注:2019年7月23日、SCADAguardianはGuardian 、SCADAguardian AdvancedはSmart Polling に改名されました。
最近、Nozomi Networks 、 SANS Instituteのスポンサーとなって、エネルギー、製造、石油・ガスなどさまざまな業種のICS実務者やサイバーセキュリティ関係者数百人を対象に調査を実施した。この調査は、回答者のインプットを実行可能なインテリジェンスとしてまとめ、リソースの割り当てや保護対策の優先順位付けに活用することを目的としています。
2017年SANS ICSサーベイで行われた多くの質問の中で、回答者は最も懸念している脅威を特定するよう求められました。この記事では、上位3つの脅威ベクターと、Nozomi Networks ' SCADAguardian がそれらに対してどのように防御し、軽減するかについて説明します。
ICSサイバーセキュリティのトップ脅威ベクトル
全体として、回答者の44%が、自社のICSに対する脅威のトップ3として、「自らを保護できない機器をネットワークに追加すること」を挙げている。次いで、偶発的な行動による内部インシデント、外部からの国家的資金による攻撃が続いた。
注目すべきは、調査回答者の22%が「ハクティビストや国家が資金を提供する攻撃による外部からの脅威」を単一の懸念事項のトップと回答したことである。さらに、回答者の35%が「恐喝(ランサムウェアを含む)」を最大の脅威と認識し、この脅威は脅威ベクトルの中で4番目に高い脅威となり、2016年からほぼ倍増している。この脅威認識の劇的な変化は、WannaCryやPetyaのようなランサムウェア・サイバー攻撃の増加と影響を浮き彫りにしている。
最大の脅威に対処するために、ICSネットワークを持つ組織は、産業用セキュリティに対する多層的なアプローチが必要であることを認識しています。ファイアウォールやSIEM(セキュリティ情報・イベント管理ツール)への従来の投資だけではもはや十分ではありません。今日の包括的なサイバーセキュリティ戦略には、検知、対応、予測機能への投資が必要です。実際、回答者によると、23%が産業用侵入検知を、今後18カ月以内に導入したい技術の第1位に挙げている。
トップ3の脅威ベクトルと、SCADAguardianのようなリアルタイムのサイバーセキュリティとオペレーションの可視化ソリューションがどのように刻々と変化するサイバー脅威から保護するかを見てみましょう。
脅威その1:安全でない新しいデバイスと "モノ"
安全でないデバイスが新たにネットワークに追加されることに対して、ICS担当者が抱く懸念は確かに正当なものである。オペレーショナル・テクノロジー(OT )が新しいインテリジェント・デバイスとの接続を深めるにつれて、産業用システムはITチームが見慣れているタイプの攻撃にさらされることになるが、さらに深刻な結果を招くことになる。
誤動作であれサイバー攻撃であれ、システム障害がもたらす影響は、稼働時間の大幅な損失、あるいは人命の安全さえも脅かしかねない。産業用ネットワークに新しいデバイスを追加することは、オペレーションのインテリジェンスと新たな効率性を促進するかもしれませんが、それらは安全でなければなりません。ICSの専門家が、広大な産業用ネットワークのエンドポイントすべてを把握していないという一般的な慣行は、もはや通用しません。
SCADAguardianは、ベンダー、モデル番号、物理的な場所、プロトコル、リスクレベル、IPアドレスなどのすべての資産とその特徴を識別することを含むネットワーク全体を迅速かつ自動的に学習することにより、この脅威に取り組みます。新しいデバイスや「モノ」の迅速な識別と、それらについてオペレータに通知するアラートにより、資産が気づかれないまま、あるいは追跡されないまま放置されないことが保証されます。正確な資産目録は常に利用可能であり、新しいノードを確保するための対策を即座に講じることができます。
さらに、SCADAguardian の脆弱性評価機能は、発見されたデバイスがもたらす潜在的なリスクを迅速に調査します。National Institute of Standards and Technology (NIST)によって維持されているNational Vulnerability Database (NVD)を使用して、SCADAguardianはその強力な分析エンジンを使用して、Common Vulnerability Scoring System (CVSS)に従って脆弱性を分類します。これにより、オペレータは脅威を特定し、NISTフレームワークに沿った改善措置を講じることができます。SANSのICS調査回答者の48%以上が、自社の標準をNISTフレームワークにマッピングしていることを考えると、これは特に注目に値する。
脅威その2:偶発的な内部脅威
内部スタッフによる脅威の認識は、人間が産業オペレーションに関与する限り、ICSネットワークが直面する脅威である。自動化技術の進歩により、レイヤー1と2で多くのICSネットワークに影響を与える人為的ミスの可能性は制限されましたが、SCADAと様々なOT 管理プラットフォームを使用して行われた行動は、依然としてあらゆるICSに悪影響を与える能力を内部関係者に与えています。
SCADAguardian のコア機能は、産業用システムを学習し、通信とプロセス変数のベースラインを決定する能力です。SCADAguardianは、ネットワーク通信やコンフィギュレーション、デバイス・パフォーマンス、プロセス・パフォーマンスのあらゆる変化を認識するために、高度な異常認識を使用します。変化が新しいデバイスの結果であろうと、偶発的な内部アクションの結果であろうと、一連のアラートと分析ツールを使用して ICS 担当者の注意を素早く引きます。
意図しないエラーを修正するのに役立つ機能は、SCADAguardian の TimeMachine 機能です。これにより、産業用ネットワークを複数の時点で比較することができ、異常な動作につながった変化を特定するのに役立ちます。これは、幅広いユースケースにおいて、ICSネットワークへの内部脅威を緩和し、修復するための優れた運用管理ツールです。
脅威その3:ハクティビズムとマルウェアとの戦い
マルウェア攻撃という形をとった国家による脅威は、当然のことながら高い関心を集めている。ICSを標的とする高度なマルウェアは、最近のニュースでも大きな話題となっている。攻撃者はますます、輸送システムや電力網などの重要インフラを標的にするようになっており、国家安全保障と経済の安定を世界規模で脅かしている。最近のWannaCry攻撃だけでも、被害額は40億ドルを超えると予想されている。
朗報は、標的型マルウェア攻撃の特定と軽減を大幅に支援する技術が今日存在することです。例えば、SCADAguardian は、異常検知とルール分析による多層的なアプローチで脅威を検知し、被害の軽減を大幅に促進します。
異常検知は、パブリックIPアドレスに接続しようとするICSネットワーク上のデバイスのような早期警告の兆候を識別します。次に、Industroyer/CrashOverrideがOPC DAを使用してネットワーク上のデバイスをスキャンし、検出する方法など、標準的な通信動作の変化を検出することができる。最後に、攻撃が発生していることを検出し、フォーティネットのFortigateのようなファイアウォールとの統合により、攻撃をブロックするルールの実装を自動的にトリガーする。
ルールの面では、SCADAguardianは、マルウェアサンプルの拡張し続けるライブラリである組み込みのYaraRulesを使用して、脅威に関連する特定のファイルの存在を迅速に識別します。この製品にはアサーション機能もあり、これはデバイスの動作の変化を示すデータや特定のイベントを検出するために使用できるカスタム・ルールです。アサーション機能により、潜在的なマルウェアやハクティビスト攻撃を可能な限り積極的に分析・調査することができます。
SCADAguardianでトップICS脅威ベクトルに対処する
2017年SANS調査は、今日のICS実務者とビジネスリーダーがICSインフラストラクチャに対する支配的な脅威として捉えているものを浮き彫りにしました。コネクテッドデバイスの急増、内部脅威による継続的なリスク、重要インフラに対するサイバー攻撃の台頭により、セキュリティと信頼性に対する多層的な防御アプローチが必要とされています。
SANSの2017年レポートで推奨されているレイヤーの1つは、ICS環境を "可視性を強化し、資産管理を改善するために、プロセスとセキュリティの異常をリアルタイムで監視すること "です。侵入検知、ネットワークセキュリティ監視、異常検知、資産追跡、脆弱性管理の改善をお考えなら、ぜひSCADAguardianをご検討ください。これはリアルタイムのサイバーセキュリティと運用の可視性を提供する包括的なプラットフォームです。
