スポンサー機能 インターネット接続は、昔ながらの産業環境を含め、すべてを変えました。 企業が業務を近代化するにつれて、より多くの機械をWebに接続しています。 これは、明確で現在のセキュリティ上の懸念を生み出している状況であり、業界はそれらに対処するための新しいアプローチを必要としています。
産業用モノのインターネット(IIoT)の採用が加速しています。 研究 インマルサットの調査によると、調査対象の組織の77%が少なくとも41つのIIoTプロジェクトを完全に展開しており、そのうち2020%が2021年からXNUMX年の第XNUMX四半期に展開しました。
同じ調査では、セキュリティがIIoTの展開に着手する企業の主な懸念事項であり、回答者の54%がデータの効果的な使用を停止したと不満を述べていることも警告しています。 半数は、外部サイバー攻撃のリスクも問題として挙げています。
IIoTソリューションは、ITとOT(オペレーショナルテクノロジー)の統合にとって極めて重要です。 OTプラットフォーム(多くの場合、産業用制御システム(ICS))は、企業が製造生産に電力を供給するプレスやコンベヤーベルト、または都市の水を流し続けるバルブやポンプなどの物理デバイスを管理するのに役立ちます。
そうすることで、分析目的に役立つ大量のデータを生成します。 しかし、その情報を適切なエンタープライズツールに取り込むことは、ITとOTの間のギャップを埋めることを意味します。
オペレーターは、これらのOTシステムにリモートでアクセスできることも望んでいます。 従来のITアプリケーションにこれらのデバイスを制御する機能を与えることは、ITシステムで定義されているのと同じバックエンドプロセスとそれらをリンクできることを意味します。 また、運用上の変更を行うためだけに数キロメートルの往復を行うことができない、またはしたくない技術者がリモートアクセスできるようにすることで、時間と費用を節約することもできます。
COVID-19の危機の間に、社会的距離と移動の制限により技術者が現場をまったく訪問できなくなったときに、このリモートアクセスの必要性が高まりました。 インマルサットは、パンデミックがIIoTの採用を加速させる根本的な原因であることに気づき、84%が、パンデミックへの直接的な対応としてプロジェクトを加速させている、または加速させると報告しています。
したがって、多くの人にとって、ITとOTの統合は単に便利なだけではありません。 それは不可欠です。 しかし、それはセキュリティチームにとっても完璧な嵐を生み出しました。 アクセス可能な外部からアクセス可能なICSシステムは、ハッカーの攻撃対象領域を増やします。
動作中のICS攻撃
IT / OTの統合は、施設のPCにリモートアクセスソフトウェアをインストールする人と同じくらい簡単な場合があります。 それがセットアップです 許可されて ハッカーは、水酸化ナトリウムで地域住民を毒殺しようとする前に、2021年にフロリダ州オールズマーの市営水道にリモートアクセスツールを設置して制御システムにアクセスしました。 攻撃者が侵害したPCは、工場のOT機器にアクセスできました。 町の保安官は、目に見えない侵入者がその労働者のXNUMX人の前でマウスカーソルをドラッグしたと報告しました。
ハッカーが無実のフロリディアンを毒殺しようとした原因は明らかではありませんが、一部の攻撃には金銭的な動機があります。 一例として、EKANSランサムウェア攻撃があります。 ホンダを打つ 2020年XNUMX月、英国、米国、トルコでの製造業務を停止しました。
攻撃者はEKANSランサムウェアを使用して会社の内部サーバーを標的にし、工場に大きな混乱を引き起こしました。 で 分析 攻撃の中で、サイバーセキュリティ会社のダークトレースは、EKANSが新しいタイプのランサムウェアであると説明しました。 OTネットワークを標的とするランサムウェアシステムは、通常、最初にIT機器を攻撃し、次にピボットすることによって標的を定めます。 EKANSは、ICSインフラストラクチャを直接ターゲットにするという点で比較的まれです。 キルチェーン内の最大64の特定のICSシステムをターゲットにできます。
専門家は、他のICS攻撃は国が後援していると信じています。 2017年に最初に石油化学プラントに向けられたTritonマルウェアは まだ脅威 FBIによると、これは攻撃を国の支援を受けたロシアのグループに帰するものです。 局によると、このマルウェアは、物理的な損傷、環境への影響、人命の損失を引き起こす可能性があるため、特に厄介です。
標準のセキュリティソリューションはここでは機能しません
従来のサイバーセキュリティアプローチは、これらのOTの脆弱性を解決するのに効果的ではありません。 企業は、マルウェア対策を含むエンドポイントセキュリティツールを使用してPCを保護できます。 しかし、エンドポイントがプログラマブルロジックコントローラー、AI対応のビデオカメラ、または電球だった場合はどうでしょうか。 これらのデバイスには、内部プロセスをチェックできるソフトウェアエージェントを実行する能力がないことがよくあります。 CPUやデータストレージ機能を備えていないものもあります。
IIoTデバイスにオンボードセキュリティエージェントをサポートするための処理帯域幅と電力機能があったとしても、それらが使用するカスタムオペレーティングシステムが一般的なソリューションをサポートする可能性は低いでしょう。 IIoT環境では、多くの場合、さまざまなベンダーの複数のタイプのデバイスが使用され、非標準システムの多様なポートフォリオが作成されます。
次に、規模と分布の問題があります。 ネットワーク上で数千台の標準PCを扱うことに慣れている管理者やセキュリティ専門家は、センサーの数が数十万と非常に異なるIIoT環境を見つけるでしょう。 また、特にエッジコンピューティング環境が勢いを増すにつれて、それらは広範囲に広がる可能性があります。 電力を節約するために、よりリモートな環境でネットワークへの接続を制限する場合があります。
従来のICS保護フレームワークの評価
従来のITセキュリティ構成でこれらの課題を処理できない場合、おそらくOT中心の代替手段で処理できますか? 頼りになる標準モデルは、Purdueサイバーセキュリティモデルです。 パデュー大学で作成され、国際計測学会によってISA 99標準の一部として採用されており、ITおよびICS環境を説明する複数のレベルを定義しています。
レベルXNUMXは、物事を成し遂げる旋盤、工業用プレス、バルブ、ポンプなどの物理的な機械を扱います。 次のレベルアップには、これらのマシンを操作するインテリジェントデバイスが含まれます。 これらは、物理マシンからの情報を中継するセンサーと、それらを駆動するアクチュエーターです。 次に、プログラマブルロジックコントローラーなど、これらのマシンを監視する監視制御およびデータ取得(SCADA)システムを見つけます。
これらのデバイスは、産業ワークフローを実行する次のレベルの製造運用管理システムに接続します。 これらの機械は、プラントが最適に稼働し続けることを保証し、その稼働データを記録します。
Purdueモデルの上位レベルには、ITの領域に正直に置かれているエンタープライズシステムがあります。 ここの最初のレベルには、生産ロジスティクスを処理するエンタープライズリソースプランニングなどの生産固有のアプリケーションが含まれています。 次に、最上位レベルにはITネットワークがあり、ICSシステムからデータを収集して、ビジネスレポーティングと意思決定を推進します。
昔は、ネットワークの外部に何も話しかけなかった場合、管理者はネットワークをその境界に沿ってセグメント化できるため、このアプローチを使用してICS環境を管理する方が簡単でした。
このタイプのセグメンテーションをサポートするために、非武装地帯(DMZ)レイヤーが意図的に追加され、XNUMXつのエンタープライズレイヤーとスタックのさらに下のICSレイヤーの間に配置されました。 これは、企業とICSドメイン間のエアギャップとして機能し、ファイアウォールなどのセキュリティ機器を使用して、それらの間を通過するトラフィックを制御します。
ただし、ISAが最近導入したばかりであることを考えると、すべてのIT/OT環境にこのレイヤーがあるわけではありません。 課題に直面している人でさえ。
今日の運用環境は、Purdueモデルが最初に進化し、私たちが知っているクラウドが存在しなかった1990年代の運用環境とは異なります。 エンジニアは、オンプレミス管理操作またはSCADAシステムに直接ログインしたいと考えています。 ベンダーは、インターネットから直接顧客サイトでインテリジェントデバイスを監視したい場合があります。 Severn Trent Waterのように、SCADAレイヤー全体をクラウドにフォークリフトすることを望んでいる企業もあります。 決定しました 2020年に行う。
サードパーティによって管理されるサービスとしてのICS(ICSaaS)の進化により、IT/OTコンバージェンスに取り組んでいるセキュリティチームの水がさらに濁っています。 これらすべての要因は、環境に複数の穴を開け、以前のセグメンテーション作業を回避するリスクがあります。
もつれた混乱全体を切り抜ける
代わりに、一部の企業は、セグメンテーションを超えて冒険する新しいアプローチを採用しています。 急速に消滅するネットワーク境界に依存するのではなく、デバイスレベルでリアルタイムにトラフィックを検査します。 これは、OpenGroupのJerichoForumが初期のXNUMX年代に進めた当初の境界除去の提案からそれほど遠くはありませんが、ネットワーク内の非常に多くの異なるポイントでトラフィックを分析することは困難でした。 今日、AIの登場により、防御側はより注意深く監視できるようになりました。
ダークトレースは 適用 その産業用免疫システム内のこれらの概念のいくつか。 ネットワークセグメントの境界で既知の悪意のあるシグネチャを監視する代わりに、クラウドでホストされている環境の一部を含む、ITおよびOT環境のあらゆる場所で正常なことを学習することから始めます。
進化する正常性のベースラインを確立すると、サービスはすべてのトラフィックを分析して、その範囲外のアクティビティを探します。 管理者やセキュリティアナリストにこれらの問題を警告することができます。 した XNUMX人のヨーロッパの製造クライアントのために。
サービスも自律的です。 顧客がスイッチを切り替えるのに十分な決定を信頼する場合、免疫システムは単なる警告から比例行動をとることに移行できます。 これは、特定の形式のトラフィックをブロックしたり、デバイスの通常の動作を強制したり、深刻な場合には、OT/ICS層の機器を含むシステムを完全に隔離したりすることを意味する場合があります。
Darktraceの幹部は、この一定のユビキタストラフィック分析のより詳細なモデルへの移行と、既知の通常の動作に対するリアルタイムの評価を組み合わせることで、ICSサイバー攻撃の増加傾向を阻止できることを期待しています。 また、企業がより機敏になり、リモートアクセスとクラウドベースのICSイニシアチブをサポートできるようになることを願っています。 将来的には、ライトをオンに保つために誰かがライトを消す危険を冒す必要はありません。
ダークトレースが後援
