複雑化・多様化するサイバー攻撃に迅速に対応できないセキュリティチーム
悪質な行為者は,マルウェア,ランサムウェア,IoT ボットネットを含む脅威の増加により,コンバージドOT/IoT 環境を標的としている.残念ながら,セキュリティチームは,OT/IoT 環境に向けられたサイバー攻撃活動を分類し,その重要性を理解する一貫した方法を欠いていることが多い.
アナリストが悪意のある可能性のある活動を検出した場合,その多くは,その活動が悪意のあるものかどうか,また,それが攻撃チェーン全体とどのように関連しているかを判断するために,その場限りの調査と分類技術に頼っています.
幸いなことに,MITRE はこのような状況に対応するために,よく知られた MITRE ATT&CK Framework for Enterprise and Mobile をベースとした MITRE ATT&CK Framework for ICS を作成しました.このフレームワークは,SOCアナリストとインシデントレスポンス担当者が,OT 環境で検出されたあらゆる行動の重要性を理解するための,迅速かつ効果的な手法を提供します.このフレームワークでは,悪意のある行動を11の戦術に分類し,「最初のアクセス」から「影響」までの攻撃チェーンの各ステップを説明しています.これらの11のカテゴリの中には,約100の個別のテクニックがあり,各テクニックに代表される特定の脅威の詳細な説明が含まれています.
解決策
Guardianの ICS 向け MITRE ATT&CK フレームワークの統合サポートを利用することで,脅威への対応を加速する.
脅威への対応を迅速化するため,Nozomi Networks は,ICS 向け MITRE ATT&CK フレームワークをアラート機能に組み込んでいます.この統合により,悪意のある動作を攻撃チェーンの1つまたは複数の手法に関連付けることで,即座にコンテキストを提供します.このコンテキストにより,SOCアナリストが行動の重要性をよりよく理解するための追加調査の必要性が減少し,SOCスタッフ内に存在する可能性のある潜在的な知識のギャップを埋めることができます.
例えば,プロセスの停止要求は,産業プロセスを標的とするよく知られたTRITONマルウェアを使用した攻撃の一部である可能性がある.Nozomi Networks がプロセス停止の試みを検出すると,「OT Device Stop Request」アラートを生成する.このアラートには,ICS のための MITRE ATT&CK フレームワークにおける適切な技法として,実行とプロセス制御の両方の技法に関連するChange Program State技法(T875)が特定されています.
OT/IoT ネットワークを新たな脅威から守るために,次のような対策を講じる.Threat Intelligence
この Threat Intelligenceサービスは Guardianアプライアンスを最新の脅威に対してアップデートし続けるため,脆弱性や新たな脅威を迅速に検出し,対応することができます.
Guardian 継続的に更新されるThreat Intelligence Asset Intelligence最大限のセキュリティと可視性を提供するために,より広範な環境動作と相関させます.
