今月初めに発表された最新のNozomi Networks LabsOT & IoT Security Report によると、脅威者は攻撃の頻度を増やしているだけでなく、手口を洗練させ、新たなアクセスポイントを発見している。ランサムウェアによる攻撃は依然として多いが、支配や破壊を動機とする攻撃もよく見られるようになっている。マイクロソフトによると、昨年は120カ国が国家的行為者によるサイバー攻撃に直面し、その40%以上が重要インフラに対するものだった。そして今月初め、私たちがこの報告書を発表する準備をしていたとき、FBI長官のクリストファー・レイは、中国のハッカーが「アメリカの重要インフラに実害をもたらす準備をしている」と議会に警告した。これは、新たなレベルの注意と、重要インフラ環境で見られる脅威活動への理解を必要とする世界的なリスクである。
セキュリティ専門家が防御を強化するのに役立つよう、当社の最新レポートの分析では、実際の顧客環境およびグローバルに分散したIoT ハニーポットを標的とする脅威行為者を追跡しています。過去6ヶ月間、ネットワークの異常と攻撃が、OT およびIoT 環境に対する最も一般的な脅威であることがわかりました。もう一つの懸念材料は、重要な製造業における脆弱性が230%も急増したことです。脅威行為者は、ネットワークにアクセスしてこのような異常を引き起こす機会をはるかに増やしています。
報告書の主な発見をいくつか紹介しよう。
実際の顧客環境からのアラート分析
本レポートの一部では、情報共有をオプトインしたNozomi Networks の顧客からのアラートデータに見られるものを取り上げています。過去6ヶ月間のアラートを調査した結果、ネットワークの異常と攻撃が脅威の最も大きな部分(38%)を占めていることがわかりました。
ネットワークの異常と攻撃のアラートでは、「ネットワークのスキャン」がトップで、「TCPフラッド」攻撃が僅差で続いた。「TCPフラッド」と「異常パケット」のアラートタイプは、過去6ヶ月間にアラート総数と顧客あたりの平均値の両方で大幅な増加を示し、それぞれ2倍以上、6倍以上に増加した。
TCPフラッド」攻撃はICSシステムでよく見られるものですが、過去6カ月間に見られたアラートの傾向は、おそらく攻撃者の適応戦略や検知能力の強化を反映して、ネットワークの脅威が進化していることを示しています。
アクセス制御と認可の脅威に関するアラートは、前回の報告期間から 123%急増した。このカテゴリーでは、「複数回のログイン失敗」と「ブルートフォース攻撃」のアラートがそれぞれ71%と14%増加した。この傾向は、不正アクセスの試行における継続的な課題を浮き彫りにしており、OT におけるアイデンティティとアクセス管理、およびユーザーパスワードに関連するその他の課題が依然として存在することを示している。
DDOS攻撃は、IoT にとって、マルウェア攻撃の懸念事項の第一位であった。 このため、Nozomi Networks Threat Intelligence プロダクト・オーナーのフィル・トレイナーは、OT ネットワークの一部となっている、あるいはネットワークと連続して動作しているIoT デバイスを大量に導入している事業者に対し、自組織が他の組織に対するボットネット攻撃の一部となることを防ぐための戦略を確認しておくようアドバイスしている。
一般的なマルウェア攻撃に関しても、彼はオペレーターにマイナーに注意するようアドバイスしている。
「私の上司や財務部門の誰かがこの報告書を見て、私たちの知らないところで鉱山労働者が活動していたために、組織としてどれだけの資金を浪費したかを知ることになる。
新たに発見されたCVEとトップCWE
2023年7月1日から12月21日の間に、CISAは新たに196件のICSアドバイザリをリリースし、74ベンダーの製品に影響を及ぼす新旧の脆弱性885件に言及した。一般的な脆弱性と暴露(CVE)は2023年上半期と比較して38%増加し、言及されたベンダーは19%増加した。クリティカル・マニュファクチャリング(Critical Manufacturing)分野のCVEは621件に上り、前回の報告期間から230%増加した。
この情報に基づき、重要なメーカーはセキュリティ戦略を見直すべきである。
「Nozomi Networks Threat Intelligence プロダクト・オーナーであるフィル・トレーナーは言う。「もし、あなたのグループを狙った標的型CVEが6ヶ月という短期間で230%も増加したのであれば、潜在的な国家からどれだけの資金が、あなたを狙った標的型調査であるかを推測しなければなりません。
重要な製造業、エネルギー、上下水道は、3期連続で最も脆弱な業種であることに変わりはないが、エネルギー部門で報告された脆弱性の総数は46%減少し、上下水道部門の脆弱性は16%減少した。
IoT ボットネット攻撃の継続に期待
悪意のあるIoT ボットネットは引き続き活発で、IoT デバイスへのアクセスを試みる際にデフォルトの認証情報を引き続き使用しています。2023年の最後の6カ月間、Nozomi Networks ハニーポットでは、1日平均712件のユニークな攻撃が発見されましたが、これは前回の報告期間に見られた1日平均の12%減少です。攻撃者の上位IPアドレスは、中国、米国、韓国、インド、ブラジルに関連していました。
Nozomi Networks LabsThreat Intelligence マネージャーのAlexey Kleymenoy氏は、この最新レポートに関するパネルディスカッションの中で、防御者はさらなるボットネットの活動に備えるべきだと述べている。
「Miraiがリリースされたばかりの数年前と比べると、現在の状況はかなり異なっている。現在では、クライアントベース全体がオープンソース化されているため、脅威行為者は数分で自分のボットネットを作成することができる。すべてがうまくコード化されている。このため、新しいエクスプロイトを差し込むのは非常に簡単で、エクスプロイトもインターネット上で公開されているため、パズルのようにつなげるだけで、非常に高速にボットネットを拡張することができる。
同氏は、オープンソースのインテリジェンスを利用するこの傾向は今後も続くと予想している。彼は、ゼロデイ・エクスプロイトを購入するためにお金を費やすよりも、誰もが時間内にパッチを当てることができない脆弱性を見つける方が、同じ結果を得るためにエネルギーを費やす可能性が高いと言う。
推薦の言葉
CISA および U.S. National Vulnerability Database は、OT/ICS マシンおよびデバイスに存在する何千もの既知の脆弱性をカタログ化しています。脅威の主体は、世界中のエンタープライズ/IT、OT 、IoT ネットワークを積極的に調査し続けており、その能力と強化された TTP の洗練度を高めています。Nozomi Networks OT & Security レポートは、セキュリティの専門家と重要インフラのオペレータに、可能な限り最善の防御のためにセキュリティ態勢を調整するために知っておく必要がある脆弱性と攻撃パターンを明確に理解させるものです。IoT
重要インフラ組織は、ネットワークのセグメンテーション、資産の発見、脆弱性の管理、パッチの適用、ログの記録、エンドポイントの検出、threat intelligence を含むプロアクティブな防御戦略を優先すべきである。また、ITチーム、コンプライアンス・オフィサー、リスク・マネジャーなど、セキュリティ問題に関して異なる視点を持つ組織内のさまざまな利害関係者が利用できる実行可能な資産やthreat intelligence に対するニーズも高まっている。
Nozomi Networks お手伝いします
Nozomi Networks ' ソリューションは設立当初から、産業および重要なインフラ環境の複雑な要件に対応することに深く根ざしてきました。OT がITとIoT の大きく異なる世界と融合する中で、その経験は、世界最大のネットワークに関連するツールとプロセスに対する独自の理解を当社にもたらしました。当社は、比類のないサービス、優れたサイバーおよび物理システムの可視性、高度なOT およびIoT 脅威検出、分散環境にわたる拡張性で世界的な評価を得ています。当社は、リアルタイムでの資産の可視化、脅威の検出、実用的なインテリジェンスを提供し、お客様の重要なインフラストラクチャを制御し続けます。
