ライブデモ:Nozomi Networks 15分でわかるプラットフォーム
観る
ITとOT セキュリティの最大の違いは、産業環境では、プロセス・リスクを含むサイバー・リスクとオペレーショナル・リスクの両方を考慮しなければならないことだろう。実際、サイバー脅威とは無関係な運用上の異常の方がはるかに多い。
産業環境、特に重要なインフラストラクチャでは、大規模なサイバー攻撃が見出しを飾りますが、機器の誤動作、設定ミス、リソース使用量の急増、危険なプロセスの逸脱などは、生産を脅かす、あるいはそれ以上の事態を引き起こす可能性がはるかに高いのです。例えば、化学プラントでは、圧力センサーが安全な動作しきい値から外れた値を検出するとアラームが作動し、爆発を防ぐために即座にシャットダウンする。調査されるまでは、悪意のある行為者が値をいじったことを示すかもしれないし、オペレーターのミスかもしれない。いずれにせよ、脅威は現実である。オペレーターと管理者は、脅威と異常(侵入、望ましくない行動、機器の故障)の両方を検知し、迅速に対応できなければならない。
一般的に、異常とはベースラインのパフォーマンスや外観から乖離するものを指す。製造業やその他の産業環境では、不安定なプロセス値、不正確なプロセス測定値、誤動作やダウンタイムにつながる可能性のある設定ミスなどが該当します。このため、製薬工場では通常、制御システムとフィールド機器間の通信を監視し、生産または安全プロトコルを混乱させる可能性のある異常な読み取り値やコマンドを検出し、バッチ品質を確保します。このようなプロセスの異常は、サイバー脅威を示すこともあります。
セキュリティ、信頼性、高可用性を確保するために、産業環境では、ルールベースの脅威検知と行動ベースの異常検知を組み合わせた包括的なリスク監視が必要です。
ルールベースの検知は、指標が容易に観察・識別可能な脅威の検知に効率的です。この方法は、リソース使用量の急増や予期せぬトラフィックの急増など、悪意のない既知の異常の検出にも使用できます。
ルール・ベース検知のサブセットであるシグネチャ・ベース検知は、ネットワーク・トラフィック内の悪意のあるアクティビティや不正アクセスを高速かつ効率的に検知する方法です。事前に定義されたルールや条件に基づき、ネットワーク・トラフィック内の既知のユニークな攻撃パターン(シグネチャ)を識別し、既知の脅威のデータベースと照合します。各シグネチャには、ファイル名、ハッシュタグ、URL、IPアドレスなどの侵害指標(IOC)が含まれています。効率的ではあるが、シグネチャベースの検知は既知の脅威(文書化されたCVEなど)に対してのみ機能し、指標が容易に観察可能で、一致する可能性があるものとして識別可能な場合にのみ機能する。
既知のマルウェアを特定するために、シグネチャベースの検知方法は、YARAルールとパケットルールを使用して、それぞれファイルとパケットシグネチャをマッチングさせ、マッチングが検出されるとアラートを発する。
運用上の異常は、ゼロデイを含む未知の脅威と同様に、ルールを使用して検出することはできません。これらを検知する最善の方法は、ディープ・パケット・インスペクション(DPI)を使用してネットワーク・トラフィック内の産業プロトコルを読み取り、現在の動作をベースラインと比較する継続的なモニタリングです。
ICSネットワークは、デバイスが常に追加・削除される企業ネットワークに比べると比較的静的であるため、正確なベースラインを確立し、そこからの逸脱を認識することははるかに容易です。しかし、ネットワーク・トラフィックから収集されたプロセス変数の正常な挙動を学習するための高度な機械学習なしには実現できません。いったんベースラインが確立されれば、挙動ベースの異常検知を使用して、設定されたしきい値外のトラフィック・パターンや、異常なセンサー読み取り値やフロー・パラメーターにフラグを立てることができる。
Nozomi Networks プラットフォームは、OTIoT 環境で利用可能な最も洗練された検知エンジンを備えています。ルールベースとビヘイビアベースのテクニックを組み合わせ、誤検知でアナリストやオペレーターを圧倒することなく、リソーススパイクからゼロデイ、シグネチャベースのアプローチをしばしば回避するリビングオフザランドテクニックまで、お客様の環境におけるあらゆる脅威を検知し、その影響を制限します。
既知の脅威を検知するために Nozomi Threat Intelligenceフィードは、YARAルール、パケットルール、STIXインジケータ、脅威定義、脅威ナレッジベース、脆弱性シグネチャを含む脅威インジケータに関する詳細情報だけでなく、集約された脅威の調査と分析を提供します。当社のセンサーとプラットフォームは、産業プロセスとIoT デバイスに特化した最新の新興マルウェアとIOCで継続的に更新されています。これには、CISAのKnown Exploited Vulnerabilities Catalog、 ICSマッピング用のMITRE ATT&CK® Matrix、Mandiantのthreat intelligence統合だけでなく、当社独自のOTIoT OTリサーチも含まれます。
異常を検知するために、Nozomi Networks プラットフォームは機械学習を利用して産業用ネットワークの通信パターンを学習し、正常な動作のベースラインを確立します。そして、お客様の環境を継続的に監視し、サイバー脅威の存在や信頼性へのリスクを示す可能性のある通信やプロセス変数の値の変化を特定します。
具体的には、当社のセンサーはDPIを使用して250以上の産業用プロトコルを解析し、堅牢な動作解析に必要な詳細データを提供します。この方法により、産業用コントローラー、ワークステーション、サーバーなどのデバイスのメーカー、モデル、シリアル番号、ファームウェア/OSバージョンなどの詳細な資産情報を抽出することができます。当社のセンサーは以下を検出できます:
ITとOT セキュリティの最大の違いは、産業環境では、プロセス・リスクを含むサイバー・リスクとオペレーショナル・リスクの両方を考慮しなければならないことだろう。実際、サイバー脅威とは無関係な運用上の異常の方がはるかに多い。
産業環境、特に重要なインフラストラクチャでは、大規模なサイバー攻撃が見出しを飾りますが、機器の誤動作、設定ミス、リソース使用量の急増、危険なプロセスの逸脱などは、生産を脅かす、あるいはそれ以上の事態を引き起こす可能性がはるかに高いのです。例えば、化学プラントでは、圧力センサーが安全な動作しきい値から外れた値を検出するとアラームが作動し、爆発を防ぐために即座にシャットダウンする。調査されるまでは、悪意のある行為者が値をいじったことを示すかもしれないし、オペレーターのミスかもしれない。いずれにせよ、脅威は現実である。オペレーターと管理者は、脅威と異常(侵入、望ましくない行動、機器の故障)の両方を検知し、迅速に対応できなければならない。
一般的に、異常とはベースラインのパフォーマンスや外観から乖離するものを指す。製造業やその他の産業環境では、不安定なプロセス値、不正確なプロセス測定値、誤動作やダウンタイムにつながる可能性のある設定ミスなどが該当します。このため、製薬工場では通常、制御システムとフィールド機器間の通信を監視し、生産または安全プロトコルを混乱させる可能性のある異常な読み取り値やコマンドを検出し、バッチ品質を確保します。このようなプロセスの異常は、サイバー脅威を示すこともあります。
セキュリティ、信頼性、高可用性を確保するために、産業環境では、ルールベースの脅威検知と行動ベースの異常検知を組み合わせた包括的なリスク監視が必要です。
ルールベースの検知は、指標が容易に観察・識別可能な脅威の検知に効率的です。この方法は、リソース使用量の急増や予期せぬトラフィックの急増など、悪意のない既知の異常の検出にも使用できます。
ルール・ベース検知のサブセットであるシグネチャ・ベース検知は、ネットワーク・トラフィック内の悪意のあるアクティビティや不正アクセスを高速かつ効率的に検知する方法です。事前に定義されたルールや条件に基づき、ネットワーク・トラフィック内の既知のユニークな攻撃パターン(シグネチャ)を識別し、既知の脅威のデータベースと照合します。各シグネチャには、ファイル名、ハッシュタグ、URL、IPアドレスなどの侵害指標(IOC)が含まれています。効率的ではあるが、シグネチャベースの検知は既知の脅威(文書化されたCVEなど)に対してのみ機能し、指標が容易に観察可能で、一致する可能性があるものとして識別可能な場合にのみ機能する。
既知のマルウェアを特定するために、シグネチャベースの検知方法は、YARAルールとパケットルールを使用して、それぞれファイルとパケットシグネチャをマッチングさせ、マッチングが検出されるとアラートを発する。
運用上の異常は、ゼロデイを含む未知の脅威と同様に、ルールを使用して検出することはできません。これらを検知する最善の方法は、ディープ・パケット・インスペクション(DPI)を使用してネットワーク・トラフィック内の産業プロトコルを読み取り、現在の動作をベースラインと比較する継続的なモニタリングです。
ICSネットワークは、デバイスが常に追加・削除される企業ネットワークに比べると比較的静的であるため、正確なベースラインを確立し、そこからの逸脱を認識することははるかに容易です。しかし、ネットワーク・トラフィックから収集されたプロセス変数の正常な挙動を学習するための高度な機械学習なしには実現できません。いったんベースラインが確立されれば、挙動ベースの異常検知を使用して、設定されたしきい値外のトラフィック・パターンや、異常なセンサー読み取り値やフロー・パラメーターにフラグを立てることができる。
Nozomi Networks プラットフォームは、OTIoT 環境で利用可能な最も洗練された検知エンジンを備えています。ルールベースとビヘイビアベースのテクニックを組み合わせ、誤検知でアナリストやオペレーターを圧倒することなく、リソーススパイクからゼロデイ、シグネチャベースのアプローチをしばしば回避するリビングオフザランドテクニックまで、お客様の環境におけるあらゆる脅威を検知し、その影響を制限します。
既知の脅威を検知するために Nozomi Threat Intelligenceフィードは、YARAルール、パケットルール、STIXインジケータ、脅威定義、脅威ナレッジベース、脆弱性シグネチャを含む脅威インジケータに関する詳細情報だけでなく、集約された脅威の調査と分析を提供します。当社のセンサーとプラットフォームは、産業プロセスとIoT デバイスに特化した最新の新興マルウェアとIOCで継続的に更新されています。これには、CISAのKnown Exploited Vulnerabilities Catalog、 ICSマッピング用のMITRE ATT&CK® Matrix、Mandiantのthreat intelligence統合だけでなく、当社独自のOTIoT OTリサーチも含まれます。
異常を検知するために、Nozomi Networks プラットフォームは機械学習を利用して産業用ネットワークの通信パターンを学習し、正常な動作のベースラインを確立します。そして、お客様の環境を継続的に監視し、サイバー脅威の存在や信頼性へのリスクを示す可能性のある通信やプロセス変数の値の変化を特定します。
具体的には、当社のセンサーはDPIを使用して250以上の産業用プロトコルを解析し、堅牢な動作解析に必要な詳細データを提供します。この方法により、産業用コントローラー、ワークステーション、サーバーなどのデバイスのメーカー、モデル、シリアル番号、ファームウェア/OSバージョンなどの詳細な資産情報を抽出することができます。当社のセンサーは以下を検出できます:
