注:ETHOSの一般会員は、ETHOSやその方向性、将来の発展に貢献したい個人、組織、セキュリティベンダーであればどなたでもご入会いただけます。 詳細はこちら。
Who: Nozomi Networks , 1898 & Co, ABS Group, Claroty, Dragos, Forescout, NetRise, Network Perception, Schneider Electric, Tenable, and Waterfall Security.
何:共有されたOT/ICS データを自動的に比較し、統計的に有意な行動、異常、新しい攻撃の指標をリアルタイムで特定するオープンソースコミュニティツール。
場所: Github: 非営利団体、政府機関、セキュリティベンダー、ISACなど、どのような団体でも ホスティングできる可能性がある。複数のサーバーを同時にホストし、相互運用が可能。
いつ? 2023年4月にスタートし、設立メンバーは2024年までに概念実証を構築する。参加者はGithub上に構築された投稿・通知APIを評価し、ツールがどのように情報を匿名化・集約するかを理解することができる。
理由: CISAの「シールド・アップ」の呼びかけとバイデン政権の「100日スプリント」に呼応し、運用技術や重要インフラを標的とする新たな脅威への対応期間を短縮することを目的に創設された。
ETHOS( エマージング・スレット・オープン・シェアリング)の紹介
ETHOSは、既知の検出値やマルウェアのシグネチャで警告を発した後にデータを共有するのではなく、幅広い運用技術(OT)や産業用制御システム(ICS)環境の異常な挙動を調査するための早期警告メカニズムを開発するために、リアルタイムで情報を共有するように設計されています。
ETHOSは、新たな脅威や活動の頻度分析を自動化し、新たな戦術、技術、手順(TTP)が出現した場合の迅速な対応を可能にします。新たな脅威を特定・分類するためのデータ精緻化期間の短縮や、悪用に成功した場合の深刻な攻撃経路の防止といったメリットがあります。
OT 、どのような企業やセキュリティベンダーもプロジェクトに貢献し、独自のサーバーをホストすることができる:
- 共有情報を比較する、
- 匿名化されたデータの提供
- 相関関係の通知を受け取る。
Nozomi Networks は、ベータテスト用の最初のETHOSサーバーのホストを志願し、すでにマシン間のデータ共有のための統合機能を開発している。
将来的には、どのような企業や政府機関でも、オープンソースプロジェクトを利用したETHOSサーバーを独自にホストできるようになる。ホストは、選択された参加者とクライアントに接続を許可し、情報を共有することができます。ETHOSサーバーに参加して通知を受け取るには、データを送信するための統合機能を備えたETHOSクライアントを構築する必要があります。
各ETHOSサーバーは、参加クライアントまたは統合監視・検知ツールが共有するデータの相関関係のみを実行する。各クライアントには、サーバー用のユニークなIDが提供され、ベンダーの顧客データを特定することなく認証が行われる。ETHOSの通知に基づいて、より詳細な分析や調査を行う責任は、サーバーからの集計および相関通知を受け取ることを選択した顧客にあります。
積極的な情報共有の必要性
米国政府の観点からは、OT/ICS を捕捉するためのガイダンス文書の更新が予定されている。いくつかの省庁は、情報共有を可能にし、標的とされる可能性がある場合や、システムに新たに脆弱性が発見された場合に、部門内および部門間で警告を発するための新たな方法を検討している。
しかし、単一の情報源から業界全体に情報を提供することはできない。ETHOSが広く採用されれば、重要なインフラ事業体に対して、差し迫った攻撃の早期警告を提供する信頼できる第三者機関として機能する。
ITとOT 、金銭的な動機と物理的な混乱を引き起こすためのマルウェアの両方を利用したサイバーインシデントが増加している。サイバー・フィジカル・システムと運用の決定論的で目的に合わせて構築された性質により、OT/ICSに対する攻撃は2つとして同じものがない。
CISAの「シールド・アップ」イニシアティブは、サイバー能力と国家戦略が争点となる時代における地政学的緊張を背景としている。このような力学は、インフラが手薄になり、防衛が反動的になりがちで、多くの産業がカモにされているような現実を生み出している。
ETHOSコミュニティは、関連する重要インフラ事業体や利害関係者のために、サードパーティ、ベンダー中立、リアルタイム匿名化された情報共有に必要な足場を構築してきた。
ETHOSのビジョン
今日、関連するthreat intelligence を共有するために一般的に使用されているSTIX/TAXIIサーバーは、情報を共有するために必要な情報をすでに持っている場合に、利用可能なデータを共有するために設計されており、さまざまな間隔で更新が入力され、配信される。即時の、リアルタイムの、機密情報のためのビーコンとしては配備されていない。
Nozomi Networks ' のようなセキュリティ監視・検知ツールと組み合わせると、ETHOSプラットフォームにオプトインしたセキュリティチームは、異常な活動、イベント、または悪意のあるネットワーク活動や軽薄なネットワーク活動のまだ認識されていない指標について、相関する頻度データの即時アラートを受け取ることができる。
例えば、すでにネットワーク・モニタリング、Nozomi Networks ソリューション、threat intelligence 、asset intelligence を導入している大規模な電力会社では、セキュリティ・チームの異常検知のトリガーとなるイベントが発生する可能性がある。このイベントが、相関関係のない複数のベンダーのテクノロジーにまたがって、多くの場所で検出された場合、リスクのあるオペレーションは、数週間から数カ月にわたって調査することに気づかないかもしれない。
あるいは、さまざまなベンダーのソリューションを持つ十数社の電力会社が、すべてETHOSサーバーで相関する同じ未知のIPアドレスを検出した場合、セキュリティチームは、このIPアドレスのアクティビティに関する相関レベルを知ることで、プロアクティブに調査し、予防措置を講じることができます。
ETHOSのスプリアス・アクティビティとイベント頻度を比較する機能により、参加するエンドユーザは、顧客ベース、セクター全体、または多くのセクターにわたって、既知のシグネチャや検出と関連しない最も疑わしいアクティビティに優先順位を付けることができます。ETHOSは、重大なセキュリティ・イベントを予兆する証拠を調査することを可能にします。
Nozomi Networks 監視と検出
ETHOSのクライアントは、Nozomi Networks プラットフォームのようなベンダー・テクノロジーを活用することになる。今日、デジタルトランスフォーメーションとプロセスの自動化により、従来のOT/ICSデバイスと企業ネットワーク、ビジネスアプリケーション、そしてサプライチェーン・ベンダー、顧客、パートナー、さらには連邦規制当局などの外部組織との間の緊密な統合が余儀なくされている。多くの企業は、これまで監視されていなかったネットワークや環境を可視化したいと考えています。
Nozomi Networks ソリューションが検出する:
- OT の資産と外部ネットワーク、インターネット、新しいデバイスとの間の不正または疑わしい接続。
- OT およびIoT ネットワーク内のサブネット間で、IP および独自プロトコルを使用した不正または疑わしい接続が行われている。
- OT アセットの設定変更
- MITRE ATT&CK および ATT&CK for ICS フレームワークにおける戦術、技術、手順(TTPs)
- 不必要な、軽薄な、または未知の、疑わしい、または許可されていないポート、プロトコル、およびサービスの露出および/または使用。
- OT (タイミング、場所、コマンドなどに基づく)異常な行動や操作。
侵害を想定する」という考え方により、セキュリティ製品の焦点は、最悪のシナリオが展開されてから対応するのではなく、潜在的な影響の深刻度を軽減することでなければならない。
