カジノサイト
資金不足の水道事業体は漏洩しやすい防御策と闘っている
トイレの水が止まらなくなったらどうしますか?蛇口が枯れてしまい、安全な飲み水が数日、場合によっては数週間も入手できなくなったらどうなるでしょうか?
停電の計画はあると思いますが、上水や下水のサービスが長期にわたって利用できない場合はどうでしょうか?これが、リスク管理会社ドラゴス社のレスリー・カーハートとその同僚たちを夜も眠れなくさせるシナリオです。
「下水が機能しないのは大問題です」と、ドラゴスのインシデント対応テクニカル ディレクターであるカーハート氏は言います。 「私たちは米国ではそのような状況に慣れていません。きれいな水を飲めないということは、米国とカナダのほとんどの地域では慣れていないことです。」
水道システムは防御、監視、探知能力が限られており、攻撃されたときに大きな影響を与える可能性があるため、「相手国に大きなマイナスの影響と心理的影響を与えるという、多くの敵対グループがそうしている重要な目標を達成した場合には、魅力的な標的になる」とカーハート氏は付け加えた。
それは前代未聞のことではない。近年、脅威集団はサイバー攻撃を使って浄水施設を攻撃しており、その中には、2024年1月にロシアの国家機関と関係のあるハッキンググループがテキサス州の水道施設に侵入し、システムの誤作動を引き起こし、給水タンクを溢水させたときも含まれる。同じグループが、 の功績を称賛しました。4月、インディアナ州の下水処理施設にて。 2023 年後半、イラン関連のグループペンシルベニア州の町の水道事業者を含むイスラエルが設計した機器を使用し、遠隔ポンプから手動操作への切り替えを余儀なくされました。
送電網と大手公共事業会社は近年、リソースとサイバーセキュリティ防御を強化していますが、米国の上下水道事業体のほとんどは地方自治体です。そのため、彼らは数台のコンピュータとIT専門家が都市や町に水を供給するシステムを制御するだけの、何の変哲もないオフィスビルで仕事をしている可能性が高いとカーハート氏は言う。強力なリソースとサポートの欠如により、これらの組織は危険にさらされています。
その2024 年 5 月、水道システムがサイバー攻撃者の標的になっているとのこと。同庁はまた、過去 1 年間に連邦当局が検査した公共事業の 70% が、デフォルトのパスワードを変更しなかったり、元従業員のシステム アクセスを取り消しなかったりするなど、違反を防止するための基準に違反していたと述べた。
「基本的なサイバー衛生対策を実施することは、企業がサイバーインシデントを防止、検出、対応し、復旧するのに役立ちます」とEPAは述べています。 「水道事業体は処理プラントや配水システムの運用にコンピューター ソフトウェアを利用していることが多いため、情報技術やプロセス制御システムをサイバー攻撃から保護することが極めて重要です。小規模な水道システムもサイバー攻撃から無縁というわけではありません。」
情報技術 (IT) と運用技術 (OT) システム間の相互接続により、総合的なリスク管理アプローチが不可欠になっていると、ヘキサゴンの資産ライフサイクル インテリジェンス部門で OT サイバー担当エグゼクティブ業界コンサルタントを務めるロヤ ゴードン氏は述べています。最近の注目度の高い攻撃は、次のような OT インフラストラクチャを標的としています。飲料水を処理するため — 敵対者が IT の脆弱なリンク (不十分な認証やサイバー衛生など) を利用して OT システムにアクセスするため、組織は IT セキュリティを放棄して OT に集中することはできないと警告します。
「私たちは今、パラダイムシフトの中にいます」とゴードン氏は言います。 「以前は、これらのレガシー システムの上にセキュリティが階層化されているのを見てきました。OT 環境はライブ環境であるため、単にシステムを削除して置き換えたり、アップグレードしたりすることはできません。ダウンタイムは許されません。」
したがって、オペレーターは、安全でないシステムを置き換えるのではなく、ファイアウォール、脅威インテリジェンス ソリューション、監視を追加することで、セキュリティ システムを最上位に重ねる回避策を使用することになります。
業界はセキュリティ・バイ・デザインに移行しつつありますが、OT の寿命が長いためその歩みは遅れています。システムは数十年にわたって使用できるように設計されており、安全性の低いシステムが実際に置き換えられるようになるまでには、ゆうに 40 年かかる可能性があるとゴードン氏は説明します。さらに、ユーティリティのダウンタイムは、たとえ小さな構成を変更するだけでも、サービスの中断を引き起こしたり、他の古い OT システムを破壊したりする可能性があります。あメンテナンスが OT セキュリティ インシデントの主な原因であることがわかりました。したがって、オペレータはシステムのアップグレードを慎重に進め、OT を保護するために IT とサイトのセキュリティの両方に投資することがさらに重要になります。
電力会社は長い間、OT の手順やシステムを他のシステムやツールの層の背後に隠す「隠蔽によるセキュリティ」の手法に依存してきました、とカーハート氏は言います。侵入経路を探している攻撃者にとって、これらすべてを選別することは長期的で高価な投資となります。
「最も基本的なレベルでは、敵は目標を確実に達成するために最小限のリソースと労力を使用します」とカーハート氏は説明します。 「地理的な地域に電力を供給したい場合、その地域にいる場合、長期間にわたってシステムに侵入する方法を学ぶよりも、ペイント缶を取り出して変圧器に投げ込むほうがおそらく簡単です。これには多大な時間、多くの人員、多くの専門知識が必要な多額の投資です。物理的にその物体にアクセスでき、捕まらない場合は、ペイント缶を取り出して変圧器に投げ込み、大事故を引き起こすことになります。地球の向こう側にいてそれができない場合、同様のことを行うための最も効率的かつ効果的な方法は、偵察を行い、環境について学び、破壊的な攻撃を行う上で最善の仕事をすることかもしれません。」
長期間にわたってシステムに侵入する方法を学ぶよりも、ペイント缶を手に取って変圧器に投げつけるほうが簡単でしょう。
これをルーブリックのように考えてください。攻撃者は、金銭的(ランサムウェア攻撃、窃盗、内部関係者の脅威)、評判(ハクティビスト)、または政治的(国家攻撃やスパイ活動)など、目的を達成するために最も効果的で最も低コストの経路を探しています。
そのルーブリックに基づいて測定すると、特に手っ取り早く利益を得ようとするサイバー攻撃者にとって、水道施設は当然のターゲットです。
「商用ランサムウェア グループは金儲けを目的としており、廃水について 2 つのことを知っています」とカーハート氏は言います。 「彼らはまず第一に、そこにはサイバーセキュリティリソースが非常に少ないため、信じられないほど無防備であることを知っています。第二に、それが社会にとって非常に重要なことであること、そしてそれが機能しないときは人々が本当に気づくことを彼らは知っているので、人々はおそらくお金を払うでしょう。」
破壊活動に重点を置いている敵対者(国家主体を含む)も、大きな影響を与える可能性のあるより簡単なターゲットを探しています。
「全体的な目的は、こうした国家型の敵に対して社会に混乱を引き起こし、心理的影響を与え、人的影響を与えることです」とカーハートは説明する。 「彼らが攻撃に利用できる電力会社を見ると、石油とガスは確かに多大な影響を与える可能性がありますが、防御には非常に豊富なリソースが投入されている傾向があります。彼らを攻撃して影響を与えるには多額の投資が必要になります…そして多くの電力会社も同様です。
「さて、水に注目してみると、それは自治体のものです」と彼らは続けます。 「サイバーセキュリティ チームはほとんど存在しません。これらの組織の中には、IT 担当者が 1 人いる組織もあります。そして、少なくとも私の観点からすると、[上下水道事業] は電気と同じくらい私たちの日常生活や社会の健康に大きな影響を与えています。」
特に情報共有や、、必ずしも小規模自治体向けの予算を構築するとは限りません。また、潜在的な攻撃が現実離れしたもの、または地域からかけ離れたものであると感じられる場合、市議会や有権者にとっては売り込みが難しい可能性もあるとカーハート氏は付け加えた。
「あなたの地元の町や郊外にとって、『道路を修復しますか?それともサイバーセキュリティ担当者を雇いますか?』という話になると、それは簡単なことではありません。」と彼らは言います。
一部のベンダーは、自治体サービスや非営利団体向けにセキュリティ ツールを割引価格または無料で提供しています。カーハートは、公益事業セキュリティチームが最小限のコストで業務と認識を向上できるように、できるだけ多くの教育の機会と情報共有セッションを活用することを推奨しています。
「あなたの業界や地域で参加できるサイバー演習がある場合、通常は他の誰かから資金提供を受けています」とカーハート氏は言う。 「ただのオブザーバーとして参加していただければ、それはとても良い考えです。」
一部の演習は ISAC、政府機関、またはその他の公益事業によって主催されており、他の組織が同様の課題にどのように対処しているかを知ることは有益です。無料のリソースは、サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA、米国土安全保障省の一部) からも入手できます。、およびサイバーセキュリティ企業。バイデン政権はまた、公共施設のセキュリティのための将来の要件とリソースを設定する重要なインフラストラクチャのセキュリティと回復力について。
「可能であれば、それらをぜひ活用してください。何が利用できるかを必ず把握してください」とカーハートは言います。
『道路を修復するか、それともサイバーセキュリティ担当者を雇うか』について話しているとき、それは簡単ではありません。
ゴードンは、OT 保護の改善を 4 つの主要なステップに分けることを推奨しています。
- 資産目録を作成します。自分が持っているもの、脆弱なもの、寿命が近づいているもの、運用にとって重要なものを把握します。
- 脆弱性の特定を追跡します。セキュリティ組織や政府機関は、毎日新しい OT および IT システムの脆弱性を公開しています。どの脆弱性がシステムや運用に影響を与える可能性があるかを追跡します。どの脆弱性が顕著な損害を引き起こす可能性があるか、または不正なシステム侵入を許可する可能性があるかに基づいて優先順位を付けます。
- リスク管理と調停を実施します。どのような脆弱性に直面しているかを理解したら、組織やコミュニティの他の関係者と協力して、どのリスクを軽減する必要があるか、どのリスクを受け入れてよいか、どのリスクを移転できるかを特定します。必要かつ可能な限りリスクを調整します。
- OT インシデント対応とフォレンジックを開発します。OT に影響を与える攻撃に対するインシデント対応計画の作成に時間を費やします。これには、回復を追求しながらフォレンジックやインシデント調査をどのように処理するかが含まれます。
4 番目の項目—対応と回復—多くの小規模電力会社の準備には欠けていることが多い、とカーハート氏は言う。これにより、インシデント中にパニックが発生し、外部のセキュリティ専門家やコンサルタントとの非常に高価な緊急セッションが必要になることがよくあります。
「サイバーセキュリティインシデントをまったく計画していなかった組織から、真夜中にたくさんの必死の電話がかかってきます」とカーハート氏は付け加えた。 「計画も部下もいない、サイバーセキュリティへの投資も何もない状態で真夜中に私に電話するほうが、少しの時間と労力をかけて計画を書き留めて誰に電話するかを決めるよりもずっと高くつくことを約束します。たとえナプキンの裏であっても、事前に計画を立てておけば、時間、ストレス、お金を大幅に節約できます。誰に電話するつもりですか、何を達成しようとしていますか、そして資金はどこから来ますか?」
サービスの中断は電力会社のコミュニティに重大な影響を与えるため、迅速な復旧に対する強いプレッシャーがかかる可能性があるため、組織は侵害されたシステムを評価し、侵入の兆候を確認し、迅速な復旧によって敵が亀裂をすり抜けることができないようにするためにどのような手順をとるべきかを知る義務もあります、と電力ISACのCEO、マニー・キャンセルは述べています。
「その風景は前例のないもので、ほとんど圧倒されるほどです」と彼は言います。 「サイバー側だけでも、対応しなければならず心配しなければならない脆弱性の量は信じられないほどです。そして敵対者はこれを、私たちが『1 対多』問題と呼ぶもので理解しました。私は個別の企業を攻撃するのではなく、あなたが使用しているプラットフォームを攻撃して、何にアクセスできるか、またはどのようにセクターを侵害できるかを私に見てもらいます。」
さらに、資金豊富な一部の敵対者—たとえばボルト タイフーンは、中国が支援する国営のステルス攻撃者で、システムの脆弱性を利用して重要なインフラ システムにアクセスし、その後は静観することに重点を置いています。によると、これらの攻撃者は、「土地から離れて生活する」手法で電力会社の運用、構成、防御を注意深く観察し、データを収集して、攻撃者が後でより破壊的な攻撃を実行できる位置に置く。.
敵は、より派手な事件を利用して侵入を隠すこともでき、復旧を急いでいる間に公益事業の防御者が事件を見逃すことを当てにすることもできます。
「停電は許容できません。他の部門は公益事業に大きく依存しています」とキャンセル氏は言います。 「私たちは常にできるだけ早く復旧するよう努めますが、少しの間立ち止まって、その影響について考える価値はあります。もう 1 つは、適切な監視を行うことです。つまり、問題を根絶したと思っていても、実際には見逃していたり、事態をさらに悪化させていたりする場合、さらに大混乱を引き起こすために敵が仕掛けたバックドアがあるのです…それは私たちが注意する必要があることです。」
未来は電気です。セキュリティ テクノロジーの 2 月号では、これが世界中のセキュリティ担当者にもたらす機会とリスクについて考察します。問題を読んでください:
— セキュリティ管理 (@SecMgmtMag)
OT リスクに関して、ゴードン氏は公共事業のセキュリティ専門家が注力すべき 3 つの分野を推奨しています。
ネットワーク監視。「自分のデバイスと通信しようとしている外部デバイスが存在しないことを確認したいのです」とゴードン氏は言います。幸いなことに、セキュリティ専門家が外部との接触や OT ネットワークからの通信を監視するのに役立つソリューションが多数存在します。これらのソリューションは「ネットワークを盗聴するので、ネットワーク トラフィックを傍受します。そのコピーを取得します。これは非侵襲的です」と彼女は付け加えました。 「その後、OT ネットワーク内で行われているすべての通信の詳細なパケット検査が行われます。資産インベントリを取得できるだけでなく、侵害の兆候を検索するための署名を作成したり、悪意のあるアクティビティをブロックしたりすることもできます。」
物理的な監視。ゴードンはに飛び込むことを勧めます産業用制御システム、特に物理的資産のチェックに関して。
「これらのデバイスは常に OT ネットワーク上で通信しているわけではありません」と彼女は言います。 「システムは分離されています。安全システムは OT ネットワーク上で継続的に通信することはありません。必要に応じてトリガーされると通信することになります。」
これらの環境が継続的にチェックされていない場合、組織は主要なシステムの半分しか認識できないことになります。これは、内部関係者の脅威にとって特に危険です。内部の知識を持つ攻撃者は、どのシステムがネットワーク監視の対象となっているか、どのシステムが見落とされる可能性があるかを知っているためです。
バックアップ。システムを復元するための効果的なバックアップを作成することは、ランサムウェア攻撃を阻止するための一般的な指針ですが、新しいワイパー マルウェアはその原則を試しています。ゴードン氏によると、このマルウェアは2波攻撃としてランサムウェア攻撃に組み込まれる可能性があり、標的のシステム上のデータを永久に削除または破壊して、システムを動作不能にする可能性があるという。ただし、OT 環境の利点の 1 つは、頻繁に変更されないことです。 2 週間または 1 か月前のバックアップはまったく問題ないため、リカバリの際にシステムを最初から再構成する必要はないと彼女は言います。 全体的に、水道事業のセキュリティは資金不足の分野であり、潜在的な影響が大きく、複数の関係者や部門が団結してリソースと責任を共有する必要があります。
「特効薬はひとつもない」とカーハートは言う。 「すべてを解決できる唯一の政党はありません。この問題を解決するには、これらすべてのことを組み合わせる必要があります。これは大きな問題です。水は、私と同僚の夜を眠らせてくれるものです。下水と新鮮な飲料水、それらは私たちの目を覚まさせ、心配させてくれるものです。」
クレア・メイヤーはの編集長を務めていますセキュリティ管理。 LinkedIn または電子メールで彼女とつながりましょう。[email protected].
