OT セキュリティ:何が難しいのか,どうすればマスターできるのか?

OT セキュリティ:何が難しいのか,どうすればマスターできるのか?

運用技術(OT)は,産業および重要インフラ事業者にユニークなセキュリティ上の課題を提示している.

 

OT セキュリティの難しさとは?

サイバーセキュリティプログラムは,エンタープライズ・コンテンツ管理,電子メール・セキュリティ,インターネットとアプリケーション・セキュリティ,ソフトウェア開発とベンダー・コンポーネント・セキュリティ,OT ,プロセスとオペレーションにおける産業制御システム(ICS)機器など,各組織のデジタル・ランドスケープ全体をカバーする人,プロセス,テクノロジー,そして上流と下流のサプライチェーン全体に監督と能力を拡大する.

 

OT やICSは,産業革命後,インターネットの時代になる前に社会を支配していた産業にとって,サイバーセキュリティのベストプラクティスが形を整えつつあるニッチな領域である.ITシステムが,主流かつユビキタスなシステム全体にわたって同様の方法で悪用される可能性が高い,より多くの既知の脆弱性に直面しているのに対し,OT セキュリティは,レゴブロック(ハードウェアの順列)とルービックキューブ(ソフトウェアと構成の順列)の複数の組み合わせに類似した潜在的な構成を持つ,独自のケースバイケースの区別であることが多い.

 

OT サイバー攻撃には主に2つの形態がある:

  1. 物理的な混乱や破壊をもたらす可能性のある,長期的で検知されないアクセスや搾取を確立することを目的とした,単一の標的に対して設計された調整された攻撃.
  2. 確立された戦術,技術,手順(TTPs)に基づく,組織横断的な共通分母を含む機会的攻撃.

数十年前のITインフラで運用されている可能性が高い高価値の標的(OT )と,相互に依存し合う企業システムやビジネス・プロセスとの間で,懸念は変動している.いくつかの攻撃傾向が現れています:

  • 産業部門やハイパーコネクテッド施設は,物理的インフラとサイバーインフラの間に独自の相互依存関係を有しており,課金詐欺からIoT センサーの操作,プロセスを停止してビジネスの中断や物理的破壊を引き起こすためのオペレーション技術(OT)システムの徴用に至るまで,悪用されやすい状況にある.
  • OT ,資産やネットワークを持つほとんどの資産所有者や事業者の攻撃対象は広大で,地理的・組織的な複雑さとともに拡大しており,多くの組織の業務が分散化されているため,セキュリティにギャップが生じることが多い.
  • OT を標的とする脅威やアクターの数は増加している.国家的アクター,各セクターに代表される経済的価値を理解するサイバー犯罪者,目的や幅広いアジェンダを公に推進しようとするハクティビストなどである.
OT セキュリティ脅威マトリックス
OT セキュリティ脅威マトリックス

OT システムに対するサイバーセキュリティのリスクとは? 

  • 既知の脆弱性と耐用年数を迎えたレガシー技術
  • 技術情報資産とコンフィギュレーションのオープンソース化
  • 資産とネットワークの企業ネットワークまたは公共ネットワークへの接続性
  • ヒューマンエラー,事故,見落とし,軽薄なインターネット接続
  • 可視性の欠如 OT 資産通信ネットワーク接続性

OT セキュリティ製品用ドライバ

OT はますますネットワークに接続され,役員室,施設管理者,情報通のエンジニアなどの利害関係者にとって,リスク管理の 議論の最優先事項となっている.セキュリティ・リーダーは,数百のシステムにおける数千の脆弱性に対処しながら,数多くのセキュリティ製品を導入し,保守することで,より少ない労力でより多くのことをこなさなければならなくなっている.共通点があろうとも,OT/ICSシステムに対する攻撃は2つとして全く同じものはなく,自動化された対応と修復を困難にしている.

OT ,セキュリティ市場には3つの原動力が不可欠である:

  1. インシデントの予防には,悪用される前にログを解析し,フォレンジック情報やプロトコル情報を得る能力がますます必要になっている.そのためには,継続的な監視,脆弱性管理,アクセス制御,ネットワーク・セグメンテーション,脅威検知機能が必要である.
  2. ITリスク管理のリーダーやCISOは,OT の脅威,リスク,脆弱性について明確な理解を示すことがますます求められており,資産やネットワークを把握するための新たな権限をチームやリーダーに与えている.
    ‍.
  3. 政府の規制や標準化団体は,産業および重要インフラ部門全体で増加しており,OT ,サイバーインシデントに関する情報共有の義務付けが続々と現れている(米国と欧州ではすでに可決).

 

OT セキュリティ製品の課題

 

成熟したサイバーセキュリティプログラムは,セキュリティ・ポリシーを実施し,セキュリティ情報を見直し,よりレジリエントなデジタル・ターゲットを構築するために,人材,ツール,プロセスに投資する.サイバーセキュリティに対する「セット・アンド・フェザー・イット」のアプローチは,いずれ失敗する.そのためには,環境内の資産の性質と挙動を把握し,脅威を監視し,リスクを追跡,報告,削減するための測定可能な方法を持つ必要がある.

これらは,OT セキュリティツールを導入する際にチームが直面する3つの課題である:

  1. 予算不足,競合するビジネス上の優先事項,資金調達構造の考慮事項,セキュリティツールの正確な ROI(ビジネスへの影響という観点から予防策を計算すること)を実証することの難しさなどにより,製品の選択と購入は負担の大きいプロセスとなっている.
  2. 継続的なモニタリングや脅威検知製品を活用するために必要な人材や専門知識には大きな隔たりがあり,IT部門と比較して,OT 資産やネットワークトラフィックを分析する準備を整えているアウトソーシング・マネージド・サービス・プロバイダーは少ない.
  3. バイヤーは,OT セキュリティと産業用サイバーセキュリティ製品の選択肢をかつてないほど多く持っている.高度なソリューションによるデータの複雑さ,利用可能な市場ソリューションと競合他社との差別化要因の理解は,時として市場に明確さよりも混乱をもたらす.  

 

OT セキュリティ問題の解決

 

OT ネットワーク・アクティビティがリアルタイムで監視されていなければ,資産のステータスはほとんど不明であり,脆弱性があろうがなかろうが,日々の機能に必要な可視性がなければ,これらの資産を保護することはできない.ビジネスの利害関係者,所有者,および運用者にとって,脅威とリスクがますます明白になる一方で,防御可能なアーキテクチャーを構築し,脆弱性を管理し,レジリエンスを構築する方法には,主に 4 つの能力が必要である.

OT 資産の可視性

OTおよびIoT 環境における資産検出は,ミラー化されたトラフィックの観察に基づいて完全に受動的に行うことができ,重要なプロセスを中断させたり,アラームを作動させたり,追加のトラフィックを発生させたりすることはありません.OT デバイスの発見だけでなく,究極の利点は,環境内のセキュリティ・インシデントから回復するまでの平均時間を短縮することです.

ネットワーク・ダイアグラムは,静的構成のハイレベル・マップを提供しますが,トラフィックを継続的に監視し,ネットワークやデータの変更にタイムスタンプを付ける機能がありません.Nozomi Networks ソリューションは,通信デバイスとトラフィック・パターンの完全なビューを取得し,調査を加速し,ネットワークのセグメント化と資産および通信の監視を改善する方法を迅速に特定できる可視化マップを構築するのに役立ちます.

OT 脆弱性管理


重要インフラで使用される機械や機器を製造するベンダーのOT/ICS やIoT システムには,既知の製品の脆弱性が数千件存在する.

各脆弱性は,関連する共通脆弱性スコアリングシステム(CVSS)スコアとともに公表されているが,脆弱性の指定された深刻度に基づいて,あるエンティティのリスクプロファイルにとって脆弱性がどの程度深刻であるかを即座に理解することは不可能である.

Nozomi Networks OT 脆弱性管理機能は,デバイスの脆弱性を自動的に特定し,スコアリングします.NIST の NVD(National Vulnerability Database) を活用し,標準化された命名,説明,スコアリングを行うことで,どのデバイスが危険にさらされているかを迅速に判断します.さらに,各脆弱性をドリルダウンすることで,より深いトラブルシューティングと改善支援を提供します. ‍.

Threat Intelligence (脅威インテリジェンス)

Threat intelligence ,過去のインシデントから既知のTTPやコード・シグネチャを分類し,ネットワーク内のどこかで検出された可能性のあるTTPやシグネチャをセキュリティチームに警告する検出機能を構築するために使用することができます.

Threat intelligence フィードは最新のIOCで更新され,ほぼリアルタイムで継続的に配信されます.脅威リスク・インジケータには,Yaraルール,パケット・ルール,STIXインジケータ,脅威定義,脆弱性,および広範な脅威知識ベースが含まれます.

OT 異常検知と分析

複数のベンダーシステム(OT )や統合により,コンポーネントや接続が増え続けている.環境とレガシー技術への依存を考慮すると,実現不可能かもしれないパッチへの依存は,不十分なセキュリティカバレッジをもたらす.

単に膨大なデータを保有・保存しているだけでは,リスク軽減には特に役立たない.ネットワーク運用のための行動分析と異常検知は,threat intelligence ,全体的なセキュリティ態勢を強化することができる.異常検知は,通常の通信パターンからの逸脱だけでなく,センサー読み取り値やフロー・パラメーターなどのプロセス内の変数についても警告を発することができる.

当社の製品エンジンにおけるデータ分析は,threat intelligence の情報をより広範な環境動作と相関させ,最大限のセキュリティと運用上の洞察を提供します.当社のソリューションは,プロセス変数を含むすべてのデバイスとその動作を即座にベースライン化し,プロファイリングすることで,異常な動作を迅速に特定します.

産業および重要インフラのサイバーセキュリティのトレンドと課題,OT セキュリティソリューションに求めるものについて詳しくは,以下のバイヤーズ・ガイドをお読みください.

見つかりませんでした.
見つかりませんでした.