大恐慌時代の銀行強盗ウィリー・サットンは、なぜ銀行を襲ったのかと聞かれ、"そこに金があるからだ "と答えたと言われている。もしサットンが現代のサイバー犯罪者だったら、「なぜエンドポイントを攻撃するのか?なぜエンドポイントを攻撃するのか?
ITセキュリティにおいて、最大の脅威ベクトルは、ソーシャル・エンジニアリング、クレデンシャルの盗難、脆弱性の悪用である。OT では、悪意ある攻撃も確かに存在するが、多くの脅威は、従業員や、しばしばリモートで出入りする正規のサードパーティ技術者による不注意なミスである。社内外のチームが協力してプロセスを円滑に稼動させるため、工場の現場は活気に満ちている。
エンドポイント・セキュリティがなければ、ユーザーのアクティビティとイベントを関連付ける方法はない。つまり、ネットワーク上でコマンドが実行されるまで、誰がいつ何をしようとしているのかを知る方法がないのだ。それでは遅すぎる。
これは、OT において常に課題とされてきた。パッシブネットワークモニタ、リモートコレクタ、さらには断続的なポーリングは、ワークステーションと PLC 間の通信を検出するのには適していますが、誰がマシンにいるのかを検出するのには適していません。
OT エンドポイントにエージェントをインストールすることに対する懸念が一般的であったにもかかわらず、顧客の態度は変わりつつある。エージェントが引き起こすかもしれない被害や混乱を恐れてエンドポイントセキュリティを見送り続けるのではなく、このような声が聞かれ始めている:
「この HMI がその PLC と通信していることを知るだけでは十分ではありません。このコマンドが送信されたときに、ユーザAがHMIにログインしていたことを知る必要があります。
テクノロジーは、産業環境のニーズに応えるべく、ついに進化を遂げた。安全で破壊的でない薬剤-2023年発売の Nozomi Arc2023年にリリースされたものも含め、OT エンドポイント向けに作られている。残念なことに、OT のデバイスにITに特化したエージェントを展開した否定的な経験は、業界を後退させるだけだった。7月19日、Windowsデバイスで大規模な世界的停電を引き起こし、現在悪名高いCrowdStrikeのFalconエンドポイントセンサーの欠陥コンテンツアップデートは、問題の解決にならなかった。
OT CrowdStrikeに関連したクラッシュがあっても、深層防御を求めるエンジニアや情報セキュリティ・チームは怖気づく必要はないだろう。しかし、この事件は、エンドポイント・セキュリティ・ベンダーが、OT エンドポイントに特有の高可用性要件を保護するために、自社製品の設計を確実に行うことがいかに重要であるかを浮き彫りにしている。例えば、Nozomi Arc 、ホスト・オペレーティング・システムのカーネル・レベルでは動作せず、マシンをリブートすることもなく、システム・リソースの消費も非常に軽い。
なぜITエージェントはOT で働かないのか?
エンドポイント・セキュリティ・エージェントは、デスクトップ・コンピュータ、ラップトップ・コンピュータ、プリンターだけでなく、IoT 、爆発的に増加するリモート・デバイスに至るまで、ITセキュリティ導入の標準的な部分である。OT オペレータは、システムの稼働時間や運用への影響を懸念して、従来は積極的な監視を敬遠してきた。これらの懸念は十分に根拠がある。以下は、従来のエンドポイントエージェントが産業環境において不十分である主な理由である:
1.重量級で破壊的
多くのOT デバイスやコントローラは、特定のタスクを実行するように設計された限られたコンピューティングパワーとメモリを持っています。標準的なアンチウイルス・エージェントでさえ、多くのリソースを消費する。また、ITエンドポイント・セキュリティ・ソリューションは通常、インストール後にシステムの再起動を必要とするため、ダウンタイムが発生する。
2.間違った脅迫
従来の脆弱性スキャンと侵入防止システムは、IT環境で訓練されたヒューリスティックと機械学習モデルを使用してIT脅威を検出するように設計されています。それらは産業界の脅威を探さず、産業界の通信プロトコルを理解せず、OT ベースラインを認識しない。その結果、エンジニアリング・ハードウェアを応答不能にしたり、正当な安全プロトコルや制御システム・コマンドを悪意のあるものとしてフラグを立てたり、プロセスを停止させたり、マルウェアと認識した重要なアプリケーションを削除したりすることもある。
3.OEMベンダー認証
OT/ICS デバイスは通常、OEM ベンダーによって特定の構成で認証されているため、エージェントをインストールすると無効になってしまう。これは正当な懸念だが、OT デバイス用に作られたエンドポイントエージェントは、産業用サイバーセキュリティが重要な資産、特に重要なインフラストラクチャを保護するためにエンドポイントに移行する必要があることを認識している OEM に勝利している。
トラブルシューティングとフォレンジックのためのディープ・アセット・コンテキスト
OT エンドポイントセンサーは、デバイスのタイプ、ベンダー、OSまたはファームウェアのバージョン、シリアル番号、IPおよびMacアドレス、ノード、ゾーン、使用プロトコル、アクティブアカウント、不審なユーザーアクティビティなどの詳細なデータを提供します。SIGMAルールを使用してホストのログ・ファイルのイベント・パターンを分析し、マルウェア、クレデンシャルの盗難、スクリプトのダウンロードなど、進行中のイベントを発見することができます。このコンテキストは、オペレーターとセキュリティ・アナリストの両方に役立ちます。
オペレータがこれまで持っていなかったトラブルシューティング情報を提供することは、サイバーセキュリティの事例を構築し、信頼を得る上で大きな意味を持つ。エンドポイント・センサを使えば、設定の変更や異常だけでなく、誰がデバイスにログインしているのか、どのような他のデバイスと通信しているのか、どのようなプロトコルを使用しているのかを確認することができる。2つの大きな利点は、東西トラフィックと不正なUSB接続の可視化である。
東西交通とUSB接続の可視性
OT (英語)環境で使用されているパデュー・モデルでは、情報はレイヤー間を流れるが、ファイアウォールによって下に流れるものは制限される。レイヤー内の東西の可視性はブラックホールだ。顧客はこれを切望しており、特にゾーン内で何が何と通信しているかを確認する必要のあるOT 。
ITセキュリティでは、クラウド経由でのファイル転送が容易になったため、USBの使用は激減しました。しかし、OT 環境では、制限されたパデューのレベル間でファイルを移動するために、USB は今でも一般的に使用されています。ほとんどのファイル転送は日常的なものですが、このやり方にはリスクが伴います。最悪の場合、BadUSB攻撃によってUSBが再プログラムされ、被害者のコンピュータ上で悪意のあるコマンドが実行される可能性があります。Arc のようなエンドポイント・セキュリティ・センサは、USB がいつ、どこに接続されているか、また、コマンド、スクリプト、データの移動を含む人為的でない動作を検出します。
OT エンドポイントの可視化によるサイバーリスクの発見
ここでは、エンドポイントの可視性が違いを生む、意図的でない危害または悪意が関与する具体的なシナリオをいくつか紹介する:
1.感染したサードパーティ製ノートパソコン
あるシステムインテグレーターがPLCのメンテナンスを行っている。彼らが知らないうちに、ノートパソコンがマルウェアに感染しており、接続するとそれがPLCに感染してしまう。ネットワーク・モニタリングだけでは、マルウェアがネットワークに侵入してから発見することになり、手遅れになる可能性があります。
2.オペレーターエラー
新しく採用されたエンジニアが、誤ってHMIコンフィギュレーションを変更したり、無意味なコマンドを発行したりした。リアルタイム・デバイス・モニタリングがあれば、被害が発生する前に、オペレーターにエラーを警告することができる。インシデントの代わりに、トレーニングの機会を得ることができます。
3.悪意のあるインサイダーの脅威
不満のある従業員がHMIの設定値を意図的に変更したとする。セキュリティー・アナリストは、その値が通常のパラメーターの範囲外であることを警告するだろうが、オペレーションを熟知したオペレーター、そしてチーム・メンバーであれば、パニックを起こすべきかどうかがわかるだろう。
4.盗まれたクレデンシャル
タイムゾーンが3,000マイルも離れているのに、認証された人物が同時に2つの場所にログインしていることを示すアラート。あるユーザーの認証情報が破られたのは確かだが、いつ、どのマシンで?
OT エンドポイント・センサーの主な使用例
パッシブ・ネットワーク・モニタリングは産業環境の標準です。しかし、ネットワークセンサーを追加することが実行不可能なシナリオは常に何十と存在する。ネットワークセンサーはサイバーワークハウスですが、実装には労力がかかり、計画的なダウンタイムが必要です。リモート・コレクターやsmart polling は、手の届きにくい場所や無人の場所をカバーするのに役立ちますが、エンドポイント検知に勝るものはありません。
ここでは、エンドポイント検出が最も理にかなっている一般的な状況を紹介する。
1.クラウンジュエルの戦略的展開
ネットワーク・モニタリングはあなたの環境では過剰ですが、それでも守るべき重要な資産があるとします。エンドポイントセンサーは、これらの資産にのみエージェントを導入し、最も重要なものを監視することを可能にします。数百の重要なエンドポイントに数回のクリックでインストールでき、再起動も不要です。
2.よりスピーディーで手間のかからない展開
例えば、遠隔地の変電所で、1年に1回、来年2月の1時間の停電時にしかスイッチの再設定ができないとします。あるいは、12年前の回線スイッチに空きポートがないとする。この場合も、リブートなしでエンドポイント・センサをインストールするだけだ。
3.低帯域幅、高遅延ネットワーク
貨物船はエンドポイント・センサーの最有力候補だ。接続は衛星に依存しており、ケーブル配備はほとんど不可能だ。
4.単発または短期のモニタリング
契約技術者が接続されている間だけ監視したいとする。彼が接続しているマシンを監視するエンドポイントセンサーをインストールし、彼がログアウトしたときにそれ自体を削除するように設定することができます。
5.オフライン機器の監視
Nozomi Arc は、ホスト・デバイスがトラフィックを送受信していないときでもローカルにデータを収集し、ユーザーがネットワークに接続したときにアップストリームに送信します。これは、フィールド・デバイスやモバイル・ワーカーから詳細な監査証跡を取得するのに最適な方法です。
最も必要とされる場所での徹底したディフェンス
ユーザが活動しているときにリアルタイムで異常を検知し、アラートを出すことが、被害を防ぐ鍵です。OT デバイス用の専用エンドポイント・センサは、深層防御の最たるものです。ネットワーク・センサーが実用的でなかったり、東西トラフィック、USBポート、ログ・ファイル、ローカル・ネットワーク・トラフィック、ユーザー・アクティビティを検出するには不十分であったりする、かつては到達不可能で監視されていなかった環境の領域に光を当てます。
Nozomi Arc は、エンドポイントがすべてのデータ収集をローカルで開始し、上流にプッシュすることを可能にし、ネットワークセンサやリモートコレクタを必要とせずに、同じサブネットまたはゾーン内のデバイスを横方向に検出することができます。これは、HMIとEWSが互いに通信しているかどうか、またどのように通信しているかを確認するために、パデュー・レベル2で非常に有益です。次のフロンティアは、パデュー・レベル1と0での詳細な可視化です。
