ICSサイバーセキュリティインシデント対応を計画する方法

重要なシステムを運用している組織は、意図しない内部関係者や悪意のある攻撃者が原因であるかどうかにかかわらず、産業用制御システム（ICS）のサイバーインシデントに対応するための計画と準備を行う必要があります。

適切なICSサイバーインシデントレスポンス（IR）計画により、システムのダウンタイム、データ損失、保険料の上昇、企業イメージの低下、従業員と公共の安全の低下による経済的損失が最小限に抑えられます。ほとんどの組織はすでに情報技術（IT）IR計画（IRP）を導入しているため、このペーパーはICS（監視制御およびデータ取得システム、ビル管理システムなど）にのみ適用されます。 パーソンズのシニアITマネージャーであるRobertTalbotは、IRステージの概要を示しています。 情報セキュリティオフィスと、パーソンズクリティカルインフラストラクチャオペレーションのプリンシパルプロジェクトマネージャーであるジャックD.オーデン。

正当化

今日のICSは通常、WindowsまたはLINUXベースのヒューマンマシンインターフェイスによって管理され、インターネットプロトコルを介して通信し、エンタープライズローカルエリアネットワークおよびインターネットに接続します。新しいアーキテクチャは、コスト削減、専有機器ベンダーへの依存度の低下、経理部門や上級管理職へのデータ転送の容易化/高速化など、大きなメリットをもたらします。

残念ながら、インターネットベースのサイバー攻撃によるリスクが増大するというメリットがあります。攻撃が発生するかどうかではなく、いつ発生するかが問題になります。すべてのサイバー攻撃を防ぐことができる企業や組織はありませんが、ほとんどのICS組織は準備が整っていません。

インシデント前の準備

ICS用のIRPおよびIRチーム（IRT）を作成することは賢明ですが、サイバーインシデントの防止は時間とお金を大幅に節約します。オフィスは1日以上電子メールなしで効果的に機能しますが、ICSはダウンタイムを許容できません。 ICSアクセスを制御すると、攻撃者がマルウェアを挿入するために利用できる経路が減少します。ほとんどのICS攻撃は企業を介して侵入するため、そのアクセスを最初に保護する必要があります。さらに、ICSプロトコルを認識する侵入検知システムが最近市場に登場し、攻撃者がどのようにしてシステムにアクセスしたかを特定できるようになりました。

いくつかの基本的な手順は、インシデントの影響を減らし、ICSをより迅速にオンラインに戻すのに役立ちます。バックアップテープを定期的にテストすることで、機能的なバックアップICS構成が利用可能であることを確認します。プロプライエタリシステムはサイバー攻撃を受けやすく、システムの知識を持つ個人に対して脆弱であるため、プロプライエタリプロトコルが可能な侵入検知システムを使用することが不可欠です。

インシデント対応の準備

サイバーインシデント対応チームを編成する

サイバーIRTの組み立ては、効果的なIR機能を開発するための2つの重要なステップの最初のステップです。チームは、ICSエンジニアと管理者、ネットワークとシステムの管理者、施設のオペレーター、およびIT、サイバーセキュリティ、人材、通信、法務の代表者で構成される必要があります。 IRTは、さまざまな法執行機関、業界規制当局、およびベンダーと調整する必要があります。

IRTの構成では、内部スタッフと、IR、フォレンジック、証拠の収集と保存、攻撃とエクスプロイト、またはその他のさまざまなサイバーセキュリティ分野で経験を積んだ外部の専門家とのバランスを取る必要があります。 ICSスタッフはシステムの知識を持っていますが、外部の専門家はより速く、より徹底的になる可能性があります。

インシデント対応計画を作成する

効果的なIRPはIRTと同じくらい重要です。 ICSがダウンすると、応答者は組織の圧力にもかかわらず、感染の原因と程度を見つけるための時間を必要とします。

IRT全体で計画を確認して最終決定したら、いくつかの重要なタスクを実行する必要があります。

• 初期および定期的なテスト
• 法執行機関との関係
• 外部エンティティとの連絡先リスト
• 代替通信パス
• IRT組織図と連絡先情報
• システムパスワードの安全なストレージ

インシデント対応計画

範囲と目的

IRPは、疑わしいまたは検証されたICSサイバーセキュリティインシデントに適用されます。 ICS運用の中断を最小限に抑えるために、ICSサイバーセキュリティインシデントを検出、分類、および対応するための一般的なガイドラインの概要を説明します。

インシデント処理手順

実証済みの手順に従うことで、生産の再開を迅速化し、ミスを犯す可能性を減らすことができます。いくつかのインターネットサイトでは、IRTが企業固有の手順を開発するために使用できる優れたベストプラクティスの概要を説明しています。

インシデントの識別

最初の24時間の違反を見つけ、封じ込め、根絶することが重要です。 ICS管理者は、IR担当者と迅速かつ慎重に連携して、状況をサイバーインシデントまたは単なるシステムの誤動作として正確に特定する必要があります。

通知

インシデントが確認されたら、IRTリーダー、最高情報セキュリティ責任者、経営幹部、および法務部門に通知する必要があります。必要に応じて、法執行機関に連絡する必要があります。

封じ込め

感染したシステム、および使用されたエントリポイントを特定することが重要です。適切なネットワークセグメンテーションと安全な外部接続により、ファイアウォールやその他のログは、マルウェアがいつネットワークに侵入したかを判断するのに役立ちます。サイバー犯罪の場合、証拠を保存し、CoCを維持します。侵害された証拠は、法廷では許容されません。また、目撃者を特定します。

根絶

マルウェアが封じ込められたら、感染した各システムとWindowsレジストリからマルウェアを駆除する必要があります。痕跡が残っている場合は、ネットワークに再接続したときにシステムが再感染します。

システムの復元

システムを再起動する前に、破損していないバックアップデータを使用して破損したデータを復元します。マルウェアがシステムに侵入した時期がわからない場合は、元のバックアップからオペレーティングシステムとアプリケーションをリロードしてください。

学んだ教訓

IRTは、成功と改善の機会を文書化し、IRPを標準化するために学んだ教訓を形式化する必要があります。

課題

IRを成功させるには、インシデントの計画と資金調達が必要であり、それは会社の全体的なリスクプログラムの一部である必要があります。 ITとICSの両方のサイバーセキュリティ資金を提供する単一のエンティティはないため、ある程度の外交と宿題が必要です。通常、1人の上級管理者はIRTの重要性を理解しています。チームのチャンピオンとして採用された場合、そのマネージャーは他の上級管理職にチームメンバーを提供するよう説得することができます。

評価だけではシステムを保護できません。コントロールの確立は、資格のある外部組織にITおよびICSの脆弱性評価を実施させることによって最もよく達成されます。

ITの世界は、サイバーインシデントが経済的損失を引き起こすことを20年以上前に認識していましたが、StuxnetやTarget™POS攻撃などのインシデントにもかかわらず、ICSの世界はサイバーセキュリティのメリットを認識するのに時間がかかりました。

結論と推奨事項

広く知られている攻撃により、効果的なIRPと十分に訓練されたIRTを通じて、ICSを保護し、IR機能を所有する必要性に対する認識が高まりました。サイバーインシデントの防止と回復を進めるには、文化の転換が必要です。変化は来ていますが、ゆっくりです。企業はICS向けのサイバーIRの開発を加速する必要があります。

このブログの作成者は、Parsons Information SecurityOfficeのシニアITマネージャーであるRobertTalbotと、Parsons Critical InfrastructureOperationsのプリンシパルプロジェクトマネージャーであるJackD.Odenです。

これが完全なアンソロジーへのリンクです