2021年に向けて、多くの組織が "ニューノーマル "な経済で生き残るために、ビジネス・オファーやオペレーションを変革している。
価値と収益創出の中核をなす業務システムは、これまで以上に不可欠なものとなっている。絶えず変化する脅威からこれらのシステムを守ることは、さらなる課題である。先日のオールズマーの水道施設の攻撃で見られたように、犯罪者は重要なインフラや産業システムを標的にしている。
OT 、IoT 環境のセキュリティ・チームとオペレータを支援するために、新しいセキュリティ・レポートを作成した。このレポートでは、ここ数カ月の最も重要な脅威と脆弱性の傾向の概要、および運用システムを保護するための実用的な洞察と推奨事項を提供しています。
サプライチェーンの脅威と脆弱性
ソーラーウインズは、2020年に最も注目されたサイバー作戦だった。このサプライチェーン攻撃により、主に米国を拠点とする数千の組織が感染した。この攻撃に加え、最近の脆弱性の傾向から、資産所有者は今こそ、OT/IoT システムの攻撃対象領域を再評価し、サプライチェーンリスクを再評価する必要がある。
SolarWindsの攻撃は、ITインフラストラクチャの管理に広く使用されているSolarWindsのネットワーク監視製品を侵害した、国家と思われる高度な脅威行為者に関与している。
攻撃の被害者は、米国政府機関に加え、重要なインフラや製造業も含まれる。被害は高度なスパイ行為であり、今後の影響は未知数である。
SolarWindsの脅威行為者は、侵害されたネットワーク内でさらなるアクセスを可能にする悪意のあるペイロードを受け取るために、少数のターゲットを慎重に選択しましたが、すべての感染した組織は現在、ネットワークのサニタイズという重大な課題に直面しています。例えば、多くの認証情報を更新する必要があります。
SolarWindsの攻撃は、最近の最も重要な脆弱性のトレンドである、サプライチェーンの調査と悪用も反映している。この攻撃は、脅威者がサプライチェーンの標的として、広く使われているソフトウェアを非常に注意深く選択した例である。この攻撃は、ネットワーク内で使用されているソフトウェアに対する権限が限られているエンド・ユーザーにとってのリスクを浮き彫りにしている。
ソフトウェア・サプライチェーンの脅威のもう一つのタイプは、Ripple20の脆弱性に代表されるように、組み込み部品のリスクである。
Ripple20は、Treck社のTCP/IPスタックで特定された19の脆弱性で構成されている。暴露された当時、これらの脆弱性がIoT デバイスにもたらすリスクについて高い懸念があった。しかし、その年の後半に行われた追加調査により、多くのターゲットが、やる気のある行為者による悪用に必要な要件を満たす可能性はほとんどないことが明らかになりました。
攻撃対象領域の縮小とネットワークのセグメンテーションは、サプライチェーンのリスクに対抗するための2つのベストプラクティスである。さらに、OT およびIoT ネットワーク・モニタリングは、攻撃サーフェスを定義し、高度な脅威を示す異常な活動を検出するのに役立つ重要な技術である。
執拗なランサムウェア攻撃、新たな高みへ
持続的なランサムウェアの脅威は、身代金の支払いに有利と思われる組織を執拗に狙っています。そして、単に金銭的な支払いを要求するだけでなく、将来の悪質な活動のためにデータを流出させ、ネットワークを深く危険にさらしている。悲しいことに、COVID-19のワクチンを研究・製造している医療機関も標的にされています。
ランサムウェア犯罪者の巧妙さは増しており、戦略や脅威のベクトルを組み合わせて使用するケースも増えている。その代表例がRyukランサムウェアグループで、2020年には全ランサムウェア攻撃のかなりの割合を占めると推定されています。
リュークのキルチェーンには以下が含まれる:
- フィッシングメール
- BazaarLoaderの実行
- コバルト・ストライクの展開
- ドメイン・ディスカバリー
- DC(ドメインコントローラー)に対するZeroLogon
- 追加資産発掘
- ランサムウェアの展開
驚くべきことに、標的となるネットワークによっては、最初の感染からランサムウェアの実行までの時間が数時間ということもある。
OT/IoT 環境のセキュリティ確保に関する推奨事項
ランサムウェア組織が無差別に企業を攻撃している脅威の状況において、積極的に悪用されている脆弱性を理解することは極めて重要です。このリスクは、高度な脅威グループがゼロデイでない脆弱性を利用して高度な攻撃を実施しているという事実によって高まっています。
組織は、パッチが適用されていないソフトウェアを特定し、更新または緩和ポリシーを実施することに重点を置くべきである。threat intelligence サービスへの加入は、最新のOT およびIoT 脅威と脆弱性のインテリジェンスを提供することで役立ちます。
脅威の状況にどのように対応すべきかを考える上で、ある時間枠における攻撃や脆弱性の数を単に知ることは、リスクを評価する方法ではない。それは、組織が直面する実際のリスクを非常に歪んだ形で表現することになる。
その代わりに、セキュリティ・チームはセキュリティの基本を継続的に改善し、これらの対策が新たに出現する主要な脅威に対してどのように機能するかを評価する必要があります。当社のOT/IoT セキュリティ・レポートは、OT およびIoT 環境に対する主な脅威とリスクを要約し、現在の脅威状況の理解を早めます。また、この脅威の状況に対する防御を改善する方法について、実行可能な洞察を与える10の推奨事項を提供しています。
サイバー脅威の進化に伴い、Nozomi Networks Labsを購読し、サイバーセキュリティコミュニティリソースを活用して最新の情報を入手することをお勧めします。
参考文献
