カジノサイト
サイバー対応計画には次の 6 つのコンポーネントが必要です
サイバーセキュリティのインシデントは、もはや「起こるかどうか」の問題ではなく、「いつ起こるか」の問題です。侵入を阻止するための優れた戦略とアーキテクチャを構築することは、インシデントの頻度と重大度を軽減する上で非常に重要ですが、どの組織も完全に防御できるシナリオはありません。つまり、すべての組織は、インシデントが発生した場合にエンタープライズ (IT) 環境と運用テクノロジー (OT) 環境の両方で何を行うかを計画しておく必要があります。
インシデント対応担当者として私にとって最も憂慮すべきことの 1 つは、インシデント対応計画を適切に設計、実装、テストしていないために、インシデントを解決するために余分なリソースを費やさざるを得なくなっている組織を観察していることです。インシデントはどのような環境でも高ストレスの危機的な状況ですが、生命と安全が危険にさらされているプロセス環境では特にそうです。インシデント対応もさまざまな面でコストがかかります。ドラゴスのインシデント対応専門家からなる私のチームは、計画と準備が十分に整っていない環境で対応を行うことが多いため、調査を進める前に余分な時間、リスク、資金を犠牲にして必要な対応を実行する必要があります。
以下の項目は、インシデント対応計画と文書化に不可欠な要素です。インシデント対応を容易にするために、それぞれの項目をある程度完了する必要があります。これらが完了していない場合は、重要なインシデントへの取り組みの開始時にその場で実行する必要があり、これが存在しないと混乱や間違いが生じる可能性があります。完了したこと、完了していないが比較的軽いリフトとして実行できること、およびより多くの時間と計画が必要なアクションを確認することを強くお勧めします。
アーキテクチャの理解とドキュメント
環境への侵入を防ぐには、ましてや調査するのではなく、その中に何が存在するかを知る必要があります。これには、ネットワーク トポロジ、資産インベントリ、産業プロセスの文書化が含まれます。この情報がなければ、インシデント対応の取り組みを適切なシステムに集中させ、影響を受けるシステムを定量化し、インシデントがもたらすリスクを計算することが困難になります。何がわからないのかはわかりません。これには、ネットワーク接続、システム、または重要なプロセス コンポーネントの存在が含まれる可能性があります。
コンサルティングを行っている環境でこの重要なアーキテクチャ文書が入手できず、最新の状態にない場合は、実際のインシデント対応を開始する前に、環境の資産、IP 範囲、プロセス機能のマッピングを IR コンサルティング料金である程度実行する必要があります。社内チームも同様のコストで同じことを強いられることになります。
王冠の宝石の分析
サイバーセキュリティにおけるもう 1 つの重要な情報は、どのシステムとネットワーク セグメントがビジネスにとって最も重要で影響力があるかということです。 IT では、これはもう少し単純です。主要な IT システムのようなそして Web サーバーはおそらくビジネス機能に不可欠です。 OT では、これははるかに複雑で物理的に影響のある質問です。
OT で Crown Jewel システムを特定するには、まずビジネスへの懸念事項を考慮する必要があります。プロセス環境における「史上最悪の日」とはどんな日でしょうか?次に、そこから作業を進めて、その結果が発生する原因となっている可能性のあるプロセスとサブプロセスを体系的に特定します。プロセスの危険性だけでなく、どのような条件、そして個々のコンポーネントが本当に懸念されるシナリオを引き起こす可能性があるかを正確に特定するには、緩和策も考慮する必要があります。
デジタルまたはコンピューターの影響を受けるコンポーネントは、サイバーセキュリティの観点からはクラウン ジュエルとなる可能性があります。たとえば、施設内の冷却喪失が処理上の危険としてすぐには思い浮かばないかもしれませんが、注意深く機能モデリングを行った後、エンジニアはそれが過熱状態を引き起こし、シャットダウンを引き起こす可能性があることを認識するかもしれません。したがって、その場合、HVAC コントローラーはクラウン ジュエルとして識別される可能性があります。クラウンジュエルの分析について詳しくはこちらをご覧ください.
現実的なクラウン ジュエルがインシデント対応文書や裏付け文書に記載されていない場合、対応者は OT 環境でインシデント対応を実行する際に、法医学的証拠の収集、トリアージ、修復に関する推奨事項の誤った優先順位に焦点を当てる可能性があります。
コレクション管理フレームワーク
コレクション管理フレームワーク (CMF) は、サイバーセキュリティの検出、脅威ハンティング、インシデント対応に使用される可能性のあるフォレンジック データ ソースを文書化します。これらの単純なテーブルには、ログやその他のデジタル証拠の保存場所、保存期間、サイバーセキュリティ チームによるそれらの使用方法に関する情報が含まれています。エンタープライズ環境では、多くの場合、部分的な CMF が提供されます。残念ながら、成熟度が低く、近代的ではない OT 環境では、このような贅沢はめったに利用できません。
インシデント対応中の分析にどのようなデータ ソースが利用できるかを知ることが重要です。フォレンジック分析では、複数の種類のデータとログにわたる裏付けと相関関係が必要であり、コンピューター システム上のさまざまなアクティビティがさまざまな場所に記録されます。どのようなデータ ソースが存在するのか、インシデントが発生する前にデータがどのくらいの期間保存されるのかを時間をかけて理解することは、時間を大幅に節約するだけでなく、検出範囲のギャップが明らかになる可能性もあります。 CMF は、ニーズに応じて、非常に単純にすることも、非常に冗長にすることもできます。
インシデント中に CMF が存在しない場合は、基本的な CMF をその場で作成する必要があります。これには、データ ソースのマイニングや無関係な会話が必要となり、保存期間が終了する前に収集されないと揮発性データの損失につながる可能性があります。主要なデータ ソースが存在しても、その存在やアクセス方法を誰も知らないため、調査に利用されない場合があります。 CMF について詳しくはこちらをご覧ください.
サンプル CMF:新しいウィンドウで展開
インシデント対応計画文書
インシデント対応計画 (IRP) 文書は、チームがサイバーセキュリティ インシデントにどのように対応するかを示す戦略およびサポート文書です。多くの組織が何らかの形式の IT IRP を持っていますが、専用の OT コンテンツを持っている組織はほとんどありません。 OT 環境でのインシデント対応の実行には、非常に異なるロジスティック要件と技術要件があるため、これは通常、対応中に大きな障害となります。
IRP は多数のテンプレート形式を使用できますが、最も基本的なものとして、選択したインシデント対応ライフサイクル全体にわたるワークフローが含まれている必要があります。(準備、特定、封じ込め、根絶、回復、および学んだ教訓)。選択したモデルに関係なく、IRP は、どのしきい値でインシデントが宣言されるか、どの重大度で調査されるか、通信、フォレンジック分析、封じ込め、および業務の復旧を定義する必要があります。さらに、優れた IRP には、利用可能なリソース、詳細なエスカレーション手順、ドキュメント リソース、およびネットワーク封じ込め手順に関する詳細が含まれています。このドキュメントは、関連するすべてのチームメンバーがアクセスでき、定期的に更新される必要があります。
IRP が整備されていない場合、私のチームは組織の混乱と混乱のため、対応作業が非常に遅れて呼び出されることがよくあります。明確なハンドブックや一元的な文書が不足しているため、通信が中断されたり遅くなったりする可能性があり、対応のすべての段階での処理が遅くなります。 IRP は、インシデント対応の速度と快適さに大きな影響を与えるために、過度に長くなったり複雑になったりする必要はありません。ただし、必須事項が含まれており、定期的に訓練する必要があります。
覚えておいてください、インシデント対応活動は、ストレスが多く、疲弊する危機的な状況で行われます。このような状況下でタスクを実行することははるかに困難であり、練習と文書化は間違いを避けるのに非常に役立ちます。
内部および外部リソースの識別
インシデント対応で生じる最も単純だが答えるのが難しい質問の 1 つは、誰がそれを実行するのかということです。インシデント対応はグループでの取り組みであり、複数の重要な役割があります。これには、取り組みを組織する指揮官やハンドラー、OT とサイバーセキュリティの両方の技術的主題の専門家、IT、物流、通信、さらには法的サポートが含まれます。これらの人々は、危機的な状況で毎日仕事をしているわけではないことが多く、仕事をするためには十分なトレーニングとハードウェアおよびソフトウェア ツールを受けなければなりません。
インシデント対応チームの人員配置にはいくつかのモデルがあります。完全に社内で実行できるため、非常に実用的ですがコストがかかります。リテーナーも優れたオプションであり、あまり個人的ではない場合には、より手頃な価格になります。最も望ましくなく、最も高価な選択肢は、外部のインシデント対応サポートを臨時で雇うことです。多くの企業がオーバーブッキングで、評判の低い企業は危機時の需要を利用しようとしているからです。もちろん、これらのオプションを組み合わせることも可能です。
何度も私のチームは、OT 環境を調査する資格のない別の会社が実施したインシデント対応を完全にやり直す必要がありました。場合によっては、これらの企業は、侵入的なスキャンやエージェントのインストールによって産業機器に損害を与えさえしました。財務モデルとリスク モデルに適合するものを選択する場合は、インシデントが発生した場合に誰が作業を行うかについての計画を立ててください。
サイバーセキュリティの成熟度の評価
インシデント対応能力について公平に答えるのが最も難しい質問の 1 つは、他の組織と比べて自分の組織がどのような立場にあるのかということです。ギャップを特定し、成功を測定するために、これを定量化することが重要です。単に推測を行うと、多くのネガティブなバイアスとポジティブなバイアスが生じます。したがって、外部ツールは非常に価値があります。
米国エネルギー省は、 という優れた自己評価ツールを開発しました。、サイバーセキュリティを機能分野に分割します。それらの分野の 1 つはインシデント対応です。各セクションで、評価対象の組織は、特定の機能に関するいくつかの詳細な質問に、「未実装」から「完全に実装」まで 1 から 4 のスケールで回答します。次に、ツールはこれらの回答に基づいて成熟度レベルを計算します。成熟度レベルは 1 ~ 3 の尺度です。成熟度レベル 1 は基礎を完了することで達成されますが、成熟度レベル 3 は非常に高度な機能を備えた最も成熟したサイバーセキュリティ組織向けに予約されています。目的は、レベル 2 に進む前に、レベル 1 ですべてを完了することです。
ほとんどの組織は、評価されると、成熟度レベル全体にわたってさまざまな完了を示します。成熟度レベル 1 が完了する前に成熟度レベル 3 のタスクを完了すると、混乱、ギャップ、大幅な遅延が発生する可能性があります。自分が成長する必要があると認識するのは問題ありません。ただし、先を急ぐことは良いことよりも害を及ぼす可能性があります。 C2M2 評価を完了していない組織は、多くの場合、その成熟度をマイナスまたはプラスの方向で私のチームに誤って伝えています。そのため、現実を理解した場合よりも、必要な面で助けや支援が少なくなる可能性があります。
上記のタスクを初めて読むと、難しく感じるかもしれません。これらは大幅な改善ですが、適切なインシデント対応を効果的に実行するには必要です。事前に実行していない場合、社内のインシデント対応担当者、または私のようなコンサルティング チームは、時間、費用、リスクを犠牲にして、危機時にインシデント対応を開始する前にそれらを準備する必要があることを覚えておいてください。
どのタスクがあなたの環境に部分的または完全に実装されているか、またどのタスクがより少ない労力で完了できるかを検討してください。何もないよりは何でもいいです。次に、長期プロジェクトとリソース割り当てを通じて、より困難な項目に取り組みます。どの組織も OT サイバー攻撃の犠牲になる可能性があり、コストと影響を可能な限り軽減するには準備が重要です。
レスリー・カーハートは、産業用サイバーセキュリティ会社 Dragos, Inc. の北米インシデント対応ディレクターであり、顧客の ICS 環境における脅威への対応を主導し、積極的に脅威を探索しています。 Dragos のインシデント対応責任者として 4 年間主任を務めた後、Carhart は現在、北米全土でインシデント対応およびデジタル フォレンジックの専門家のチームを管理し、産業ネットワークにおける商品、標的型、インサイダー脅威の事件の調査を行っています。 Dragos に入社する前は、Carhart は Motorola Solutions でインシデント対応チームのリーダーを務めていました。
©レスリー・カーハート
