ブライアンは、サイバーthreat intelligence 、脆弱性リスク管理、産業用制御システムのセキュリティに重点を置いている。彼の役割は、組織がサイバーおよび物理的脅威を特定、評価、優先順位付けすること、新たな攻撃ベクトルに備えること、企業ITおよび運用技術(OT)環境におけるサイバー・リスクを低減すること、の3つを中核として支援することである。
私は、重要インフラや産業事業者がどのようにデジタルトランスフォーメーションを採用し、OT 、ITネットワークを保護し、それらに関連するリスクや脆弱性を軽減しているかについて、ブライアンの見解を聞きたかった。また、組織がサイバー攻撃から身を守るための最良の機会は何だと考えているのかも知りたかった。以下はブライアンのコメントである。
質問:これまで多くのセキュリティ専門家は、IT、IoT 、OT ネットワークのニーズに個別に対応してきました。企業がデジタルトランスフォーメーションを受け入れ、推進していく中で、OT とIoT ネットワークのセキュリティ確保に関して、どのような提言がありますか。クラウド、OT 、IT、サイバーセキュリティをどのように捉えていますか。 IoT サイバーセキュリティソリューションをどのように考えていますか?
A: セキュリティとリスクの専門家は、ハイブリッドIT/IoT/OT/クラウド環境におけるリスクを軽減するために、ゼロ・トラスト戦略を検討すべきです。決して信用せず、常に検証する」という考え方から始めることで、どこで侵害が発生してもその影響を抑えることができる。OT 、原子力発電のような非常にセンシティブな分野を除けば、この戦いにも大方敗れるだろう。OEMやセキュリティベンダーが提供するクラウド・サービスの分析能力には、単純にあまりに多くの価値がある。
私は、企業がすべての資産を、それがどこに存在し、どのようなものであるかに関係なく、ネットワーク・マップ上で見ることができる日が来ると考えている。そして、セキュリティの専門家は、すべてのドメインと施設にわたってサイバー・リスクを総合的に管理できるようになるだろう。
Q:ソーラーウインズのサプライチェーン攻撃は、2020年の最も注目すべき攻撃であり、脅威行為者がさまざまな組織とそのシステムに直接アクセスできるようにしました。サプライチェーンに関連するあらゆるリスクがある中で、リスクを軽減し、サプライチェーンの回復力を高めるために、組織は何をすればよいのでしょうか?
A: ソーラーウィンズは、一般に知られている中で最も洗練された諜報活動だろう。これは異常値です。このキャンペーンの進化を検知するために必要なリソースは、上位0.1%の企業以外では利用できません。したがって、コモディティ化した侵害テクニックやツールを防ぎ、SolarWindsのような出来事の影響を抑える、弾力性のあるセキュリティ・アーキテクチャを構築しなければなりません。
企業は、SolarWindsのようなIT運用およびセキュリティツールに対して、再びゼロ・トラスト・アプローチを取るべきである。システム、アプリケーション、ネットワークへのアクセスを、アクセスを必要とするベンダーやコンサルタントに限定する。そうすれば、次に危険なソフトウェア・アップデートがダウンロードされたときに、脅威の通信はブロックされる。
Q:重要インフラへの攻撃は根強く、広範囲に及んでおり、ビジネスプロセスから収益、人命に至るまで、あらゆるものに甚大な影響を及ぼします。オールズマーの水道施設事件は最近の一例にすぎません。今後、重要インフラを保護するために何ができるでしょうか。また、このようなリスクの影響を可能な限り軽減するにはどうすればよいでしょうか。
A: 重要インフラを保護するための包括的な戦略が必要だ。政府が重要インフラの規制を強化する余地はある。NERC CIPは、水処理システムのような他の重要インフラのモデルになりうる。アメリカの水インフラ法は新しい。オールズマーは小規模の部類に入り、リスクと回復力の評価や緊急時対応計画の提出は義務づけられなかった。AWIAは、現時点ではCIPよりもはるかに規定が緩いように見える。しかし、AWIAを遵守しても、最低限の基準を満たすだけである。
私たちのサプライチェーンは、悪意のある行為者や天候や地政学的な出来事による中断に対して脆弱である。ここでも政府が果たすべき役割がある。米国の前政権は、リスクの高い国からの送電網用ハードウェアの調達を禁止する大統領令を出した。しかし、最初の検討では、サプライチェーン・リスク管理に関するNERC CIP規制に複雑さを加えるものであった。
Q:サイバー攻撃、特に国家と密接な関係にあるアクターによるサイバー攻撃に関しては、攻撃元が誰であるかに大きな焦点が当てられています。攻撃元は重要なのでしょうか?サイバーに強いインフラを維持し、より良い事業継続性を確保するためには、どこにエネルギーを費やすのが最善なのでしょうか?
A: アトリビューションを活用できる関係者はほとんどいない。例えば、CISAは最近、SolarWindsのキャンペーンに関して、「アトリビューションに関連する1つの小さな断片を除いて、CISAが持っているすべての非機密情報を共有しました。1
重要インフラ資産の所有者や運営者は、ゼロ・トラスト戦略を通じて、国家的なものであろうとなかろうと、あらゆる侵害の影響を抑えることに貴重なリソースを費やすことができ、一貫してテストされたインシデントレスポンス計画を持つことができる。
Q: 最近、企業で働く人々が自宅のオフィスで仕事をするようになり、セキュリティ・チームや企業にとっていくつかの課題が生じています。リモートアクセスに関連するリスクにはどのようなものがありますか。また、今後サイバーセキュリティ態勢を強化するために、企業はどのような対策を講じることができますか。
A: 多くの企業が、パンデミックの発生に伴い、リモートアクセス・ソリューションを寄せ集めました。オールズマー社に関して言えば、TeamViewerは通常のアーキテクチャやセキュリティのレビューを経ずに調達され、セットアップされた迅速なソリューションであったと思われます。オールズマー社はすでに、より安全なリモートアクセス・ソリューションにアップグレードしていましたが、一時的なTeamViewerソリューションの廃止を怠っていました。
オールズマーのような侵害を防ぐには、継続的な資産の棚卸しが必須である。ゼロ・トラスト戦略では、企業は不要なハードウェア、ソフトウェア、機能をアンインストールまたはオフにし、組織の攻撃対象領域を減らす。さらに、ゼロ・トラスト戦略では、ユーザー・アカウントを高度にセグメント化し、認証情報が盗まれるリスクを低減する。
IoT デバイスのセキュリティ確保 - コンテキストが重要
ビジネスの生産性を向上させ、社会に活力を与える新しいテクノロジーは出現し続けているが、同時に重要インフラの効率性、信頼性、サイバーセキュリティに未知の課題をもたらしている。
これらのデバイスがもたらすリスクの背景を理解することは、リスクの軽減を成功させ、持続させるために不可欠です。サイバーセキュリティの専門家は、ビジネスの利害関係者に最善の道筋をアドバイスする責任がある。
ブライアンと私は、産業用制御システム(ICS)のコンポーネントとして、IT/IoT/IIoT/OT 資産の安全確保にどのように取り組むかについて議論しています。
