大恐慌時代に銀行強盗を繰り返したWillie Sutton は、銀行強盗の理由を尋ねられると "そこに金があるからだ" と答えたと言われています。もし Sutton が現代のサイバー犯罪者であったなら、その答えは "なぜエンドポイントを攻撃するのか?そこが人間が関わる場所だからだ" と答えるでしょう。
IT セキュリティにおける最大の脅威は、ソーシャルエンジニアリング、認証情報の盗難、脆弱性の悪用です。OT では、悪意のある攻撃も確かに存在しますが、多くの脅威は、出入りする従業員や認定されたサードパーティの技術者による不注意なミスが原因となっています。多くの場合、そのミスはリモートで行われます。工場内では、社内チームと社外チームが協力してプロセスを円滑に維持するために、活気のある活動が行われています。
エンドポイントのセキュリティがなければ、ユーザーの行動とイベントを関連付ける方法はありません。つまり、誰がいつ接続し、何をしているのかを知る方法がないのです。その人のコマンドがネットワーク上で実行されるまで、それを知るすべはないのです。それは遅すぎます。
これは OT では常に課題となってきました。受動的なネットワーク監視、リモートコレクター、さらには間欠的なポーリングは、ワークステーションと PLC 間の通信を検出するには優れていますが、マシン上の人物を特定することはできません。
OT エンドポイントにエージェントをインストールすることに対する懸念は依然としてありますが、顧客の態度は変わりつつあります。エージェントが引き起こす可能性のある被害や混乱を恐れてエンドポイントセキュリティを導入しないという状況は終わり、次のような声が聞かれるようになりました。
"この HMI が PLC と通信していることを知っているだけでは不十分です。このコマンドが送信された時点で、ユーザー A が HMI にログインしていたことを知る必要があります。"
テクノロジーはついに、産業環境のニーズに応えるまでに進化しました。2023年にリリースされた Nozomi Arcをはじめとする安全で業務を中断させないエージェントは、OT エンドポイント専用に開発されています。残念ながら、IT に重点を置いたエージェントを OT デバイスに展開した際のネガティブな経験は、業界を後退させる結果に終わりました。7月19日に世界中で Windows デバイスに大規模な障害を引き起こした、今や悪名高い CrowdStrike のエンドポイントセンサー Falcon への欠陥コンテンツアップデートは、事態をさらに悪化させました。
OT エンジニアリングおよび情報セキュリティチームが多重防御を検討する上で、CrowdStrike 関連のクラッシュを理由に躊躇すべきではありません。しかし、この事件は、OT エンドポイントの独特な高可用性要件を満たす製品をエンドポイントセキュリティベンダーが設計することがいかに重要であるかを浮き彫りにしています。例えば、Nozomi Arc はホストオペレーティングシステムのカーネルレベルで動作せず、マシンを再起動することもなく、システムリソースの使用も非常に軽微です。
なぜ IT エージェントはOT で働かないのか?
エンドポイントセキュリティエージェントは、IT セキュリティ展開の標準的な一部であり、デスクトップコンピュータ、ラップトップ、プリンターだけでなく、爆発的に増加している IoT やリモートデバイスにも導入されています。OT オペレーターは、システムの稼働時間や運用への影響を懸念して、従来はアクティブモニタリングを避けてきました。こうした懸念はもっともなものです。従来のエンドポイントエージェントが産業環境で十分な効果を発揮できない主な理由をいくつかご紹介します。
1. 重量級で破壊的
多くの OT デバイスやコントローラは、特定のタスクを実行するために設計された限られた演算能力とメモリしか備えていません。標準的なアンチウイルスエージェントでさえ、多くのリソースを消費します。また、IT エンドポイントセキュリティソリューションは通常、インストール後にシステムの再起動が必要となり、ダウンタイムが発生します。
2. 間違った脅迫
従来の脆弱性スキャンや侵入防止システムは、IT 環境で訓練されたヒューリスティックや機械学習モデルを使用して IT の脅威を検出するように設計されています。 産業用脅威を探知することはできず、産業用通信プロトコルを理解することも、OT ベースラインを認識することもできません。 その結果、エンジニアリング用ハードウェアが応答しなくなったり、安全プロトコルや制御システムコマンドが不正なものと認識されたり、プロセスが停止したり、マルウェアと認識された重要なアプリケーションが削除されたりすることがあります。
3. OEM ベンダー認証
OT/ICS デバイスは通常、エージェントをインストールすると無効になる特定の構成について、OEM ベンダーによって認証されています。これは当然の懸念ですが、OT デバイス専用に設計されたエンドポイントエージェントは、特に重要なインフラストラクチャにおいて、産業用サイバーセキュリティをエンドポイントに移行して重要な資産を保護する必要があることを認識している OEM 企業の間で支持を集めています。
トラブルシューティングとフォレンジックのためのディープ アセットコンテキスト
OT エンドポイントセンサーは、デバイスタイプ、ベンダー、OS またはファームウェアのバージョン、シリアル番号、IP および Mac アドレス、ノード、ゾーン、使用されているプロトコル、アクティブなアカウント、疑わしいユーザーの行動など、詳細なデータを提供します。 また、SIGMA ルールをを使用してホストログファイル内のイベントパターンを分析し、マルウェア、認証情報の盗難、スクリプトのダウンロードなど、進行中のイベントを特定することも可能です。 このコンテキストは、オペレーターとセキュリティアナリストの両方に役立ちます。
オペレーターがこれまで持っていなかったトラブルシューティング情報を提供することは、サイバーセキュリティの事例を構築し、信頼を獲得する上で非常に有効です。エンドポイントセンサーを使用することで、構成の変更や異常だけでなく、誰がデバイスにログインしたか、そのデバイスが他のどのデバイスと通信しているか、どのプロトコルを使用しているかを確認することができます。大きな利点は、East-West トラフィックと未承認の USB 接続の可視化です。
East-West トラフィックとUSB接続の可視性
OT 環境で広く使用されているパデューモデルでは、レイヤー間で情報が上方向に流れることは可能ですが、ファイアウォールによって下方向への流れは一切遮断されます。そして、レイヤー内の東西方向の可視性はブラックホールのようになります。お客様はこれを切望しており、特に OT オペレーターはゾーン内で何が何と通信しているかを確認する必要があります。
IT セキュリティでは、クラウド経由でファイルを簡単に転送できるようになったため、USB の使用は大幅に減少しました。しかし、OT 環境では、依然としてアクセスレベルが制限された環境間でファイルを移動するために一般的に使用されています。ほとんどのファイル転送は日常的なものですが、その実務にはリスクがあります。最悪の場合、BadUSB 攻撃によってUSB が再プログラムされ、被害者のコンピュータ上で悪意のあるコマンドが実行される可能性があります。Arc のようなエンドポイントセキュリティセンサーは、USB が環境に接続された日時と場所、およびコマンド、スクリプト、データ移動に関わる非人間的な動作を検出します。
OT エンドポイントの可視化によるサイバーリスクの発見
エンドポイントの可視化が違いを生む、意図せぬ被害または悪意のある行為に関するいくつかの具体的なシナリオを以下に示します。
1. 感染したサードパーティ製ノート PC
システムインテグレーターが PLC のメンテナンスを行っています。ユーザーたちは気づいていませんが、ノート PC はマルウェアに感染しており、その PC を PLC に接続すると、PLC に感染します。ネットワーク監視だけでは、マルウェアがネットワークに侵入した時点で発見することになりますが、それは手遅れになる可能性もあります。
2.オペレーターエラー
新しく採用されたエンジニアが、誤ってHMIコンフィギュレーションを変更したり、無意味なコマンドを発行したりした。リアルタイム・デバイス・モニタリングがあれば、被害が発生する前に、オペレーターにエラーを警告することができる。インシデントの代わりに、トレーニングの機会を得ることができます。
3.悪意のあるインサイダーの脅威
不満を抱えた従業員が、HMI の設定値を故意に変更します。セキュリティアナリストは、その値が通常のパラメータの範囲外であることを警告しますが、オペレーションに精通したオペレーターやチームメンバーは、パニックを起こすべきかどうかを判断できます。
4. 盗まれたクレデンシャル
アラートは、権限を持つ人物が同時にふたつの場所にログインしていることを示していますが、そのふたの場所は 3,000マイル離れたタイムゾーンにあります。ユーザーの認証情報は確かに侵害されていますが、いつ、どのマシンで侵害されたのでしょうか?
OT エンドポイントセンサーの主な使用例
パッシブ ネットワーク モニタリングは、産業環境における標準的な手法です。しかし、ネットワークセンサーの追加が現実的ではないシナリオは常に数多く存在します。ネットワークセンサーはサイバー環境の主力ですが、導入には多大な労力が必要であり、計画的なダウンタイムも必要です。遠隔収集装置やスマートポーリングは、アクセスが困難な場所や無人の場所をカバーするのに役立ちますが、エンドポイント検出に勝るものはありません。
エンドポイント検出が最も有効な一般的な状況を以下に示します。
1.クラウンジュエルの戦略的展開
ネットワーク・モニタリングはあなたの環境では過剰ですが、それでも守るべき重要な資産があるとします。エンドポイントセンサーは、これらの資産にのみエージェントを導入し、最も重要なものを監視することを可能にします。数百の重要なエンドポイントに数回のクリックでインストールでき、再起動も不要です。
2. よりスピーディーで手間のかからない展開
たとえば、リモートにある変電所では、スイッチの再設定は年 1回の 1時間の停電時しかできないとします。あるいは、空きポートのない 12年前のラインスイッチを扱っているかもしれません。この場合も、再起動不要のエンドポイントセンサーを設置するだけです。
3. 低帯域幅、高遅延ネットワーク
貨物船は、端末センサーの最適な候補です。 貨物船は衛星通信に依存しており、ケーブルの敷設はほぼ不可能です。
4. 単発または短期のモニタリング
たとえば、契約技術者が接続している間だけその技術者を監視したいとします。エンドポイントセンサーをインストールして、その技術者が接続しているマシンを監視し、その技術者がログアウトした際に自動的に削除されるように設定することができます。
5. オフライン機器の監視
ホストデバイスがトラフィックの送受信を行っていない場合でも、Nozomi Arc はデータをローカルに収集し、ユーザーがネットワークに接続すると、そのデータを上位に送信します。これは、フィールドデバイスやモバイルワーカーから詳細な監査証跡を取得する優れた方法です。
最も必要とされる場所での徹底したディフェンス
ユーザが活動しているときにリアルタイムで異常を検知し、アラートを出すことが、被害を防ぐ鍵です。OT デバイス用の専用エンドポイント・センサは、深層防御の最たるものです。ネットワーク・センサーが実用的でなかったり、東西トラフィック、USBポート、ログ・ファイル、ローカル・ネットワークトラフィック、ユーザー・アクティビティを検出するには不十分であったりする、かつては到達不可能で監視されていなかった環境の領域に光を当てます。
Nozomi Arcは、エンドポイントがすべてのデータ収集をローカルで開始し、上流にプッシュすることを可能にします。また、ネットワークセンサーやリモートコレクターを必要とせずに、同じサブネットやゾーン内のデバイスを水平方向に検出することも可能です。これは、Purdue Level 2において、HMIとEWSが相互に通信しているかどうか、またどのように通信しているかを把握する上で非常に有益です。次の課題は、Purdue Level 1 および 0での詳細な可視性であり、それはもうすぐ実現します。
