中東地域のお客様およびパートナーの皆様へ
詳細情報
ITとOT セキュリティの最大の違いは、産業環境では、プロセス・リスクを含むサイバー・リスクとオペレーショナル・リスクの両方を考慮しなければならないことだろう。実際、サイバー脅威とは無関係な運用上の異常の方がはるかに多い。
産業環境、特に重要インフラにおいては、大規模なサイバー攻撃がニュースの見出しを飾ることが多いが、実際には、機器の故障、設定ミス、リソース使用量の急増、危険なプロセス逸脱といった事象の方が、生産を脅かす可能性がはるかに高く、場合によってはさらに深刻な事態を招く恐れがある。 例えば、化学プラントでは、圧力センサーが安全運転の閾値を超える値を検知するとアラームが作動し、爆発を防ぐために即座に操業停止が行われることがある。原因が究明されるまでは、悪意のある攻撃者が値を改ざんした可能性もあれば、オペレーターのミスである可能性もある。いずれにせよ、脅威は現実のものだ。オペレーターや管理者は、侵入、不審な動作、機器の故障といった脅威や異常を検知し、迅速に対応できなければならない。
一般的に、異常とは、基準となる性能や外観から逸脱したあらゆる事象を指します。製造業やその他の産業環境においては、不安定なプロセス値、誤ったプロセス測定値、あるいは故障や稼働停止につながる可能性のある設定ミスがこれに該当します。このため、製薬工場では通常、制御システムとフィールドデバイス間の通信を監視し、生産や安全プロトコルを妨げたり、バッチの品質を損なったりする可能性のある異常な測定値やコマンドを検出し、品質を確保しています。また、このようなプロセスの異常は、サイバー脅威の兆候である場合もあります。
セキュリティ、信頼性、および高可用性を確保するためには、産業環境において、ルールベースの脅威検知と行動ベースの異常検知を組み合わせた包括的なリスク監視が必要となります。
ルールベースの検知は、指標が容易に観察・識別可能な脅威の検知に効率的です。この方法は、リソース使用量の急増や予期せぬトラフィックの急増など、悪意のない既知の異常の検出にも使用できます。
ルールベース検出の一種であるシグネチャベース検出は、ネットワークトラフィック内の悪意のある活動や不正アクセスを迅速かつ効率的に検出する方法です。これは、あらかじめ定義されたルールや条件に基づいて、ネットワークトラフィック内の固有かつ既知の攻撃パターン(シグネチャ)を特定し、既知の脅威のデータベースと照合するものです。 各シグネチャには、ファイル名、ハッシュタグ、URL、IPアドレスなどの侵害の兆候(IOC)が含まれています。シグネチャベースの検知は効率的ですが、既知の脅威(文書化されたCVEなど)に対してのみ有効であり、かつ、その兆候が容易に観測可能で、潜在的な一致として識別できる場合にのみ機能します。
既知のマルウェアを特定するために、シグネチャベースの検知方法は、YARAルールとパケットルールを使用して、それぞれファイルとパケットシグネチャをマッチングさせ、マッチングが検出されるとアラートを発する。
運用上の異常は、ゼロデイを含む未知の脅威と同様に、ルールを使用して検出することはできません。これらを検知する最善の方法は、ディープ・パケット・インスペクション(DPI)を使用してネットワークトラフィック内の産業プロトコルを読み取り、現在の動作をベースラインと比較する継続的なモニタリングです。
ICSネットワークは、デバイスが常に追加・削除される企業ネットワークに比べると比較的静的であるため、正確なベースラインを確立し、そこからの逸脱を認識することははるかに容易です。しかし、ネットワークトラフィックから収集されたプロセス変数の正常な挙動を学習するための高度な機械学習なしには実現できません。いったんベースラインが確立されれば、挙動ベースの異常検知を使用して、設定されたしきい値外のトラフィック・パターンや、異常なセンサー読み取り値やフロー・パラメーターにフラグを立てることができる。
Nozomi Networks プラットフォームは、OTIoT 環境で利用可能な最も洗練された検知エンジンを備えています。ルールベースとビヘイビアベースのテクニックを組み合わせ、誤検知でアナリストやオペレーターを圧倒することなく、リソーススパイクからゼロデイ、シグネチャベースのアプローチをしばしば回避するリビングオフザランドテクニックまで、お客様の環境におけるあらゆる脅威を検知し、その影響を制限します。
既知の脅威を検知するために Nozomi スレット(脅威)インテリジェンスフィードは、YARAルール、パケットルール、STIXインジケータ、脅威定義、脅威ナレッジベース、脆弱性シグネチャを含む脅威インジケータに関する詳細情報だけでなく、集約された脅威の調査と分析を提供します。当社のセンサーとプラットフォームは、産業プロセスとIoT デバイスに特化した最新の新興マルウェアとIOCで継続的に更新されています。これには、CISAのKnown Exploited Vulnerabilities Catalog、 ICSマッピング用のMITRE ATT&CK® Matrix、Mandiantのスレット(脅威)インテリジェンス統合だけでなく、当社独自のOTIoT OTリサーチも含まれます。
異常を検知するために、Nozomi Networks プラットフォームは機械学習を利用して産業用ネットワークの通信パターンを学習し、正常な動作のベースラインを確立します。そして、お客様の環境を継続的に監視し、サイバー脅威の存在や信頼性へのリスクを示す可能性のある通信やプロセス変数の値の変化を特定します。
具体的には、当社のセンサーはDPIを使用して250以上の産業用プロトコルを解析し、堅牢な動作解析に必要な詳細データを提供します。この方法により、産業用コントローラー、ワークステーション、サーバーなどのデバイスのメーカー、モデル、シリアル番号、ファームウェア/OSバージョンなどの詳細な資産情報を抽出することができます。当社のセンサーは以下を検出できます:
.webp)
