急速に進化する今日のデジタル環境では、運用技術(OT)の自動化が進み、モノのインターネット(IoT)デバイスが導入されたことで、重要なインフラや産業環境が多くのサイバー脅威にさらされている。これらの重要なシステムとそれらが実行する機能を保護するために、セキュリティ・チームはこれらのOT 環境を継続的に監視する必要があります。
継続的モニタリング・ソリューションとは 、資産管理、ネットワークセキュリティ管理、アイデンティティ・アクセス管理、データ保護管理、ダッシュボードによる情報の受信・集計・表示などの機能を備えたソリューション です。このブログでは、OT における継続的モニタリングの重要性を掘り下げ、これらの複雑なシステムを効果的に保護するために必要不可欠な機能を探ります。
状況認識に不可欠な能力
規制の強化、サプライチェーンの寸断、地政学的紛争の増加、そしてよく訓練された脅威要因の増加により、組織は、サイバーセキュリティ機能全体のニーズと能力構築に優先順位をつける方法について、ダイナミックで包括的な全体像を把握する必要がある。検知機能は、かつてはシグネチャやTTPだけでしたが、より高度な異常検知や機械学習機能を含むように進化しており、セキュリティ・イベントやインシデントをよりプロアクティブかつコンテキストに対応した形で検知できるようになっています。
継続的モニタリング技術は、OT における効果的なサイバーセキュリティの要である。OT の資産とネットワーク接続について、リアルタイムのコンテキストと可視性を提供する。脆弱性マッピングやthreat intelligence のような追加機能は、潜在的な脅威や異常がエスカレートする前に検出するために機能する。
継続的モニタリング・テクノロジーの導入は、セキュリティ・チームにOT 環境の状況認識を提供し、以下を実現します:
- ダウンタイムの削減:OT
環境に対するリアルタイムの洞察により、セキュリ ティチームは潜在的な脅威や異常が拡大する前にプロアクテ ィブに対処することができ、サイバー攻撃による財務上および評判への影響 を最小限に抑えることができます。 - 改善されたAsset Intelligence: 継続的なモニタリングにより、資産の包括的なインベントリーが提供されるため、より効率的なリスク管理とメンテナンスが可能になる。
- 効率的な規制遵守:多くの業界では、重要インフラのセキュリティを管理する厳しい規制が適用されます。継続的な監視は、コンプライアンスを証明するために必要な可視性とレポート機能を提供します。
。 - インシデントレスポンスの強化:
セキュリティイベントが発生した場合、継続的な監視ツールにより、チームは問題の原因を特定し、イベントを封じ込め、修復するための適切な措置を講じることができる。 - 運用の回復力:OT 環境における継続的なモニタリングは、システムの可用性や安全性に影響を与える前に、運用チームがネットワークや通信の問題を特定し、トラブルシューティングするのにも役立ちます。
OT モニタリング・アプローチのスペクトルをナビゲートする
運用テクノロジーは、従来のITとは大きく異なる。第一に、特殊なハードウェア、一般的でない、あるいは独自のプロトコルを持ち、セキュリティ機能が組み込まれていないOT 、IoT デバイスが大量に存在するため、従来のITシステムよりも監視・管理がはるかに困難である。第二に、OT システムは可用性と安全性を優先するため、ITシステムのようにパッチ適用を自動化することができず、脆弱性管理が特に難しい。
ゼロデイ脆弱性のような新たな弱点は日々特定されていますが、私たちが目にする最も一般的な妨害の手段は、脆弱なパスワード、悪質なセキュリティ慣行、および設定ミスの悪用です。ヒューマンエラーやセキュリティ手順の欠如によって引き起こされる状況は、適切な評価と注意を払えば防ぐことが可能であるが、産業オペレーションを危険なシナリオにさらす主な原因であることが多い。実際の業務で考慮すべき最初のセキュリティ項目は、ネットワークが適切に設定されているかどうかです。
NIST SP 800-82 Rev.3「運用技術セキュリティの手引き」によると、「継続的な監視は、自動化ツール、パッシブスキャン、またはリスクに見合った頻度で実行される手動監視を使用して達成することができる。例えば、リスクアセスメントにより、隔離された(すなわち、ネットワークに接続されていない)非重要デバイスのログを、OT の担当者が毎月レビューし、異常な動作が発生しているかどうかを判断すべきであると判断することができる。あるいは、パッシブ・ネットワーク・モニタは、デバイスをスキャンすることなく、脆弱なネットワーク・サービスを検出できるかもしれない。
継続的モニタリング・プラットフォームに求められるもの
OT 環境に継続的モニタリング技術を導入することで、組織はサイバーセキュリティを強化し、業務の信頼性を確保することができる。サイバー脅威が進化し続ける世界では、OT システムに対するリアルタイムの状況認識が不可欠である。
OT 、継続的モニタリング・プラットフォームに求めるものは以下の通りである:
1.資産管理
継続的モニタリング技術は、IoT デバイスを含む、環境内の全資産を識別する必要がある。これには、IP アドレス、ベンダー、インストールされているファームウェア、ゾーンのようなデータだけでなく、資産 ID、場所、管理者、重要度評価、メンテナンス・スケジュールのような補足データも含まれる必要がある。これらの情報を統合することで、セキュリティ・チームは、OT 資産の実運用コンテキストにアクセスして、リスクの優先順位付けを改善し、メンテナンス・チームと協力する際に標準化された言語を使用することができる。
2.脆弱性マッピング
堅牢な継続的モニタリング・プラットフォームは、オペレーティングシステム、アプリケーション、およびファームウェアにわたる既知の脆弱性を特定し、マッピングして、チームがリスク・レベルに基づいてパッチ適用や緩和の取り組みの優先順位を決定できるようにする必要があります。セキュリティ・チームが高レベルの暴露ポイントに優先順位をつけるのを支援するために、ソリューションは、特定された製品やデバイスの脆弱性がネットワークや全体的なセキュリティ態勢に与える影響を自動的に特定し、スコアリングする機能を備えているべきである。特定された脆弱性とスコアリングには、トラブルシューティングと修復のための各脆弱性の詳細も含まれている必要があります。
3.脅威の検出
脅威を検出して対応する能力は、あらゆるサイバーセキュリティ戦略の中核をなす。継続的な監視テクノロジーは、シグネチャとビヘイビアベースの検出技術の両方を採用し、疑わしいアクセスの試み、ポリシー違反、悪意のある実行、管理者の操作などを特定する必要があります。
このような多層的なアプローチは、進化するサイバー脅威の先を行くために不可欠です。ツールは、最新のマルウェア・シグネチャや侵害の指標で継続的に更新されるべきであり、過去のインシデントから既知のTTPやコード・シグネチャを分類し、ネットワーク内のどこかで認識された可能性のあるTTPやシグネチャをセキュリティ・チームに警告する機能が必要である。
4.異常検知
異常検知は、通常の通信パターンからの逸脱だけでなく、センサーの読み取り値や流量パラメータのようなプロセス内の変数についても警告することができます。Nozomi Networks ' 製品エンジンのデータ解析は、threat intelligence の情報をより広範な環境挙動と相関させ、最大限のセキュリティと運用上の洞察を提供します。当社のソリューションは、プロセス変数を含むすべてのデバイスとその動作を即座にベースライン化し、プロファイル化することで、異常な動作を迅速に突き止めます。
5.予測分析
asset intelligence 、脆弱性データと異常検知を組み合わせることで、強力な機械学習機能により、経験豊富なセキュリティ管理者が習得した知識をエミュレートし、多数のアラートデータのレビュー、相関付け、優先順位付けといった面倒な作業を自動化することができます。AI対応アナリティクスは、カスタマイズ可能な強力なクエリを提供し、一般的な質問に人間が読み取れる言語で回答することで、ユーザが自社の環境とセキュリティ態勢をより深く理解できるようにします。このレベルのコンテキスト駆動型自動化により、データ分析スキルセットの必要性が軽減され、セキュリティ・チームは、修正に必要な優先度の高い問題により多くの時間を割くことができます。
Nozomi Networks プラットフォームは、OT ネットワークの継続的なセキュリティ監視を実現し、産業攻撃対象領域全体にわたるセキュリティイベントとインシデントの早期発見を可能にし、重要な意思決定と修復のためのリアルタイムの状況認識を提供します。当社のツールは、脆弱性マッピングや脅威検出などのセキュリティ機能を実行する前に、資産インベントリとネットワーク特性を取得します。
市場に出回っている他のソリューションとは異なり、当社のプラットフォームは、ネットワーク監視、エンドポイント監視、smart polling など、さまざまな方法を使用して脆弱性情報を収集し、すべての資産に対して、それらがアクティブに通信していない場合でも継続的な可視性を提供します。当社の Threat Intelligenceフィードは最新のIOCで更新され、ほぼリアルタイムで継続的に配信されます。脅威リスク指標には、Yaraルール、パケットルール、STIX指標、脅威定義、脆弱性、および広範な脅威知識ベースが含まれます。
Nozomi Networks プラットフォームを使用したOT 継続的モニタリングの実践的な戦略と推奨事項については、以下のガイドをご覧ください。
