しているため、特に脅威的です。Nozomi Asset Intelligenceは、AI、機械学習、OT およびIoT デバイスのシステムおよび設定データの膨大なデータベースを活用し、ゼロデイを含む異常を検出します。アラートは、これらのデバイスの理解された基本操作から逸脱した疑わしいイベントやアクティビティをアナリストに指し示します。  

不明不明:ネイティブ機能のハイジャック - INCONTROLLER

INCONTROLLERは、サイバー行為者が特定のベンダーのシステムに対して高度に自動化されたエクスプロイトを実施することを可能にする、カスタマイズされた攻撃ツール(Tagrun、CodeCall、Omshell)のセットである。脅威行為者はINCONTROLLERを使用して、OT ネットワークに最初のアクセスを確立し、その後、おそらくデバイスのパラメータを変更することによって、これらの資産をスキャンし、侵害し、制御することができます。この例は、OT 攻撃者が、重要なインフラ環境とそれを混乱させる方法について深い知識を得ており、潜在的に悲惨な影響を及ぼしているという証拠を提示しています。

サイバー防衛者にとって最悪のシナリオは、未知の未知の脅威、つまり最も不確実で、それゆえにリスクをもたらす脅威である。

非常に良いニュースは、INCONTROLLERが一度も悪用されたことがないということだ。ありがたいことに、INCONTROLLERが使用される前に、Mandiantと協力している米国連邦政府機関が、高度持続的脅威(APT)行為者がこの能力を発揮したことを警告する共同サイバーセキュリティ勧告を発表した。サイバーセキュリティベンダー(Nozomi Networks を含む)は、この洗練されたツールキットに関する詳細を迅速に検出機能に組み込み、顧客が確実にカバーできるようにした。  

asset intelligence Nozomi Networks プラットフォームは、プロセス変数のモニタリングと異常検知にAIを使用しています。このプラットフォームは、偽のアラートを排除し、プロセスの傾向をより深く理解するために、時間の経過とともにプロセスの挙動を学習します。ネットワークトラフィックの従来の異常検知メトリクスを作成するだけでなく、プロセス変数と制御システム・データのトレンドラインを作成します。これにより、潜在的なプロセスの問題を特定し、根本原因の分析を拡大することができます。

Nozomi Networks プラットフォームによる既知および未知のOT 脅威の検出

様々なサイバーセキュリティの脅威を理解するためのツールとしてKnown-Unknown Matrixを使用することは、斬新である程度有用なアプローチである。しかし、セキュリティ上であれ運用上であれ、ほとんどの異常は継続的に検出され、さまざまな手法を使って注意すべき優先順位が付けられなければならない。  

Nozomi Networks プラットフォームは、OT/IoT 環境で利用可能な最も洗練された検出エンジンを備えています。ルールベースとビヘイビアベースのテクニックを組み合わせ、既知の脅威から未知の脅威まで、アナリストやオペレータをアラートや誤検知で圧倒することなく、環境内のあらゆる脅威を検知し、その影響を制限します。  

自動的に生成される脅威インテリジェンスの説明図
Nozomi Networks Threat Intelligence フィード

 

Nozomi Networks ' ホリスティックな脅威検知機能を実際にご覧になりたい方は、デモをリクエストするか、次回の月例デモセッションにご参加ください。