北米電気信頼性公社(NERC)の重要インフラ保護(CIP)信頼性基準に待望の更新が行われ、新たな信頼性基準が導入される:CIP-015-1 - サイバーセキュリティ - 内部ネットワークセキュリティ監視(INSM)です。2023年1月、米連邦エネルギー規制委員会(FERC)は、同委員会が監督するNERCに対し、同基準の策定を指示するオーダー887を発行した。
CIP-015-1は2024年5月9日にNERCの採用プロセスを通過し、FERCの承認待ちとなっている。CIP-015-1が承認されると(T0)、米国とカナダのすべての影響力の大きい一括受電システム(BES)は36ヶ月以内に、外部ルーティング可能接続(ERC)を持つ中程度の影響力のBESは60ヶ月以内に、INSMを実装することになる。
新しい信頼性基準は、CIPネットワーク環境における重要なサイバー資産を保護するために、トラストゾーン内の東西トラフィックを監視する必要性を反映している。この記事では、INSMを定義し、CIP-015-1の要件を要約し、東西トラフィックの監視が必要か否かにかかわらず、国家的なアクターからのサイバー攻撃が増加しているセクターにとって賢明な行動である理由を説明します。
内部ネットワークセキュリティモニタリングとは?
INSMは、信頼されたゾーン内のネットワークデバイスがどのように通信しているかを継続的に可視化し、そのゾーン内の悪意のあるアクティビティや異常なアクティビティを早期に検出できるようにします。このようなゾーン内に入ると、攻撃者はコマンドの実行やマルウェアの拡散のために、そのプロトコルを使用して標的となる資産と通信する必要がある。INSMはこのトラフィックを異常なものとして識別し、調査のためにフラグを立てる。
CIP-015-1のNERCFAQは、INSMの全機能を以下のように説明している:
...例えば、侵入検知システムや侵入防御システムのセンサーなど、INSMの機能を適切に配置、設定、調整することで、悪意のある活動を早期に検知・ブロックし、エンティティに侵害を警告することができる。INSMはまた、分析用のネットワークトラフィックを記録し、悪意のある活動をより的確に検知するためのベースラインを提供するために使用することもできる。ネットワークトラフィックのベースラインを確立することで、エンティティは、期待される正常なネットワーク・アクティビティとそうでないものを定義し、観測された異常なアクティビティがさらなる調査を必要とするかどうかを判断することができる。また、記録されたネットワークトラフィックを保持することで、タイムリーな復旧を促進したり、悪意のある活動の徹底的な事後分析を行ったりすることができます。
INSMを考えるもう一つの方法は、トラフィックの方向性という観点である。従来のネットワーク・モニタリング・ソリューションは、パデュー・レベルやファイアウォール間の南北トラフィックを監視するが、ゾーン内のデバイス間の通信は長い間盲点となっていた。INSMはこれを解決します。定義上、INSMはネットワーク・モニタリングのみを指すが、OT デバイス用に作られた安全で無停止のエージェントは効率的な補完物である。例えば Nozomi Arcエンドポイントセンサーは、ネットワークセンサーが実用的でなかったり、東西トラフィック、USBポート、ログファイル、ローカルネットワークトラフィック、ユーザーアクティビティを検出するには不十分であったりする、かつては到達不可能で監視されていなかった環境の領域を照らし出します。
NERC CIP-015-1 INSM要件とは?
NERC CIP-015-1は、重要なサイバー資産が存在するトラステッド・ゾーン(電子セキュリティ境界、ESPと呼ばれる)内のネットワークセキュリティ監視を義務付けている。侵入や悪意のある活動を検知し、進行中の攻撃を迅速に緩和する技術の導入を義務付けている。当初のFERC指令(ここでの言い換え)に従い、責任主体は以下のことを行わなければならない:
- 通信やプロトコルを含む、環境内のトラフィックネットワークのベースラインを作成する。
- 不正なアクティビティ、接続、デバイス、ソフトウェアを監視し、検出する。
- ネットワークトラフィックを記録し、ログを管理し、攻撃者が活動の証拠を削除するのを防ぐことによって、異常な活動を特定する。
新基準には、データの収集、保持、保護に関する3つの要件がある。以下は、各要件の簡単な要約、その意味、およびBES資産所有者のための実施上の考慮事項である。
R1 - ネットワーク・データ・フィードを導入し、ネットワーク・アクティビティ(接続、デバイス、ネットワーク通信を含む)を監視し、異常なネットワーク・アクティビティを検出し、そのアクティビティを評価して、さらなる対策を決定する。
INSMソリューションを導入する場合、責任ある事業者は、ネットワークのベースラインを決定するためにどのようなデータソースを収集するかを特定し、異常な活動を評価するための基準を作成する必要がある。変電所内のベースラインと制御センターのベースラインは全く異なる。自動化されない限り、これは膨大な作業量となる。継続的な内部モニタリング・ソリューションは、接続されたすべての資産を即座に検出し、お客様の環境で訓練された人工知能を使用して、ベースラインの動作を決定し、その後の異常を認識します。ほとんどの先行決定は、システム導入時に、何百もの類似環境でのベストプラクティスに基づいて行われ、誤検知や迷惑なアラートを最小限に抑えるために必要に応じてチューニングが行われる。
R2 - 異常なネットワークアクティビティに関連して収集された INSM データを、それを評価し、エスカレーションプロセスを含む適切な措置を決定するのに十分な期間保持するポリシーを導入する。
INSMデータの完全性を保護するために、責任者は、他のシステムからデータを保護する既存のセキュリ ティ管理、すなわち、システムアクセスの制限、適切なセグメンテーション、多要素認証の導入な どを活用することができる。推奨される管理は、システムの初期設定時に実施することができる。
R3 - 分析をサポートするために十分な詳細さと期間を持って収集されたネットワーク通信およびその他のメタデータを保持する。
CIP-015-1は客観的なものであり、規定的なものではないため、責任ある事業者は、異常なトラフィックを評価するために必要な場合に利用可能であることを保証するために、どれだけのデータをどれだけの期間保持するかを自ら決定することができる。この場合も、インシデント調査のための既存のデータ保持ポリシーが適用され、価値の高いデータほど保持期間が長くなる。
INSMは電気事業者のセキュリティ・ギャップをどう埋めるか?
現行の NERC CIP 標準では、ESP に出入りするトラフィックの監視のみが要求されている。CIP-005-7 は、従来の侵入検知システムを使用して、電子アクセスポイントで電気通信システムを監視することを要求しており、CIP-007-6 は、特にアンチウイルスソフトウェアに関連している。どちらのソリューションも、重複トラフィックを悪質コードの既知のシグネチャと比較するシグネチャに依存している。しかし、少なくとも2018年以降、悪意のある行為者はシグネチャベースの防御による検出を回避するためにますます洗練された方法を使用するようになっています。いったんESPファイアウォールを迂回すれば、重要なサイバー資産にアクセスできるようになります。
シグネチャベースの方法とは異なり、INSMは実際の受信トラフィックを、予想されるアクティビティの確立されたベースラインと比較する。
Energy Centralの9月18日ウェビナーに参加しよう。Nozomi Networks CTOのロニー・フレデリックスとEY Energy Cyber Regulatory Practice Leadのジョシュ・サンドラーが登場する:"重要インフラを守る:重要インフラを守る:FERC INSM NOPRの目標を達成しながらNERC CIP準拠のためにハッカー検知を強化する"
登録はこちら
ステークホルダーの課題とその対策
ビヘイビアベースの異常検知を導入することは、ユーティリティ企業がトラステッド・ゾーン内の重要なサイバー資産をよりよく保護するのに役立つ。また、様々な利害関係者に影響を与え、今から準備しておいた方がよい新たな課題を提示することになる。ここでは、それらの課題と推奨される戦略のスナップショットを紹介する。
NERC CIP規格を総合的に満たすNozomi Networks
CIP-015-1 は客観的な基準であり、規定的な基準ではないため、事業体は望ましい結果を得るために、選択した INSM の方法を実施することができる。Nozomi Networks プラットフォームは、INSM を含む技術を必要とする NERC CIP サイバーセキュリティ規格をサポートしています。
Nozomi Networks :
- 資産の可視性と脆弱性評価:自動化された資産識別により、時間を節約し、ICSとその関連資産を一元的に把握することができます。包括的な脆弱性分析は、修復ステップ、パッチ、アップグレードに関する実用的な洞察により、優先順位付けされた効率的なリスク低減の取り組みをサポートします。
- ネットワーク監視と脅威検知:AI主導のネットワーク監視と脅威検知により、重要な資産が存在する信頼されたゾーン内を含め、CIPネットワーク環境における異常なアクティビティを迅速に特定します。
- ダッシュボードとレポート: ダッシュボード、クエリ機能、フォレンジックツールは、根本原因を特定し、インシデントレスポンス活動を強化し、NERC CIPインシデント報告要件を促進します。
Nozomi Networks ' ソリューションがNERC CIPコンプライアンス要件をどのようにサポートするかについては、以下のマッピングガイドをダウンロードしてください。