注:2019年7月23日、SCADAguardianはGuardian 、SCADAguardian AdvancedはSmart Polling に改名されました。
今週、フロリダ州マイアミで開催されるS4会議には、ICSサイバーセキュリティの第一人者が集結する。この会議の特徴は、高度な技術、大規模(400人以上の参加者)、産業サイバーセキュリティを改善するための大胆な取り組みが行われることである。
これは、パッシブICS監視および脅威検知ソリューションの能力をテストするために設計されたイベントです。当社の製品はこのカテゴリーをリードしており、重要なインフラと、侵害によって影響を受ける可能性のある人々の保護に尽力しているため、当社はこのイベントに参加したいと考えています。
Nozomi Networks ソリューションは、資産目録識別で高得点を獲得した。 また、他のソリューションよりも「より詳細で正確」であると審査員から評価された。
このコンペティションの詳細と結果については、続きをお読みください。
S4 ICS資産識別の課題
このイベントの目的のひとつは、パッシブICS監視ソリューションの価値に対する認識を高めることである。これには、資産インベントリの自動化も含まれる。最近まで、大規模な異種産業制御ネットワーク内のすべての資産とネットワーク接続を文書化することは、大きな労力でした。また、産業用ネットワークは頻繁に変化し、常にデバイスが追加され、変更されるという事実によって、この作業はより困難になっていました。
S4チャレンジでは、SCADAguardianアプライアンスをスイッチの100Mbps SPANポートに接続しました。その後、パケット・キャプチャ(PCAP)がスイッチ上で再生され、アプライアンスにコピーされて分析されました。PCAPは以下のネットワークトラフィックを表しています:
- 実際のパイプラインSCADAシステム
- ターミナルのDCS
- 中・小規模端末におけるHMI/PLC設置の一部
実際のシナリオではあるが、パケットデータは匿名化されている。ほとんどのキャプチャは通常業務中に行われたが、一部はメンテナンス中に行われた。通信は、米国の石油・ガス市場で一般的に使用されているICSプロトコルとレベル0/1デバイスで構成されていた。
主催者側は、サンプルの期間が限られていること、コンテキストがないこと、ネットワークトラフィックの収集と分析に使用されたセンサーが1つだけであったことなどから、このチャレンジを「現実の世界よりも難しい」と評している。
私たちのチームは、約50分間再生されるPCAPの資産目録スプレッドシートを完成させるのに4時間かかりました。 パケットを分析するために使用したのは、自社製品のSCADAguardian(現在はGuardian )とオープンソースツールのWiresharkだけです。これらのツールは、私たちのソリューションの実装のために現場に持ち込んだものです。
Nozomi Networks 資産の識別「より詳細に、より正確に
コンペティションには4時間の時間が与えられていたが、私たちは2時間で結果を提出した。結果には、システム上で確認された資産とその属性のスプレッドシートが含まれていた。
回答を提出する際、私たちは真実であると確認できた情報のみを提出した。例えば、デバイスを特定する場合、MACベンダー、つまりデバイスのオリジナルメーカーを特定するのは簡単なことです。 しかし、私たちは、製品(PROD)ベンダーを明確に知っている場合にのみ、ベンダー名を挙げた。 私たちの観点では、エンドポイントだけでなく、その周りの包括的なシステムを知ることが重要です。
例えば、Ciscoスイッチのようなシステム(MACアドレスで示される)がSiemens Scalenceスイッチ(PRODベンダー)として使用されている場合、私たちのソリューションがそれを知っていることを確認したいと思います。デバイスの使用状況を知ることは、SCADAguardian の異常検知における誤検知を減らすことにつながります。
ボーナス・サイバー・セキュリティ情報
資産の特定に加え、サイバーリスクに関する追加情報を提出した。
- 30秒間に300を超える接続を受けたIPアドレス。これは進行中の攻撃かもしれない。オペレータは高レベルのアラートを受信し、調査して対策を講じることができる。
- 平文のユーザー名とパスワードを使用するデバイスが特定された。
- ネットワーク上のデバイスに関連する脆弱性のリスト。
詳細かつ正確な自動資産目録
産業界のオペレーターやサイバーセキュリティスタッフは、文書化が徹底されておらず、可視化も容易でないシステムを管理・監視するという不可能な作業に長い間直面していた。
私たちの見込み客や顧客は、私たちのソリューションのスムーズなインストールとシステムの即時可視化を何度も何度も体験し、喜んでいます。彼らは、自分たちが認識していなかったICSの側面を即座に認識し、より多くの情報を見つけるために簡単にドリルダウンして探索することができます。
さらに、不適切な接続、デフォルトの認証情報、脆弱性など、サイバーセキュリティや信頼性を脅かすような状況があれば、すぐに知らせることができる。
S4チャレンジの審査員から、競合他社よりも「詳細で正確な」資産目録を提供するベンダーであると評価されたことを誇りに思います。
重要なインフラや製造システムの信頼性やサイバーセキュリティに携わっている方は、ぜひ当社のソリューションでどのようなことができるかをご確認ください。
ご連絡いただければ、喜んでデモをセットアップさせていただきます。
エピローグ
イベント後、S4のオーガナイザーであるデール・ピーターソンは、チャレンジに関する2つの記事を発表した。これらの記事の中で、彼は採点システムの問題点を述べ、次のように結んでいる:
"クラロティ、Nozomi Networks 、セキュリティ・マターズは一緒の塊で終わっていると見ている。"
デールはまた、Nozomi Networks コンペティションの両フェーズにおける詳細さ、正確さ、親切さのレベルを高く評価した:
"Nozomi は、資産目録で最も詳細な情報を提供し、主要なSCADAシステムを特定した唯一の競合企業であった。"
「Nozomi (おめでとうございます)のみがTelvent OASyS DNA SCADA(この大規模な環境において最も重要なICS)に関連する回答とコンテキストを提供したことが最も注目すべき点でした。"
- デール・ピーターソンICS Detection Challenge Results - Part 2
(この記事は「パート2」と題されているが、フェーズ1 - Asset Identification(資産の特定)をカバーしていることに注意。 - デール・ピーターソンICS Detection Challenge Results - Part 1
(この記事は「パート1」と題されていますが、フェーズ2 - 脅威の検出を扱っていることに注意してください。)
