カジノサイト
OT の脅威を最小限に抑えるためのベスト プラクティス
日曜日の午前 3 時、運営担当副社長の携帯電話が鳴りました。電話の相手は、中国にある同社最大の工場の 1 つの工場長です。
工場の制御システムに影響を与えたサイバー攻撃により、工場の製造ラインが停止しています。しかし、副社長が応答する前に、彼の携帯電話が再び鳴り、同じ問題を抱えている東ヨーロッパの別の工場長からの電話がかかってきました。
6 時間後、全社の工場管理者が同じ問題を報告しています。 IT チームは会社のオペレーショナル テクノロジー (OT) システムでマルウェアを検出し、インシデント対応手順を開始しました。この手順は、操作を完了して復元するまでに数週間とは言わないまでも、数日かかります。
もちろん、ここで説明されている事件は架空のものですが、被害をもたらした数十の現実世界の事件を反映しています製造会社
重大な影響を与える攻撃の可能性を最小限に抑えるために企業は何ができるでしょうか?そして、なぜこれほど多くのプログラムが、かなりのリソースを費やしたにもかかわらず、その目標を達成できないのでしょうか?
これらの質問に対する答えは、企業が重要なシステムへの現実的な脅威ベクトル (別名、攻撃経路) を特定できなかったことに帰着します。
たとえば、サプライヤーまたはベンダーが制御システムの問題のトラブルシューティングを行うために工場に来る可能性があります。感染したラップトップを工場のシステムに接続したり、感染した USB を工場のコンピューターに接続したり、知らないうちに感染したファイルをサイトに提供したりすることで、誤ってマルウェアが導入される可能性があります。他の脅威ベクトルとしては、制御システム環境にインストールされているソフトウェア パッチやウイルス対策アップデートが侵害される可能性があります。
インシデントの被害を制限するための適切な緩和制御と組み合わせて、これらの脅威をブロックするための適切なサイバーセキュリティ対策の導入が怠られている。これには、USB またはラップトップを制御システムに接続することを禁止する厳格なポリシーと、USB ポートの無効化またはブロック、未使用のスイッチ ポートの無効化またはブロック、ネットワーク アクセス制御の実装などのポリシーを強制するための対策が含まれます。追加の管理には、展開前のパッチとアップデートの信頼性の検証、展開前のパッチとアップデートのテストの義務化、パッチとアップデートの段階的な展開などが含まれる可能性があります。
これを行うのは簡単に聞こえるかもしれませんが、現代の IT および OT システムは複雑で絡み合っているため、システムへの潜在的な攻撃経路を調査し、悪意のある攻撃者やソフトウェアによって侵害される可能性のある現在のセキュリティの弱点を特定するには、多大な労力がかかります。また、侵害を迅速に検出し、インシデントを封じ込めるために迅速に対応し、拡散と被害を最小限に抑えるために講じられる対策を特定するのにも労力がかかります。
残念ながら、多くの企業はこの重要な分析ステップをスキップし、テクノロジーが自社に代わって機能することを期待して、セキュリティ テクノロジーの導入に直接取り組んでいます。テクノロジーは非常に有益ですが、脅威ベクトルと攻撃経路を計画してから、それらのベクトルを遮断し、警告を発し、迅速な対応を開始するのに役立つ適切なテクノロジーを選択することが非常に重要です。
サイバー脅威が成功する可能性やサイバー インシデントの結果を軽減するために自由に使えるツールはテクノロジーだけではありません。最も成功したプログラムは、人、プロセス、テクノロジーの組み合わせを活用して、これらの重要なシステムを保護します。
その良い例は、必要なパッチを特定するテクノロジー、パッチを収集してテストするプロセス、およびそれを監督するパッチのテストと展開について適切な訓練を受けた担当者を含むパッチ管理プログラムです。
脅威インテリジェンスの役割
前述したように、OT システムに対する現実的な脅威と、それらの脅威が悪用して最大の損害を引き起こす経路を特定することが重要です。ここで脅威インテリジェンスが登場します。
多くの場合、サイバー脅威は IT 環境から発生し、OT 環境に伝播すると考えられています。これは確かに一般的でありそうな経路ですが、それだけではありません。以前のインシデントを調査し、脅威アクターを特定し、脅威アクターが使用する攻撃ベクトルを計画することで、多くのことを学ぶことができます。 などのツールそしてフレームワークは攻撃経路をマッピングするのに役立ちます。
さらに、次のような方法論そしてどちらも安全工学手法に由来しており、サイバー脅威、脆弱性、およびその結果を研究および文書化するだけでなく、サイバーインシデントを防止および軽減するために実行できる最も効果的な対策を正確に特定するために使用されます。
サイバーセキュリティを、価値の高い資産を保護する物理セキュリティ システムに関連付けると分かりやすくなります。
たとえば、ある人に関するあなたのお気に入りの映画について少し考えてみましょう。bank heistまたは貴重な美術品の盗難または宝石。成功した犯罪者は常に創造的で機知に富んでいます。彼らは明白な道を歩まず、厳重な警備が施された施設の正面玄関から侵入しようとします。むしろ、彼らは施設内への予期せぬ、したがって警備が緩い通路を探します。彼らはあらゆる行動を慎重に計画し、検出を避ける方法を模索します。彼らは施設のセキュリティ システムを悪用し、ビデオ監視システムを乗っ取ったり、アクセス制御を活用して当局の侵入を防ぎながら自らの脱出経路を確保するなど、それを有利に利用しようと努めています。ハッカーと悪意のあるソフトウェアは、目的を達成するために非常によく似た戦術、テクニック、手口を使用します。
サイバーセキュリティの専門家は、最も効果的な防御を設計し導入するために、攻撃者の立場になって考える必要があります。これは、さまざまな種類の脅威、攻撃者、およびその戦略を研究し、理解することを意味します。また、彼ら自身のシステムを研究し、最大の損害を与えるためにどのように攻撃するかを考えることも意味します。
さらに、OT および製造アプリケーションでは、システムを誰よりもよく知っており、したがってシステムを攻撃する方法も誰よりもよく知っているエンジニアやオペレーターと協力することを意味します。たとえば、エンジニアリングおよび運用スタッフのメンバーを OT サイバー リスク評価ワークショップに参加するよう招待し、経験を共有し、現実的な脅威シナリオと緩和ソリューションの開発に役立てることができます。
OT および製造業におけるサイバー脅威インテリジェンスは、単に脅威グループや攻撃者の活動や手口を研究するだけではありません。また、自分自身のシステムを研究し、攻撃者が最も重要な資産を侵害するために使用する可能性のある攻撃経路を特定することも含まれます。
CISSP の John Cusimano は、Armexa の OT セキュリティ担当副社長で、プロセス制御、機能安全、OT、および産業用制御システムのサイバーセキュリティにおいて 30 年以上の経験があります。彼は OT サイバーセキュリティの分野で世界的に認められた思想的リーダーであり、ISA 99 サイバーセキュリティ標準委員会の投票メンバーであり、ISA/IEC 62443-3-2:2020 標準の作成に向けた取り組みを主導しています。Cyber HAZOP OT サイバー リスク評価手法の開発と応用のパイオニアです。クジマーノは、OT サイバーセキュリティに関する複数のトレーニング コースの開発者であり、主な講師でもあります。
© Armexa LLC
