Tenable ブログ
ブログ通知を受信する
製造業の攻撃ベクトル : インシデントが発生する前に OT の脅威を封じ込める方法 (日本語)
最造業を標的にしたサイバー攻撃にはますます高度な手口が使われていますが、セキュリティ責任者は攻撃ベクトルを逆手にとって OT インフラの弱点を洗い出し、攻撃が実行される前に阻止することができます。
OT、すなわち運用技術は何十年も前からバルブ、ポンプ、トランスミッターやスイッチといった機器を制御して現代の産業インフラの運用を支えてきました。このような重要な機能を守ることは、かつては物理的な安全保障の分野でしたが、新しいコネクテッドデバイスがプラントや工場に浸透した今、OT インフラはますますサイバー脅威にさらされやすくなり、攻撃の頻度も高くなるばかりです。
OT と IT の相互接続性が現代の産業環境の一部となっていることは、OT 資産を厳重に保護している企業ですら LockerGoga や Ripple20 など、最近各方面で報道されているサイバー攻撃の被害を受けていることからも読み取れます。マルウェアは、IT デバイスから OT ネットワークへと簡単に移動し、また OT から IT へも移動します。USB フラッシュデバイスのような何の変哲もないものが操業に欠かせないコントロールシステム (ICS) への経路として悪用されることもあります。
コンバージェンスの重要性が著しく増大している ICSでは、その対応を中核に据えた効果的な産業セキュリティ戦略が必要です。その策定には、まず、現代のOT環境のすべてを詳細わたってマッピングし、悪用される危険のある攻撃ベクトルを徹底的に特定することが求められます。
OT 圏外の可視性を得て、産業アタックサーフェスの全貌を掴む
アタックサーフェスの完全なマップを作るには適応型の評価が必要になります。OT 資産ばかりでなく、現代の産業環境のおよそ 20-50% を占めている IT や IoT デバイスの可視化も必要です。また、OT 資産のおよそ 30% の休眠資産 (ネットワーク上で見えない、またはパッシブクエリでは検知できない資産) を発見できるアクティブクエリが可能なテクノロジーも必要です。融合されたアタックサーフェス全体の可視化を実現しなければ、盲点を取り除くことはできません。
個々のデバイスの状況データを掘り下げて、送受信経路を突き止める
「攻撃されるリスクのある」デバイスを発見することが偵察の目的です。資産インベントリを完全に防御するには、個別のデバイスのビルドの詳細と現在の「健康」状態を深く理解した上で攻撃に備えて強化することが必要です。デバイスの詳細にはメーカー、モデル、ファームウェア、バックプレーンの詳細、未対応の脆弱性など多くの要素が含まれます。
さらに、個々のデバイスのネットワーク内での配向性を理解することも重要です。コントローラーとワークステーションなど、類似した資産との送受信経路は、一旦悪意のあるアクターがシステムに侵入すれば、 攻撃のベクトルとして悪用される可能性があります。
サイバー上の流動資産に必要な処置を講じて攻撃が実行される前に抑止する
従来の典型的な OT セキュリティ姿勢は事後対応型であり、基本的に攻撃が起きるまでは何もしないというものでした。それに反して「攻撃ベクトルの特定」、言い換えれば攻撃に使われる可能性のある経路を前もって調査することは、OT インフラ内の弱点に対処してもっと先行的に組織の安全を確保する手法です。リスク度の高い経路、開いたままのポート、パッチ未適用の脆弱性、その他多くの要素を特定すれば、実際に攻撃されたときにどのように侵害が波及するかが推測できます。
攻撃のベクトルが特定できると、OT 攻撃に対する未然防止能力が根本的に改善されます。シミュレーションによって弱点を発見し、特別の対応やセキュリティ面での改善が必要なデバイスや領域が特定できます。次の図を見ると、この Tenable.ot の産業グレードのセキュリティソリューションは、攻撃のベクトルを使って、最重要資産をリスクにさらす、環境内の露呈領域を的確に突き止めていることがわかります。
また、デバイスの強化だけでなく、万が一、攻撃が起きた場合の最低防御手段 - ポリシー、異常検出または攻撃に使われるシグネチャなどを使って警報を設定し、ネットワーク内のすべてのエントリーポイントで実際に被害が起きる前にハイリスクの挙動を検知して警告を発報すること - も必要です。
今日から先手攻撃を開始して明日のダメージを防ぐ
サイバー攻撃が重要インフラを標的にする傾向が続く中、セキュリティ責任者は、先行的なアプローチを採用して、次々と仕掛けられる新型の脅威から製造環境を守る必要があります。 OT の攻撃ベクトルの特定を産業セキュリティ戦略と組み合わせる方法について、ホワイトペーパー「OT 攻撃を予測する」をダウンロードしてご一読ください。また、Tenable.ot は無料デモも提供しています。リクエストはこちらから。
関連記事
How To Assess the Cybersecurity Preparedness of IT Service Providers and MSPs
December 13, 2022Improperly evaluating the cybersecurity capabilities of prospective IT service providers and managed service providers (MSPs) can put your organization's data and systems at risk. A new guide from CompTIA can help you ask the right questions.
Cybersecurity Snapshot: 6 Things That Matter Right Now
October 14, 2022Topics that are top of mind for the week ending Oct. 14 | DevOps team culture is key for supply chain security | SecOps gets more challenging as attack surface expands | Weak credentials hurt cloud security | Incident responders grapple with stress | Security spending grows | And much more!
A Holiday Story, Internet Edition: The Impact Of Assessing And Addressing Log4j Installations Proactively
December 30, 2021A look at our log4j data.
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Incident Response
- OT Security
- SCADA