この記事は2020年3月3日に更新されました。
産業用制御システムに対するサイバー攻撃は、世界的な見出しを飾り続けている(Triton、LockerGoga、Industroyerなど)。さらに悪いことに、ICS環境を持つ組織の3分の1以上が、自分たちのシステムが過去1年間に侵入されたかどうかわからないと報告しており、これらの環境におけるセキュリティ監視と脅威検出の真の必要性を示唆している。このことを念頭に置いて、私たちはv19.0のビジョンに取り組み始めました。
Nozomi Networks では、お客様の環境を完全に可視化することがサイバーリスクを低減する鍵であると考えています。しかし、真の可視性は SCADA を超えるものであり、IT、OT 、IoT の間のギャップを埋めることを意味します。v19.0 では、ICS の境界線を超えて拡大し、より全体的かつ効率的な方法でセキュリティを管理するために、どのように支援できるかという拡大に主眼を置いています。
新しい名前、同じ素晴らしいソリューション
SCADAシステムからスマートシティまで、サイバーセキュリティの必要性はあらゆる環境に及んでいます。Nozomi Networks ソリューションは常にSCADAをはるかに超えていますが、当社の製品名は必ずしもそれを示していませんでした。そこで、ソリューションの範囲をより適切に反映させるため、当社の主力製品の名称を次のように変更しました。 GuardianTM(以前のSCADAguardian)に変更しました。
また、アクティブ・アセット・ディスカバリー・ソリューションの名称も次のように変更した。 Smart PollingTM(旧 SCADAguardian Advanced)に改名しました。完全に独立した製品ではなく、Smart Polling はGuardian のアドオンモジュールとして利用できるようになりました。
両製品とも名称は変わっても、コアとなる技術や機能は変わりません(もちろん、v19.0では若干の機能強化が施されています!)。
v19.0の新機能と改善点
エンド・ツー・エンドの可視性とサイバーセキュリティに重点を置き、最新リリースでは多くの新機能と改善を加えました。v19.0の新機能を簡単に見てみましょう:
リモートコレクターでリーチを広げる
すべての環境が同じというわけではありません。オフサイトやオフショアであっても、脅威に対してネットワークの一部を監視する必要があります。v19.0では、リモートコレクターを導入しました。リモートコレクターは、費用対効果が高く、リソースの少ないアプライアンスで、アクセスしにくい場所から資産やネットワークのデータを収集するのに役立ちます。リモートコレクターは、導入後、分析およびレポート作成のためにGuardian にデータを送信します。
。
新しい内蔵レポートにより、コンプライアンス・リスクとセキュリティ態勢を把握できます。
ICS 環境を持つ組織にとって、規制遵守の達成は今年のビジネス上の最大の関心事としてランク付けされました。最新リリースでは、環境内のすべてのデータにわたってカスタム・レポートを迅速に構築し、実行することが容易になりました。
また、v19.0 からは、現在のセキュ リティ体制を可視化し、コンプライアンス・リスクの把握に役立つ新しい組込 みレポートを利用できるようになりました。産業用制御システムの資産インベントリおよびCIS コントロールのレポートが、Guardian からすぐに利用できるようになりました。今後数ヶ月の間に、さらに多くのレポートを追加してライブラリを構築していく予定です!
コンプライアンスと資産インベントリのための新しい組み込みレポートにより、組織のセキュリティ態勢を効率的に改善できます。
新しいシスコ統合によるインシデントレスポンスの自動化
脅威は急速に進化し、急速なペースで環境内を移動します。そして、周知のように、侵害から封じ込めまでの時間が経過すればするほど、侵害に遭遇する可能性は高まります。
インシデントレスポンス時間を短縮し、修復までの時間を短縮するために、Cisco ASA および Cisco Firepower Threat Defense (FTD) との統合を追加しました。Cisco デバイスをGuardian に接続することで、環境内のアラートに基づいて以下のアクションを自動化できます:
- 新しいデバイスがネットワークに参加しないようにする
- ネットワーク上のデバイス間で新たに試みられた接続をブロックする
- ファイアウォールから不審なセッションを削除する
Aruba ClearpassとCisco ISEの統合によるアクセス制御の一元化
セキュリティ体制に対する最大の脅威は「人」であることは周知の事実です。システムを標的とする外部要因であろうと、経理担当のカレンが犯した単純なミスであろうと、「人」はお客様の環境を保護する上で最大のリスクとなります。Aruba ClearpassおよびCisco ISEとの統合により、セキュリティ・チームはすべてのITおよびOT ネットワークを完全に可視化し、アクセス制御できるようになりました。
ウィンドウズ資産で何が起きているかを知る
SANS 2019 State ofOT/ICS Cybersecurityは、商用OS(Windows、Unix、Linux)が稼働するサーバー資産が2019年のICS組織にとって最も高いリスクをもたらすと報告した-その主な原因は、レガシーOSの使用と頻繁でないパッチ適用である。ITの世界から来た私たちにとって、誰かがまだWindows XPやWindows 2000を動かしているというのは悪夢のように聞こえるが、これらのOSはOT のフロアではありふれたものである。
ICSセキュリティ計画を考える上で、これらの資産を考慮し、リスクや潜在的な攻撃を監視することは非常に重要です。Smart Polling アドオンの v19.0 では、環境内の Windows デバイスからデータを収集できるようになりました。
新しいアラートプロファイルで「ノイズ」を減らす
アラート疲労は、世界中のセキュリティチームにとって現実的な問題です。専門知識の有無にかかわらず、アラートが多すぎると、脅威を検出してタイムリーに対応する能力が低下します。v19.0では、受信するアラートの種類を管理するためのコントロールを追加しました。完全にカスタマイズ可能な4つの新しいビルトイン・プロファイルにより、どのアラートを表示し、どのアラートをサイレントにするかを決定できます。
簡素化されたクエリーで探しているものを素早く見つける
データは、そこから引き出すことができる洞察力があってこそ価値があります。Guardian の導入を最大限に活用できるよう、新しいクエリビルダを使用して、環境内のデータに関する質問を簡単に行えるようにしました。単に答えを見つけるだけでなく、クエリをチャートやグラフに変換し、カスタムダッシュボードやレポートに使用することができます。既存のクエリ構文を使用して、より複雑なクエリを作成することができます。
より多くのプロトコル、より少ない問題
産業環境で使用されている資産や機器を可視化することは、簡単なことではない。実際、制御システムからデータを収集している組織は3分の1以下(28%)である。一般的にTCP/IPを使用して動作する従来のIT環境とは異なり、産業用制御システムはネットワーク全体で数百もの特殊なプロトコルを使用しています。そのような環境で見られるさまざまな資産や機器を継続的にサポートするために、私たちは定期的に新しいプロトコルのサポートを追加しています。
以下はv19.0リリースに含まれるもののほんの一部である:
ABB TotalFlowOPC-UAFoxboro IAM Mitsubishi MelsoftGE Cimplicity ReplicaMitsubishi SLMPGE Cimplicity ViewSiemens CAMPGE EGDWeatherford Cygnet SCADAGE Mark VIWonderware SuiteLink DAGE ToolboxZMTP
サポートされているプロトコルの全リストは、プロトコル・サポート・ライブラリをご覧ください。
新しいCMC アプライアンス管理インターフェイスで複数サイト管理のオーバーヘッドを削減
時は金なり」であり、ICS 環境のリスクとセキュリティを管理することに時間を費やすのが最善であり、その背後にある技術を管理する必要はありません。そのため、私たちは集中管理コンソールを通じて、お客様の配備管理を簡素化することを優先しました。また、CMC が対応するユースケースを拡大し、より堅牢にするために、今後数回のリリースでかなりの投資を行う予定です。
改善ロードマップの最初のステップは、アプライアンス管理ダッシュボードの簡素化と使いやすさの向上です。v19.0では、各アプライアンスのデプロイメントの階層とヘルスステータスを簡単に確認できるようになります。さらに、アプライアンス全体のアップデートを簡単に管理できるようになります。CMC 、近日中にさらなる改善が行われる予定です!
新たな脅威とICSのゼロデイを検知する新ツールThreat Intelligence
厳密にはv19.0とは関係ないが、Threat Intelligence は定期的に(週に数回)更新されているため、ここ数ヶ月の間に行われた作業のいくつかを紹介することが重要だと感じた。Threat Intelligence は受賞歴のあるサブスクリプションで、お客様の環境における脆弱性の特定と脅威の検出を支援する。
この数ヶ月間、Nozomi Networks Labs のセキュリティ研究者チームは、新しい脅威の分析と、お客様の環境における不審な活動の検知に役立つツールの開発に懸命に取り組んできました。
- BlackEnergy、DeltaCharlie、LockerGoga、Palevo、Phobos、SmashingCoconutなどの脅威に対して、800以上の新しいルール、シグネチャ、インジケータが追加されました。
- Nozomi Networks Labsが発見し、ICS-CERTが過去3ヶ月間に公表した2件のゼロデイ脆弱性:
- ロックウェルPLC(ICSA-19-120-01)
- 三菱 PLC (ICSA-19-141-02)
- 2019年インフォセック・アワード受賞Threat Intelligence
Nozomi Networks 認定エンジニアコースでセキュリティの専門知識を向上させましょう。
2019年には、組織の3分の1がIT、OT 、およびハイブリッドIT/OT 担当者のためのサイバーセキュリティ教育とトレーニングへの投資を計画している。Nozomi Networks 認定エンジニア・トレーニング・コースは、ITおよびOT 担当者のサイバーセキュリティ知識を向上させるための最適な第一歩です。過去数ヶ月間、当社はNozomi Networks 認定エンジニア・トレーニング・コースの改善に投資してきました。このコースは、ご希望の場所で開催される 3 日間のインストラクターによるプログラムです。このコースは、Nozomi Networks ソリューションを活用して、高レベルのICSサイバーセキュリティと運用インテリジェンスを達成できるように設計された、多くの実践的シナリオで構成されています。
Nozomi Networks 認定エンジニア・トレーニング・コースの詳細については、こちらをご覧ください。
これらの機能強化の詳細については、7月30日に開催予定のウェビナー「What's New inNozomi Networks v19 .0 」にご参加ください。
