※この記事は、Nozomi Networksのブログを抄訳したものです。
by Danielle Jablanski, December 19, 2023
2023年の業界全体としてトレンドと分析を振り返り、2024年のOTセキュリティのトレンドを予測します。例えば、AI対応のSBOMはどうでしょうか? OTの継続的なネットワーク監視はどうでしょうか? 産業用サイバーセキュリティは、つまるところ運用上のリスク、ネットワークに接続されたOT制御プロセスや機能の喪失を引き起こす可能性のある状況は?つまりこうしたOT/ICS運用上の自動化、またはリモートでモニタリングや制御プロセスを軽減する流れが見えてきます。
昨年のOTセキュリティの主要テーマは、
“OTサイバーセキュリティの信頼性と検証は相互関係にあり、排斥しない”
とHoneywellとRockwell Automation(Rockwellは最近SCADAfenceを買収)は、強調しています。それ以降、ガバナンスの重要性が新たな先例として、情報の共有とセキュリティプログラムの役割を明確にして革新的な分析がOTサイバーセキュリティソリューション対策を際立たせています。
制御プロセスや生産に大きな影響を与える可能性のあるランサムウェア対策に関して、産業用制御システムインフラは多様で全く同一の攻撃パスが存在するわけではありません。2023年のSANS ICS/OT調査では、OT/制御システムインシデントの攻撃ベクトルの上位は依然として次のとおりであると指摘しています。
- ITにおけるセキュリティ侵害
- エンジニアリング専用端末の侵害
- 外部からのリモートサービスによる不正アクセス
- 公開アプリケーションの脆弱性をついた悪用
- 添付ファイル付きスピアフィッシングによるドライブバイ攻撃
※スピアフィッシング: 特定の組織ユーザを狙って偽のEメールを送信し、個人情報を収集する標的型フィッシング攻撃。
※ドライブバイ攻撃: 改ざんしたWebサイトを閲覧させ、OSやアプリケーションの脆弱性を突き、不正なスクリプトを実行することで、初期侵入の足掛かりとなるマルウェアに感染させるテクニック。
環境寄生型(live off the land)は、基本的に産業制御システム(ICS)をターゲットに攻撃します。これは、攻撃者がすでにICS上で稼働している制御用ソフトウェア、制御プロトコル、信頼されているネットワークアクセス、制御システムライブラリなどを悪用します。環境寄生型攻撃は、攻撃者にとって展開コストがはるかに安く、成功率が高く、検出がより困難であり、しかも直ちに直接的な影響を与えます。もちろん、環境寄生型攻撃を実現するためには、攻撃者はターゲットのシステム環境を把握する必要があります。
この現実を踏まえ、このブログでは産業用サイバーセキュリティに関する 3つの新しいトレンドを解説し、今後1年間の予測を探求します。
トレンド1:
可視性(Visibility)は最も重要なスポットライト
可視性と継続的な監視は、引き続きOTセキュリティへの投資が必要です。
ネットワークと資産の可視性は、ネットワーク上のノードを識別するだけではなく、資産の詳細とコンフィグをドキュメント化し、重要な資産を区別し、運用リスクに基づいてリスクの優先順位を付けることが重要です。資産を特定して分類するだけでなく、産業制御プロトコルとそのユースケースを理解することはきわめて重要です。
可視性はセキュリティ対策にとって不可欠です。これが出来なければ、悪意があるかどうかにかかわらず、損害の根本原因を調査することが困難になります。
トレンド2:
攻撃対象(Attack surface)マネジメントは全力で対処
ゼロトラスト、多層防御、補完的な制御など境界(perimeter)を越えて、防御者がネットワーク、システムインフラ、制御デバイス全体にわたる敵対的な振舞い(adversarial behavior)をすべて予測します。
これには、防御可能なアーキテクチャの構築とそのアーキテクチャの防御、セキュアなネットワークのセグメント化、可視性と監視、および堅牢なインシデント対応計画が必要です。同時に、防御側は2つの前提条件に基づいて運用する必要があります。1つはすでにどこかで侵害が発生しているか、もう1つはある特定の条件下で一部の制御が侵されているということです。
トレンド3:
Supply chainプロセスの複雑さがリスクを悪化させる
各製品プロセスのライフサイクル (設計から製造、流通、稼働、メンテナンスまで) は、企業のリスク許容度と最終平均復旧時間 (MTTR) に影響を与えます。IT/OTの相互運用性は、サプライチェーンの上流と下流のプロセスのリスクを悪化させます。ベンダー提供のシステムおよびサービスに対するこれらの潜在的なハードウェアおよびソフトウェアの脆弱性は、ダウンタイムをほとんど許容しない多様な制御システムを悪化させます。サプライチェーンの侵害は、システムまたはコンポーネントの遍在的な使用、システムまたはコンポーネントへの重要な相互依存性、またはジャストインタイムプロセスのいずれかにより、壊滅的な影響を与える可能性があります。
予測1: クラウド導入の増加
クラウド導入は10年前からその兆しがありましたが、ようやく本格的なクラウド時代が到来しています。
特定のプロセスをクラウドシステムにシフトする場合のリスク分析では、スケーラビリティ、柔軟なサービス、運用コスト削減と実時間の最適化、ストレージ容量などのメリットが優先されます。クラウドでのセキュリティの再設計が理解されるにつれて、データガバナンス、業界規制上の制限、サードパーティの認証、および共有サービスのハードルが低くなりつつあります。潜在的に新たなアクセスおよび攻撃ベクトルを伴うクラウドの導入は、ネットワークトラフィックを定期的に分析して無害なネットワークイベントと重大なセキュリティインシデントを特定および分類するセキュリティ製品の振舞い分析による大きなメリットがもたらされます。
予測2: OT人材育成とスキルの向上
政府の法規制への準拠、市場トレンド、ロードマップが複雑に絡み合う中で、AIは未来を再現すると期待されています。
OTに特化したセキュリティ対策は増加していますが、多くの場合、プロトコルやOTの業界知識や認定、プログラミング言語だけでなく、セキュリティクリアランス、コミュニケーションスキルまで、長年の経験が必要です。この人材対象には、上級レベルの管理者、技術システム エンジニア、アナリスト、およびペンテスターやスペシャリストなどの役割が含まれます。
2024年は資産オーナやSOCサービス向けに、この分野でのスキル向上の教育プログラムが政府/業界で実施が期待されています。
※セキュリティクリアランス: 安全保障などに関わる機密情報にアクセスできる資格者を政府が認定する制度。
予測3: 攻撃者による攻撃エミュレーション環境の増加
OTおよびICSの攻撃エミュレーションは、従来、セキュリティ専門家やベンダーによるテスト的なものでした。
ICSネットワークインフラを構築している一部の資産オーナや企業ではサンドボックス機能を備えていますが、ペネトレーションテストとパープルチームは産業環境にとってはまだ新しい概念です。MITREのGitHubプラットフォームのCalderaのようなツールは、実践者が自律的な攻撃エミュレーションと脅威検出のテストと評価を通じてセキュリティ評価を自動化できるようにするもので、OT向けの攻撃エミュレーションの拡大における重要なマイルストーンです。エミュレーションをインシデント対応計画や机上演習と組み合わせることで、リスク許容度やリスク軽減を行うことができます。
※パープルチーム: レッドチームとブルーチーム双方の要素を持ったグループ。すなわち、企業の情報システムを攻撃する役割と、防護する役割の双方を兼ね備え、より効果的にサイバーセキュリティレベルの向上を図ることを目的として作られるグループといえる。
結論: すべてを網羅するメトリクス
OTインフラ環境は2つと同じものはありません。したがって、2023年11月のGartnerのOTセキュリティ市場ガイドでは、“OT環境のセキュリティは、常に変貌する脅威、セキュリティプラクティス、Start upベンダーの動向と云った新しいカテゴリ市場となりました”と記述されています。メトリクスは何がうまく機能し、何が機能しないかを知るための最良の指標であるにもかかわらず、セキュリティ分野では、それぞれのカテゴリごとに異なるメトリクスの可能性があります。
※メトリクス: 定期的にシステムのヘルス情報やパフォーマンス情報を取得し、測定値をグループ化したもの。
変貌する脅威に関しては、その理解力、情報共有、脆弱性の公開のメトリクスが最も重要です。CISAアドバイザリー、業界団体とグローバルパートナーシップ、MITRE ATT&CKフレームワーク、ICSアドバイザリープロジェクト、脆弱性スキャンとマッピング機能そしてセキュリティ研究チームのすべてがメトリクスと学習し適用した教訓を果たすべき役割を担っています。
セキュリティプラクティスに関しては、CISAサイバーパフォーマンスゴール(CPG)がNISTサイバーセキュリティフレームワーク(CSF)にマッピングされ、企業がサイバーセキュリティの成果に基づいて業界標準とコントロールを選択できるようになります。
上記で参照したSANS ICS/OT調査では、ベンダーのICS環境の資産の70 ~ 80%が独自のOSで稼働しており、ICS資産の20 ~ 30%が従来のOSを実行しているというOT環境に違いがあることが明らかになりました。それは、ICS脅威の検出、フォレンジックデータソース、および対応技術に関係します。いずれにせよ、資産レベルのICS 脅威検出、フォレンジックデータソース、およびこれら対応技術は、産業用サイバーセキュリティベンダー間で取得、分析、比較するためのメトリクスを提供します。
サプライチェーンプロセスの複雑さ、可視性の必要性、そして防御の優先順位の変化によって投資を埋め合わせるクラウド対応技術とクラウドサービスの拡大、そして、セキュリティプログラムを成熟させるためのマンパワー、OTおよびICSネットワークにおける攻撃者の戦術、技術、および手順 (TTP) をさらに理解するための攻撃エミュレーションの優先順位付けが予測されます。
ABOUT THE AUTHOR
Danielle Jablanski
Danielle Jablanskiは、Nozomi NetworksのOTサイバーセキュリティストラテジストであり、世界的なサイバーセキュリティのトピックを調査し、業界全体でOTおよびICSのサイバーセキュリティ意識を促進する責任を担っています。
2022年には、Scowcroft戦略安全保障センターのCyber Statecraft Initiativeの非常勤フェローとしてAtlantic Councilにも参加し、OTと労働力開発の問題にフォーカスしました。Danielleは、非営利団体Building Cyber Securityのスタッフおよび諮問委員を務めており、公共および民間部門における物理的なセキュリティ、安全性、プライバシーを向上させるためのサイバー物理標準の開発、教育、認定を主導しています。
Danielleは、国際オートメーション協会(ISA)の北テキサス支部の会長も務めており、毎月の会員会議、トレーニング、コミュニティとの関わりを企画しています。
※Scowcroft戦略安全保障センターは、米国とその同盟国およびパートナーが直面している最も重要な安全保障上の課題に対処するための、持続可能な超党派の戦略の開発に取り組んでいます。
※Cyber Statecraft Initiative in the Scowcroft Centerは、地政学とサイバーセキュリティを結び付けて、国家政策の遂行を支援し、ユーザに情報を提供し、ユーザを保護するための戦略を策定します。
原文:https://www.nozominetworks.com/blog/metrics-mandates-and-management-trends-predictions-for-ot-security-in-2024
