この記事は2020年3月3日に更新されました。
Nozomi Networks 設立当初から、私たちはこの会社を、技術的な専門知識、OT の深い知識、産業用サイバーセキュリティにおける能力で世界的に知られる会社にしたいと考えていました。
過去数年間、私たちは製品開発に注力し、急速に成長する市場の需要に応えるためにチームを拡大してきました。同時に、ICSセキュリティ・コミュニティへの研究、ツール、責任を持って開示された脆弱性の貢献も始めました。
この度、私たちは研究活動を正式化し、研究活動に割くリソースを増やし、コミュニティとの関わりを広げたことをお知らせできることを嬉しく思います。本日は、Nozomi Networks Labsをご紹介します。その目的は、日常生活を支える産業システムの防衛を支援することです。
さらに、オープンソースのファジングツールであるRadamsaを最近強化し、ICSデバイスソフトウェアのセキュリティをより迅速かつ容易にテストできるようにしたことを発表する。
ICSセキュリティ研究イニシアティブ バージョン1.0
今日の発表に先立ち、私たちはこの取り組みを「リサーチ1.0」と呼ぶことができる。私たちのこれまでの取り組みには、次のような大まかな分野がある:
1.ICSマルウェアの研究とツール - GreyEnergyとTRITON
昨年、私たちはICSサイバー攻撃に関連するマルウェアに関する2つの重要な研究プロジェクトを実施した。
GreyEnergyでは、マルウェアの手口に関する最新情報を提供し、他のセキュリティ研究者と知識を共有したいと考えていました。当社の研究論文「GreyEnergy:マルウェアをマルドックからバックドアまで分解する、包括的なリバース・エンジニアリング分析」では、APTのコンポーネントの1つであるパッカーが、感染したシステム上でどのように効果的に偽装するかを示しました。
また、2つのツール GreyEnergy Yaraモジュールと GreyEnergy Unpackerの2つのツールもフリーで公開しました。これは、さらなるGreyEnergy分析を容易にし、将来の重要なインフラシステムの防御に貢献するためです。
Black Hat USA 2018カンファレンスに合わせて、当社は論文「TRITON: The First ICS Cyberattack on Safety Instrument Systems - Understanding the Malware, Its Communications and ItsOT Payload 」を発表しました。 この論文では、TRITONマルウェアを作成するために必要な労力、スキル、資金的リソースはそれほど高くなく、国家が後援するリソースが必要なレベルではないことが示されました。
また、2つのツール Wireshark用TriStationプロトコルプラグイン, そして Triconexハニーポットツール, ICSコミュニティがTriconex SISをセキュアにするためのツールです。
2.ICS 脆弱性の責任ある開示
さらに、過去12ヶ月の間に、私たちのセキュリティ・リサーチ・チームは12件以上の責任ある情報開示を行い、その結果、これまでにNCCICから8件の産業用制御システムに関する勧告が発行されました。
脆弱性のいずれかが悪用されると、安全事故、ダウンタイム、生産損失が発生する可能性があります。ICS-CERT の勧告を通じて資産所有者にこれらの脆弱性を認識させることで、資産所有者が修正または緩和措置を講じ、サイバーセキュリティ・リスクを低減することを期待しています。
「ICSの脆弱性は単一のベンダーに限定されるものではなく、どのようなデバイスにも組織にリスクをもたらす脆弱性が含まれている可能性があります。このため、重要な資産全体の脆弱性を定期的に評価し、優先順位をつけるプロセスに従うことが、適切なセキュリティ体制を維持するために重要なのです。
また、重要な資産が何と通信し、どのように接続されているかを知ることは、リスクを減らすために不可欠です。私たちが特定した重大なICSの脆弱性のほとんどは、ネットワークを通じて悪用可能であり、ダウンタイム・インシデントに容易につながる可能性があった。
Nozomi Networks ラボは引き続きデバイスの脆弱性を調査し、責任ある開示プロセスを通じて情報を公開していく。
モレノ・カルロ、共同創設者兼CTO、Nozomi Networks
3.セキュア通信規格の開発IEC 62351
電力業界を含め、多くの産業システムでは、セキュリティ保護がゼロか単純な通信プロトコルが使われている。この場合、プロトコルはサイバーセキュリティではなく、帯域幅と効率のために最適化されている。
この問題に対処するため、2000年代初頭、電力系統管理規格を専門とするIEC技術委員会57は、電力系統をセキュア・バイ・デザインにする方法の検討を開始した。ワーキング・グループ15(WG15)は、技術的観点から要件を評価し、それを実装する標準的な方法を定義するために結成された。
私(モレノ)は2015年からWG15のメンバーとして、IEC 62351規格、特に電力系統監視に関連するセクションの開発に貢献してきた。この作業に関する最新情報は、最近のブログをお読みください。
4.更新内容Threat Intelligence
Nozomi Networks ラボは、Guardian に完全に統合されたサブスクリプション・サービスであるThreat Intelligence を管理・運営している。Threat Intelligence は、IDSシグネチャ、Yaraルール、STIXインジケータ、脆弱性シグネチャなどの形でコンテキストを提供することにより、顧客が環境内の脅威と脆弱性を特定するのを支援する。
ICS セキュリティ研究イニシアティブ バージョン 2.0:Nozomi Networks ラボの紹介
Nozomi Networks Labsの導入により、私たちは上記の分野での活動を継続しますが、私たちの全スタッフおよびより広範なサイバーセキュリティ・コミュニティの専門知識も活用していきます。このコミュニティには以下が含まれる:
- 顧客企業のICSおよびITスタッフ
- threat intelligence およびICSデータ分析の分野で活躍する戦略的パートナー
- サイバーセキュリティリスクに関連する分野で研究を行っている大学やその他の機関
- 研究イニシアチブの共同研究を希望する個人のセキュリティ研究者
私たちの目標は、営利企業としての仕事を超えて、コミュニティ全体のOT セキュリティの向上に様々な形で貢献することです。
日常生活を支える産業システムを守る
と思っているかどうか:
- ICSセキュリティの未来は?
- 産業界のサイバー・リスクを効率的に軽減する最善の方法とは?
- 今、私の産業ネットワークにはどのような脅威や脆弱性が存在しているのか?
- セキュリティ標準の最新情報を入手するには?
- マルウェア解析のための無料ツールはどこで入手できますか?
Nozomi Networks Labsに役立つ答えやリソースが見つかることを願っています。
ICSセキュリティの研究や、産業界や機関との協力を通じて、日常生活を支えるシステムの防衛に貢献することを目指しています。
私たちのすべての研究にアクセスするには、Nozomi Networks Labsの ウェブページをご覧ください。ラボのプロジェクトにご興味のある方は、こちらまでご連絡ください。
