2000年のマルーチー事件は、悪意のある内部関係者が重要インフラへのサイバー攻撃を成功させた最初の事例として知られている。ピンとこないかもしれないが、この事件はオーストラリアのマルーチーシャーにある浄水場の元請負業者が関与しており、彼は同浄水場の汚水ポンプの制御システムを設置していた。不満が募り、自分の認証情報が解除されていないことに気づいた彼は、遠隔操作で同浄水場のコンピューター・システムにハッキングし、ポンプを誤作動させ、その結果、26万5000ガロンの生ごみが地元の公園や川に流出した。
このような重要インフラへのサイバー攻撃は、私たちが想像するような外国の国家アクターによるものである。しかし、内部脅威のさまざまな側面を理解し始めたら、もっと身近なところで起きていることに注意を払うべきかもしれない。
インサイダーの脅威とは何か?
内部脅威には、現職または元職員、請負業者、ベンダー、またはシステムに合法的にアクセスできるその他の個人が関与し、必ずしも意図的でないにせよ、セキュリティ・インシデントを引き起こします。このような個人は、通常、対象となるシステムの仕組み、環境の操作方法、貴重なデータやコントロールへのアクセス方法を知っています。インサイダーの脅威を検知し、軽減することが非常に困難なのは、このような内部知識によるものです。
内部脅威には3つのタイプがある:
1.悪意がある
個人的な利益や復讐を動機とすることが多く、損害や混乱を与えるためにアクセスや知識を悪用するような、通常とは異なる、予期せぬ、または不正な行動。2023年、テスラの元従業員2名が、75,000人以上の従業員および元従業員の個人を特定できる情報(PII)を含む100GBのデータを流出させた。
2.妥協
フィッシングやソーシャル・エンジニアリングによって操られ、認証情報を盗まれ、外部攻撃に利用される無自覚な内部関係者。2013年、ターゲットは第三者業者によってベンダーアカウントを侵害され、4,000万人のホリデーシーズンの買い物客の支払いカードからデータを盗まれた。同小売大手は、47の州とコロンビア特別区に対し、1,850万ドルの賠償請求で和解した。
3.過失
不注意、注意力散漫、せっかちな行動により、不注意で危害を加えたり、組織が外部からの攻撃にさらされたりすること。2021年、フロリダ州のオールズマー浄水場で水酸化ナトリウム濃度が急上昇した事件は、当初は巧妙なサイバー攻撃と思われた。後に、リモートアクセスした従業員が誤ってボタンをクリックしたことが原因と判明した。
マルーチー事件とオールズマー事件は、比較的まれではあるが、産業環境における内部脅威の危険性がより高いことを示している。より大規模な攻撃の第一段階となりうる有害なデータ漏洩の代わりに、犯人は実際の物理的被害を引き起こす可能性があり、実際に引き起こしたのである。
タイプ別内部脅威の頻度
内部脅威について考えるとき、私たちは悪意のあるものを心配しがちである。しかし、2022年のProofpoint/Ponemon社のレポートによると、内部脅威は最大の問題ではない。インサイダー・インシデントのうち、悪意のある動機によるものは約4分の1(26%)に過ぎない。インシデントの半分以上(56%)は、従業員や請負業者の過失によるものです。侵害された内部関係者(17%)は、クレデンシャルの盗難の被害者であり、これは過失ではないにせよ、サイバーセキュリティに対する意識のトレーニング不足が原因であることは間違いない。
悪意のある内部脅威は、最も一般的ではないタイプかもしれないが、最も発見しやすい。特権を持つシステムで何度もリモート・アクセスを試みるような行動は、過失によるミスよりも観察されやすく、また、ソフトウェアのインストール、ファイル転送、大容量のダウンロード、データの流出など、奇妙な場所から奇妙な時間帯に目立つ行動も観察されやすい。
ICS環境におけるインサイダーの脅威:より大きな影響、より大きな結果
ここでは、産業界の内部脅威がどのようなもので、ITに焦点を当てた内部脅威とどのように異なるかを説明する。
人と多孔質の風景
特に工場の現場は、従業員や請負業者、ベンダーの技術者たちが頻繁にシフトを入れ替えながら出入りする、混沌とした騒々しい環境だ。見慣れない顔が普通であり、バッジさえあれば溶け込める。バッジが一度も無効化されていなければ、誰もあなたを止めることはできないだろう。
物理的影響とデータ漏洩
企業秘密や個人情報を含む専有データが盗まれた場合、多大な損害が発生し、企業の評判が低下する可能性があります。ICS環境に対する内部の脅威は、安全性に影響を及ぼし、生産停止時間を引き起こし、機器や環境に損害を与える可能性がある。対応までの時間がより重要になります。
既知の脆弱性
内部関係者は、監視やセグメンテーションが不十分であるなど、重要インフラの弱点を知っている可能性があり、PLC、SCADA、その他の機密制御システムにアクセスできる。
簡単なクレデンシャル盗難
デフォルトのクレデンシャルは、共有クレデンシャルと同様に、OT デバイスであまりにも一般的であり、ローリングと再利用のポリシーはほとんど実施されていない。
エンドポイントセキュリティがなければ、ネットワーク上でコマンドが実行されるまで、誰がいつ何をしようとしているのかを知る方法はない。これは、OT において常に課題とされてきた。
OT インサイダーの脅威を検知するエンドポイント・セキュリティ・センサーの事例
手遅れになる前にインサイダーの脅威を検出するには、ユーザーの活動をイベントと関連付けることができるエンドポイント・セキュリティ・エージェントを使用して、インサイダーの活動をその発生時に監視する必要があります。エンドポイント・セキュリティがなければ、ネットワーク上でコマンドが実行されるまで、誰がいつ何をしようとしているのかを知る方法はない。これは、OT において常に課題とされてきた。パッシブ・ネットワーク・モニタリング、リモート・コレクタ、さらには断続的なポーリングは、ワークステーションと PLC 間の通信を検出するのには適していますが、誰がマシンにいるのかを検出することはできません。
ICS環境にITベースのエンドポイントエージェントを導入しようとする試みは、効果がないものから有害なものまで様々で、安全なサイバーセキュリティツールに対するオペレータの不信感を煽っている。 ITエージェントがICSで機能しない理由は3つある:重量級で破壊的であること、間違った(IT)脅威を検出すること、そして誤検出のフラグを立てることである。この最後の欠点は深刻な結果をもたらす。ITエンドポイントエージェントは、OT 環境での訓練を受けていないため、正当な安全プロトコルや制御システムのコマンドなど、脅威でないものを脅威と勘違いしてしまう。その結果、エンジニアリング・ハードウェアを応答不能にしたり、プロセスを停止させたり、マルウェアと認識された重要なアプリケーションを削除したりする可能性がある。
エンドポイント・センサ・テクノロジーは、産業環境のニーズを満たすべく、ついに進化を遂げた。2023年発売のNozomi Arc2023年にリリースされたものも含め、OT デバイス向けに開発されている。全てにインストールする必要はありませんが、エンジニアリング・ワークステーション、HMI、選択したICSハードウェアなど、攻撃可能な資産で人間がやり取りする場所に導入したいものです。
OT エンドポイント・センサーの最適な使用例には、これら4つの内部脅威シナリオが含まれる:
1.感染したサードパーティ製ノートパソコン
あるシステムインテグレーターがPLCのメンテナンスを行っているとき、接続したノートパソコンがマルウェアに感染していることに気づかなかった。
2.オペレーターエラー
新しく採用されたエンジニアが、誤ってHMIコンフィギュレーションを変更したり、無意味なコマンドを発行してしまう。
3.悪意のある内部の脅威
不満のある従業員が、HMIの設定値を故意に変更した。
4.クレデンシャルを盗まれた。
アラートは、権限を与えられた人物が、3,000マイル離れたタイムゾーンにある2つの場所に同時にログインしていることを示す。
ICSにおける内部脅威に対するエンド・ツー・エンドのセキュリティ戦略
インサイダー脅威の防御戦略は、一般的なOT サイバーセキュリティ戦略とよく似ている。深層における防御は常に最良であるが、いくつかのテクニックは、特に悪意のないインサイダー脅威を検知するために不可欠である。
通常、防御は物理的な入退室管理から始まり、標準的な障壁はバッジである。しかし、私たちが話しているのは内部者のことであり、彼らは定義上、全員バッジを持っている。さらに、議論したように、産業環境では、請負業者、ベンダー、その他見慣れない顔をした部外者もすべてバッジを持っている。だから、このコントロールを大きく割り引くか、あるいは単に大したバリアではないことを認める必要がある。
デジタルアクセスとクレデンシャル
物理的なアクセス制御が脆弱な場合、防御の第一線はデジタルアクセス制御となる。ベンダーや請負業者も、他の機能に結びついた安全性の低い独自のリモート・アクセス・ツールの使用を主張するかもしれない。このハードルを越えるには、ベンダーや下請け業者にもセキュリティの強化を要求する必要があるかもしれない。
また、従業員、請負業者、またはベンダーの業務が終了したら、速やかにクレデンシャルを無効化することも重要である。最後に、全社的なセキュリティ意識向上トレーニングは、注意散漫な内部関係者を餌食にするフィッシング攻撃によるクレデンシャルの盗難を防ぐのに役立つ。
ネットワーク監視
リアルタイムのICSネットワーク・モニタリング と脅威検知は、今日、重要な課題となっている。これらは、OT セキュリティ戦略全体の基礎となる可視性を提供します。しかし、内部脅威を検知するためには、エンドポイントも監視せずにネットワークを監視するのでは不十分です。その場合でも、OT ネットワークとエンドポイントを並列にサイロ化して監視しても、必要なリアルタイムの相関関係は得られません。深層における防御を提供するには、リアルタイムで連携する必要があります。収集したデータがSIEMに集まるのを待つことはできず、相関に要する時間はイベント発生から30分から60分かかる。これは、インサイダーが被害をもたらすのに十分な待ち時間だ。
OT エンドポイントモニタリング
繰り返しになるが、エンドポイント・モニタリングは、手遅れになる前に内部脅威の活動を検知するために不可欠である。産業環境にとって重要なことは、エージェントがOT デバイスのために作られたものでなければならないということである。つまり、軽量で、産業用プロトコルを読み取ることができ、ベースラインを認識するために環境について訓練されているなどである。
ネットワーク・セグメンテーション
パッチを当てることができないOT デバイスの数を考えると、産業環境におけるセグメンテーションは主要な補償コントロールであり、今頃はテーブルステークスでもあるはずだ。残念ながら、ICSネットワークは、OT 、多くの脅威が発生するITネットワークとの間でさえ、セグメンテーションが不十分であることが多い。また、セグメンテーションを含むネットワーク・トラフィックを可視化し、ポリシーが設計通りに機能していることを確認したい。
行動分析学
標準的なシグネチャ・ベースの脅威検知技術は、入力されたデータを既知のシグネチャ、つまり既知の悪意ある活動に関連するデータ列のデータベースと比較する。これは内部脅威の検知には使えない。代わりに、ベースラインからの異常(この場合は、異常、疑わしい、または悪意のあるインサイダーの活動)を検出するために、AI主導の行動分析が必要です。Nozomi Networksネットワーク、エンドポイント、ワイヤレス、リモートセンサーはすべて、それぞれのICSに特化したプロセスとセキュリティプロファイルを開発し、正常な通信のベースラインを作成するための高度な機械学習に依存している。そして、ベースラインからの逸脱を常に探すことによって未知の脅威を検出し、良性動作のアラートをフィルタリングする。その結果、サイバー攻撃や重要なプロセスの異常を迅速に検出することができる。
インシデント対応計画
情報セキュリティチームは、おそらく自動化された対応に重点を置いた、ITサイドの内部脅威に対する堅実なインシデント対応計画を策定していることでしょう。インサイダーOT インシデントが物理的な影響を与える可能性があることを考えると、その代わりに、特定の機器やプロセス制御を含むインサイダー侵害を迅速に特定し、封じ込めるために、人間に依存した、OT に焦点を当てた計画を作成する必要があります。悪意のある従業員や請負業者が PLC や HMI を侵害した場合、どのような計画があるでしょうか?それは PLC、HMI、および制御されるプロセスによって異なります。
産業界のインサイダー脅威に光を当てる
上記で引用した2022年のポネモンのレポートは、1つ以上の内部脅威を経験した278のグローバル組織を調査したものである。これらの組織には、商業部門と公共部門の両方が含まれ、それ以上の内訳はない。重要インフラや産業環境におけるインサイダーの脅威に特化したデータはほとんどない。インシデントは過小報告されるか、全く検出されないかのどちらかであり、確かに調査不足である。
常識では、問題があることを認めることが解決への第一歩であると言われている。めったに報告されないマルーチー事件を除けば、産業環境において内部脅威が問題であるかどうか、また問題であるとすればどの程度大きな問題であるかはわからない。発生することは分かっている。もし私たちがそれらについて話し始め、緩和策を共有するようになれば、おそらく来年にはもっと多くの洞察が得られ、より良い防御ができるようになるだろう。
