コンテンツにスキップ
運用技術

写真提供: iStock

カジノサイト

決して想定しないでください: 植民地時代のパイプライン攻撃から得た重要な教訓

ジョナサン・カウチ著
2021 年 8 月 1 日

セキュリティ技術, 2021 年 8 月

SecTec-脅威指数-TL.jpg最近、運用技術 (OT) ネットワークと重要インフラ企業に多くの注目が集まっています。ロシア人が標的にしたのはそして現在、ロシアを拠点とする俳優がの背後にいると考えられています。米国では、フロリダ州では、2021 年初めに攻撃を受けました。これらの企業やネットワークを標的にすることは新しいことではなく、政府やこれらのネットワークを運営する企業が長年にわたって取り組んできたことです。

OT ネットワークには、多くの場合、独自のテクノロジーが組み込まれており、石油とガス、エネルギー、水道、電気通信などの重要な公共サービスを実行および制御します。これらのネットワークはエアギャップ、つまりインターネットや従来の企業 IT ネットワークから分離されているという長年の仮定があります。ほとんどのサイバーセキュリティ専門家は、これが真実ではないことを何年も前から知っていますが、セキュリティには依然として焦点が分かれています。IT ネットワークを保護する方法が OT ネットワークには機能しないということです。

最も重大な問題の 1 つは、政府、特にこれらの企業が最善の意図にもかかわらず問題に取り組んでいないことです。彼らは、これらのネットワークや敵対者がどのように活動するかについて誤った仮定を立てているため、脆弱性やセキュリティギャップを理解し、リスクを軽減するための適切な行動を取ることができません。 OT ネットワークには、従来の IT ネットワークにはないさまざまな種類のテクノロジー、ハードウェア、ソフトウェアが含まれているため、OT ネットワークは標準的な企業 IT ネットワークとは完全に別のものであると見なされることがよくあります。また、効率と可用性を最大化するために、非常に特殊なタイミングで非常に特殊な方法で動作する必要があります。そして長年にわたり、これらのネットワークは、悪意のある攻撃者がネットワークにアクセスして危害を加えるために、ネットワークの一部に物理的にアクセスすることを要求するように設定されてきました。

しかし時代は変わり、組織は脅威の状況の変化に適応して認識する必要があります。現在、OT ネットワークは IT ネットワークおよびインターネットに接続されています。これらのネットワークは現在、メンテナンスを容易にするために、また場合によっては今日の接続を活用した最新の運用をサポートするために接続されています。そして多くの場合、企業が認識しているよりもはるかに多くの外部および内部の接続が存在します。攻撃者がこれらの通信手段を見つけてサイバー攻撃を実行するためにそこを悪用するには、周囲を見回す必要があります。

こうした盲点が存在する理由は、組織がセキュリティを総合的に考えていないためです。

こうした盲点が存在する理由は、組織がセキュリティを総合的に考えていないためです。代わりに、OT ネットワークの OT セキュリティと IT ネットワークの IT セキュリティに重点を置く傾向があります。さらに、これらのそれぞれのネットワークを担当するチームは連携していないことがよくあります。私は、OT ネットワークを扱う場合は IT セキュリティについて話したくない人々やグループと常に話しています。彼らは、自分たちの独特の、そして彼らが別個のものであると認識している環境に存在する脆弱性に対処したいだけなのです。

現実には、重要なインフラストラクチャや産業企業に対して私たちが確認したすべての攻撃は、IT ネットワークやインターネットを利用して、OT ネットワークに影響を与えたり、OT ネットワークにアクセスしたりしています。攻撃者はスピア フィッシング メールでユーザーをターゲットにし、リモート デスクトップ プロトコル (RDP) または同様のテクノロジーを使用して IT ネットワークをスキャンして OT ネットワークへのアクセス ポイントを探します。

企業はこれを認識し、それに応じて計画を立て、適応する必要があります。この取り組みを開始するための 3 つの具体的なステップを次に示します:

  1. ネットワーク間の接続がどこにあるのかを確認して把握します。第三者にレッドチーム評価を実施してもらい、これらのつながりを見つけてもらいます。それらが存在しない、またはそれらすべてについて知っていると想定しないでください。これらの専門家は攻撃者として偵察を行い、攻撃者が IT および OT ネットワークに侵入するために利用できるアクセス ポイントを特定します。
  2. から利用できる膨大で増え続ける知識ベースを活用してくださいそしてこれらの攻撃がどのように起こっているかを把握し、それに応じて身を守りましょう。サイバー脅威インテリジェンスは、IT ネットワーク内の潜在的な脆弱性やその他のセキュリティ上の弱点に対する認識を高めるための重要なツールです。次に、防御を強化し、OT ネットワークへのアクセスを、必要不可欠で承認されたユーザー、デバイス、アプリケーションのみに制限します。
  3. 可視性が高まると、環境と攻撃者がどのように行動するかをより深く理解できるようになります。次のステップでは、簡単なアーキテクチャのレビューを実施し、ジャンプ ポイントを特定し、外部インターネット アクセスまたはリモート デスクトップ/SMB アクセス ポイントのスキャンを実行します。どのような制御 (プロセスとテクノロジーの両方) が必要であるかを正確に判断し、リスクを軽減するためにそれらの実装を開始できます。

サイバー攻撃を理由にトップニュースを作りたくない企業はありません。そして多くの人が、今回は幸運が味方してくれたことに気づいています。目立たないようにするには、ネットワークが分離されているため安全であると考えないでください。攻撃が示しているように、それは誤った想定であり、高額な代償を払うことになる可能性があります。

Jonathan Couch は、 の戦略および企業開発担当上級副社長です。。彼は、情報セキュリティ、情報戦、インテリジェンス収集における 25 年以上の経験を活用して、サイバー脅威インテリジェンスの消費、使用、伝達を支援するクライアント組織内の人材、プロセス、テクノロジーの開発に重点を置いています。 ThreatQuotient に入社する前は、Couch は iSIGHT Partners の脅威インテリジェンス サービスの共同創設者兼副社長を務めていました。カウチ氏はこれまでに、米国空軍で NSA、空軍情報戦センター、およびサウジアラビアで統合任務部隊 (SW アジア) の地域ネットワーク エンジニアとして勤務したことがあります。退役後、カウチ氏はサイテックス社で 25 人のメンバーからなる研究開発チームを率いました。サイテックス社は、2005 年にロッキード マーティンのアドバンスト テクノロジー ラボに買収されました。

arrow_upward