この記事は2019年10月10日に更新されました.
最近のSANSレポート「産業用制御システムのセキュリティ確保-2017年版」の調査結果のひとつに,産業組織が今後1年半の間に導入を検討している技術の第1位が侵入検知であることがある.最近まで,サイバー攻撃によって引き起こされる可能性のある異常を検出することは "ミッション・インポッシブル "であった.
産業用ネットワークには通常,さまざまなベンダーの機器が含まれ,何千ものリアルタイム・プロセスが実行され,膨大な量のデータが生成されるからだ.サイバー攻撃によって引き起こされる可能性のある異常を検出するために,このデータを分析し,監視することは,ほとんどの産業オペレーションチームやセキュリティチームのリソースと能力を超えています.
さらに,同じ仕事をするITセキュリティツールは,産業用システムには使えない.なぜなら,それらは複雑すぎるし,信頼性に対するリスクが高すぎるし,OT で使用される幅広いプロトコルやテクノロジーを単純にサポートしていないからだ.
新世代のICSサイバー・セキュリティツールが産業用侵入検知に利用できるようになったことは朗報である.この記事では,当社の製品であるGuardian がどのようにそれを行うかを説明し,電力会社の地域制御センターに対するサイバー攻撃をどのように検出し,対抗するかの例を示す.
侵入者とサイバー・リスクを検知するICS異常検知の仕組み
過去10年間におけるコンピューターサイエンスの最も重要な進歩のひとつは,人工知能(AI)と機械学習技術の著しい発展である.この技術では,生成される各決定や結果に対して直接的なプログラミング命令を必要とするのではなく,データから反復的に学習するアルゴリズムを使用する.この技術を使った画期的なアプリケーションには,IBMのがん診断用ワトソン,グーグルの自動運転車,アマゾンの音声認識ホームアシスタント,アレクサなどがある.
産業用サイバーセキュリティの領域では,マルウェア攻撃やネットワークへの接続デバイスの増加によるリスクが高まる中,機械学習とAIは「不足しているサイバーセキュリティ運用の人材を補うための戦力となる」.
しかし,ICSセキュリティのためのAIの優れた実装には,技術だけでなく,それを効果的にするために当社の産業セキュリティの専門家が提供する洞察力と仕組みが必要です.この知識は,当社の創業者が重要インフラ・セキュリティと人工知能の分野で行ってきた学術的および標準的な研究と,当社のチームが大規模な展開を通じて得た実世界での経験の両方に基づいて構築されています.
当社のAIアルゴリズムが適切に有効化されると,他の方法では評価が極めて困難な膨大な量のネットワーク通信やプロセス変動データを迅速に分析します.この「スマートな」データ分析は,ICSをモデル化し,そのICSに特化したプロセスとセキュリティ・プロファイルを開発するために使用されます.ベースラインが確立されると,高速の行動分析がそれを常時監視するために使用されます.
その結果,サイバー攻撃,サイバーインシデント,重要なプロセス変数の異常を含む異常を迅速に検出することができる.この情報は,重大な損害が発生する前に,サイバー脅威やプロセス・インシデントを防止,封じ込め,軽減するために使用することができます.データ分析自体も,トラブルシューティングと修復の労力を削減する上で非常に貴重です.
面白そうだろう?では,悪意のある組織が電力供給会社の地域制御センターにサイバー攻撃を仕掛けた場合,この機能がどのように機能するのかを見てみよう.
地域コントロールセンターへのサイバー攻撃を検知/対抗する
ある脅威者が地域のコントロール・センターにサイバー攻撃を仕掛け,LANにアクセスしたとしよう.LAN内部のvantage ,攻撃者は何百台ものベイ・コントロール・ユニットを可視化し,脅したり,停電を引き起こしたりすることができる.
GuardianのICS異常検知は,脅威を検知し,サイバー回復力を提供し,フォレンジックを加速する.
その方法はこうだ:
- Guardian は,コンポーネント,接続,トポロジーを含む産業用ネットワークを事前にモデル化していた.そして,その高度な学習機能によって,変電所と送電網に特化したベースライン・プロセスとセキュリティ・プロファイルが作成された.
- プロファイルが確立されると,システムはオペレーターの操作なしに自動的に保護モードに切り替わる(ダイナミック・ラーニングと呼ぶ機能).これにより,異常を監視しない期間が短縮され,学習モードから保護モードへの切り替え時期の判断に伴う人為的ミスが回避される.
- 脅威者が地域コントロール・センターのLANにアクセスした際,Guardian ,不審な活動を迅速に特定した.
- 高レベルのインシデントは,直ちに適切なオペレーターとSOCスタッフに送られる.
- その後,スタッフはインシデントレスポンス計画を実行し,プロセスの中断や情報の盗難を防止,封じ込め,軽減するための行動をとる.その際,Guardianのさまざまなモジュールから入手できるネットワーク図,資産目録,プロセス情報を活用する.
- ポイント・イン・タイムのシステム・スナップショット(TimeMachineと呼んでいる機能)を使用したICSインシデントの再生とクエリー機能は,インシデント発生後のフォレンジック分析を加速するために使用される.(これらの機能は,プロアクティブな脅威ハンティングにも役立つ).
異常検知による侵入者の検知に加え,Guardian ,Yaraルールとカスタム・ルールを使用して脅威を特定する.これについては,Industroyerマルウェアに関する私たちのブログをお読みください.
ICS異常検知 - 今日価値を提供する導入が容易なソリューション
最近のICSサイバー攻撃やマルウェアの公開の波によって,あなたの組織が侵入検知を導入したいと考えているなら,この記事が次世代の高度なソリューションがどのように役立つかを理解するのに役立つことを願っている.Guardian の場合,ICSの「賢さ」はボンネットの下にある.シンプルなSPANまたはミラーポートのインストールだけで導入でき,ダッシュボードとネットワーク可視化ツールは,すぐに有益で実用的な情報を提供し始めます.
さらに,Guardianの機能は,侵入検知だけでなく,ネットワークセキュリティモニタリング,プロセス変数異常検知,資産追跡,脆弱性管理機能にも及んでおり,リアルタイムのサイバー・セキュリティと運用可視化のための包括的なプラットフォームとなっている.
当社のソリューションがどのように変電所や送電網のサイバーセキュリティを向上させるか,さらに8つの異常検知の使用例について詳しくは,以下のホワイトペーパーをお見逃しなく.