サイバーセキュリティのリスクと暴露を低減するため、NERC は信頼された重要インフラ保護ネットワーク環境内の 内部ネットワークセキュリティ監視(INSM)を義務付ける新規格の策定を進めている。この基準は、外部ルーティング可能な接続の有無にかかわらず、影響度の高いすべての BES サイバーシステム、および外部ルーティング可能な接続のある影響度の中程度の BES サイバーシステムに適用される。この標準は、将来的に影響の小さい BES サイバーシステムにも適用される可能性がある。
連邦官報によると、「INSMは、トラフィックが電子セキュリティ境界のような信頼されたゾーンに入った時点で、トラフィックを監視し、侵入や悪意のある活動を検知することを許可する。攻撃者が重要なシステムにアクセスする方法がますます巧妙になっていることを考えると、事業体は電子セキュリティ境界の保護にとどまらず、動的で継続的な監視手段を導入することが重要である。NERCは、既存のCIP信頼性基準にINSMを含める計画を修正し、2024年7月9日までに承認を得る予定である。
INSMテクノロジーは、資産インベントリ容量から脆弱性管理、脅威検知、状況認識まで、複数のコンポーネントと洗練されたレベルを持っている。ネットワークトラフィックを分析し、「ベースライン」ネットワークとプロセスの挙動を理解する受動的な方法を提供し、産業用および独自のプロトコルを分解し、矛盾を解消するように構築されています。INSMツールは、セキュリティ機能や制御機能が組み込まれていない運用技術や産業用制御システム(ICS)コンポーネントからのトラフィックをキャプチャします。ウイルス対策やエージェントベースのセキュリティ監視をサポートしていない資産からのデータを中継することができます。
INSM規格を推進する背景とは?
脅威行為者や犯罪集団が境界のセキュリティ防御を妨害し続けていること、2020年のソーラーウィンズ事件のようなサプライチェーンのリスクや操作が増加していること、脅威の状況が拡大し続けていることです。特に、米国国土安全保障省(DHS)、サイバーセキュリティ・インフラセキュリティ局(CISA)、連邦捜査局(FBI)が共同で発表した情報共有や侵害の指標によって、エネルギーインフラのICSが狙われていることはよく知られている。
2018年、DHSとFBIは、エネルギー部門を標的としたサイバー活動を、「小規模な商業施設のネットワークを標的とし、マルウェアを演出し、スピアフィッシングを実施し、エネルギー部門のネットワークへのリモートアクセスを獲得したロシア政府のサイバー行為者による多段階の侵入キャンペーン」と位置づけた。アクセス権を取得した後、[行為者は]ネットワーク偵察を行い、横方向に移動し、産業制御システム(ICS)に関連する情報を収集した。
2018年以降、脅威の状況は拡大する一方だ。フィッシング・キャンペーンや回避テクニックはより洗練され、攻撃は頻度を増し、サイバー脅威の主体だけがオーナーや経営者にとってのリスクの懸念事項ではない。リスクは、国家的脅威の主体、犯罪組織、悪意のある内部関係者、サプライヤー、パートナー、潜在的な顧客など、外部および内部の主体から生じている。レガシー・システムのような構造的設備、IT機器やソフトウェアは、デジタル・システムへの新たなビジネス依存を生み出している。サイバーインシデントは、自然災害、物理的攻撃、テロ攻撃、インフラの中断や劣化によってさらに悪化する可能性があり、その逆もまた然りである。
一方、電力会社は、透明なプロセスで料金値上げを承認する規制当局によって決定される合理的な経費を賄うために、顧客に転嫁するコストを制限するよう法律で規制されている。規制当局は、ベンダーの製品や理念が乱立する中で、継続的かつダイナミックなサイバーセキュリティのニーズのニュアンスを理解し、明確に説明しなければなりません。しかし、被害者がサイバー攻撃を経験した後の情報共有に対する注目や要望が高まっているにもかかわらず、悪用可能な既知の脆弱性や脅威行為者の活動、シグネチャ、TTPを継続的に監視する法律や義務付けは現在存在しない。
ビジビリティの4つのI
自動化されたリアルタイムの可視性がなければ、オペレータは利用可能な製品の脆弱性情報を手作業で収集し、静的なインベントリ・リストを確認したり、ICS向けのMITRE ATT&CKフレームワークを検討したりして、ネットワークセキュリティ・リスクのトラブルシューティングを行うしかない。ネットワーク・アクセスや侵入者のプロービングを検出する方法がなく、敵対者がネットワークに設定するかもしれないコマンド・アンド・コントロール機能を特定することができません。また、ネットワーク資産への偶発的な変更、設定ミス、古いソフトウェアやファームウェアを見逃している可能性が高く、根本原因分析のための可視性も限られている。
今日、Nozomi Networks のようなモニタリング・ソリューションには、ネットワークセキュリティモニタリングのための侵入検知、ネットワークとプロセスの異常検知の両方が組み込まれており、通信ネットワーク上の既知の悪意のある脅威を特定し、より深いパターン分析とデュー・ディリジェンスのために資産を調査します。このレベルの可視性により、品質管理と、通信およびプロセスの変数に基づくカスタム・アラートを構築する能力の両方が提供され、セキュリティ情報を強化し、実用的なインテリジェンスを提供し、リスク削減を可能にします。これらのカスタマイズ可能なアラートは、導入された各ネットワークとプロセスのコンテキストに基づいており、セキュリティ・アナリストがより迅速かつ十分な情報に基づいた意思決定を行えるよう支援します。
最近のCIRCIA(Cyber Incident Reporting for Critical Infrastructure:重要インフラのためのサイバーインシデント報告)法や、サイバーセーフティ・レビュー・ボード(Cyber Safety Review Board)の設立の可能性により、プロアクティブなセキュリティのために監視ツールを活用するインセンティブはかつてないほど高まっている。セキュリティは運用の副産物であり、その逆ではない。INSMツールは、手遅れになる前にセキュリティ・イベントの是正につながる。ネットワーク・コミュニケーションと運用プロセスの両方を理解し、ベースライン化することで、全体的な可視性が確保されます:
- インベントリ:デジタルコンポーネント、デバイス、サイバーフィジカルシステム、インフラストラクチャの資産把握を自動化。
- 完全性:データの静止時、転送時、使用時、およびセキュリティと目的に応じた運用のための運用者の視界に入るデータの完全性。
- 影響:インシデントが発生する前に、リスク、誤動作、設定ミスを事前に評価する。
- 実施:相互に依存するデータと通信を一旦静的に記録し、レビューするために必要なメカニズムを自動化する。
電力会社は、サイバーセキュリティの脅威と、それらが資産、運用、およびグリッドの信頼性に与える運用上の影響について、ますます認識するようになっている。Nozomi Networks プラットフォームは、運用技術(OT )と産業用制御システム(ICS)に対して義務付けられているNERC-CIPサイバーセキュリティ標準をサポートしています。このソリューションは、ネットワークトラフィックを監視・分析するためのカスタム・クエリーとアサーション、およびコンプライアンスを実証するためのレポート機能を提供します。
Nozomi Networks ' ソリューションがNERC CIPコンプライアンス要件をどのようにサポートするかについての詳細は、以下のマッピングガイドをお読みください。
