誰かが怪我をする前に、モノのインターネットを保護する必要があります
ACGResearchのRobertHaim
元米国副大統領のディック・チェイニーは、テロリストが心臓発作を引き起こすのではないかと恐れていたため、心臓ペースメーカーへのワイヤレスアクセスを無効にしたことで有名です。 2007年の映画「LiveFreeor Die Hard」では、犯罪者がワシントンD.C.の信号機をすべて緑色に変えることで、交通を遮断し、事故を引き起こしました。
現在私たちがモノのインターネット(IoT)と呼んでいるものに対するこれらの現実の架空の攻撃は、人命の損失を引き起こす可能性がありました。今日世界中で使用されているすべてのIoTセンサーとコントロールを考えると、セキュリティが弱いために悪意のある人物がコントロールを奪ったり、危険な行動をとったり、人間のオペレーターをだまして間違った行動をとらせたりするのは時間の問題です。
時間の問題です。誰かが怪我をする前に、モノのインターネットを保護する必要があります。しかし、どうやって?
その分野には多くの課題があります。たとえば、ID管理。どのユーザー、デバイス、またはアプリケーションがデータにアクセスしようとしているのかを正確に把握していますか?合理的な疑いの中で身元を証明する方法を教えてください。ただし、テロリストではなく、適切なユーザーを信頼しているという自信を高め続けてください。つまり、リアルタイムでの行動の監視を意味します。
法律や業界によって規制されている可能性のある重要な情報、または企業や泥棒にとって非常に価値のある情報の保護に挑戦してください。そのデータは、すぐに(医療機器のように)または後で(水力発電ダムのセキュリティシステムの青写真のように)生活に影響を与える可能性があります。データとそれらのデバイスが改ざんや不正アクセスから十分に保護されていることをどのように確認できますか?
または、モバイルデバイスまたは固定回線デバイスをデータセンターまたはクラウドにリンクするネットワーク接続自体。接続は安全ですか?ハッカーはエンドポイントを破壊することでアクセスを取得できますか?そして、それらの接続は堅牢で、スケーラブルで、侵入できないことがテストされていますか?方法を調べましょう。
攻撃を仕掛ける。攻撃を停止します
ACG Research の主任アナリストであるRobertHaim氏は、IoTセクターを含む「安全な」ネットワークを実現する上での課題は、「セキュリティ」が否定的な目標であるということです。 、ネットワーキングおよび電気通信業界に焦点を当てています。
「敵が何をしていても、何かを達成しようとしていて、敵の能力が何であるかがわかりません」と彼は説明します。多くのIoTエンドポイントデバイスには、高度なセキュリティソフトウェアを含めるのに十分なメモリがないためです。 「では、私たちは何をするつもりですか?」
解決しなければならない問題は実際には2つあります。「デバイス自体のセキュリティについて心配する必要があります。次に、ハッキングされた場合に何をする必要があるかについても考える必要があります。」 55%の企業が、脅威がどこから来ているのか、ネットワークのどこに問題があるのかさえ知らないのは助けになりません。
アイデンティティだけでなく、行動を見てください
脅威分析のグループリーダー、Mark McGovern、 CA テクノロジー は、システムへのアクセスが許可されたら、人々が何をしているかを監視する必要性が非常に高いと述べています。彼らが何をするかは、彼らが誰であるかよりも重要です。 「金融機関や大規模なケーブル会社の1億人のユーザーをリアルタイムで承認する既存のシステムであるかどうかにかかわらず、私たちの考え方は、あなたが誰であるか、またはあなたが持っている資格情報ではありません。 」
彼は次のように説明しています。「路上で誰かに会うと、彼らはXである、またはYであると言うかもしれませんが、現実には、彼らが時間をかけて何をしているのかを観察しますか?それはあなたが人々に与える信頼のレベルです。」
CAは、システムの使用を許可されたエンティティの実際の動作を調査および分析し、それらのエンティティの過去の動作と矛盾するものにフラグを立てます。
「それがIPアドレス、エンドポイント、ログイン、または主張されたIDであるかどうかにかかわらず、彼ら自身の行動、そして次に人口の行動の両方に対して際立っているものは何ですか」とMcGovernは言います。 「このデータは、システムが実行している学習とそれらのシステムに組み込んだ機械学習を強化し、お客様に価値を提供します。」
脅威モデリングから始める
「IoTドアロックなど、あらゆるデバイスを利用できます」と、 Zimperium のチーフプロダクトオフィサーであるジョンミケルセンは述べています。 、AIベースのモバイル脅威防御ソフトウェアを作成します。 「デバイスレベル、ネットワークレベル、またはアプリケーションコンテンツレベルで、このデバイスが悪用される可能性のある方法を特定する必要があります。」そして、市場に出る前にそれらをブロックする必要があります。
それは本当の問題だとミシェルセンは言います。 「2017年のブラックハットでは、15個の自動ドアノブのうち13個がわずか数時間の作業で開くことができることを誰かが証明しました。 IoTコンシューマーITデバイスの少なくとも70%はハッキング可能です。」
そのため、脅威モデリングが必要です。「まず、脅威モデリングを行います。次に、防止しようとしている方法を特定します。それを検出して、それを中心にソリューションを構築します。」
誰もが外を見る必要があります
すべての企業には、ソフトウェア、インフラストラクチャ、製品、およびサービスをテストするための内部セキュリティリソースがありますが、それだけでは不十分です、と Ziften の上級副社長であるRoarkPollock氏は述べています。 、エンドポイントセキュリティソリューションを提供します。
「外を見る必要があります。あなたのパートナーを見て、あなたの製品をテストする彼らにオープンになってください。認定プロセス全体を実行する必要がある場合があります。これらのパートナー認定を取得してください。今日、セキュリティのための監査会社があります。それらを雇う。」
自分を信用しないでください、と彼は主張します。外部の専門家にエンジニアを再確認してもらい、コードを再確認してもらいます。
「次に、コミュニティとオープンソースプロジェクトに目を向けて、そのコードをダブルチェック、再チェック、プッシュしている人々のコミュニティが存在することを再度確認します。」
ポロックは、セキュリティに関してすべて自分たちでできると考えている企業には感心していません。 「外部の助けを得ることが重要だと思います。」
人工知能を使用して身元を監視する
ニュースターシニアバイスプレジデント、ハンクスコーニー 、アイデンティティ管理会社は、IoTデバイスまたはそのデータにアクセスしているユーザー(またはデバイスまたはアプリケーション)のアイデンティティを決定することから始まると言います。しかし、それだけではありません。 「アイデンティティを確立する必要があります。また、アイデンティティは単なる確率であり、真に決定的なものではないため、常にそれを疑わせる必要があります。」
その確率に対する自信をどのように向上させますか? 「機械学習と人工知能を採用します」と彼は言います。その間、構築しているシステムを常に監視しています。
「単に誰かを特定したり、デバイスを特定したりするだけではありません。あなたはそれを取り締まるつもりです。ナノ秒スケールの世界を監視できる唯一の方法は、計算論的機械学習と人工知能を使用して、悪意のある行動のパターンを絶えず探し、人間がかつてないほど速くそれを阻止することです。
複数のドメイン間で信頼を証明する
一部のデータは法律で保護されています。米国の1996年の医療保険の相互運用性と説明責任に関する法律(HIPAA)の対象となる、軍の秘密や健康に関する個人を特定できる情報について考えてみてください。ただし、特定の規制の対象外であっても、非常に機密性の高い情報が他にもあります。プロのアスリートのパフォーマンスに関するデータを検討してください。これはHIPPAの健康情報ではありませんが、10億ドル規模のスポーツチームにとって重要なインテリジェンスです。
ゼブラスポーツ は、アメリカンフットボール選手の練習時間と試合日のテレメトリを収集するビジネスであり、同社の副社長であるジョンポラードは説明します。同社は、NFL(National Football League)でゴールを決めるために一生懸命努力しなければなりませんでした。
「NFLがさまざまなテクノロジーを評価する際に通過した基準の1つは、確かにセキュリティでした」と彼は言います。 「私たちは多くの情報を収集し、その情報をソフトウェアとサービスに転送して、主要な業種のクライアントがその情報を評価できるようにする必要があります。 NFLは確かにそれも体現しています。プロスポーツでこれまでに取得されたことのない情報を取得しているため、加速、減速、方向転換、近接性について、総計で話し合っています。」
Zebraのスコアポイントの支援:小売、輸送、ロジスティクス、製造、ヘルスケアにおけるIoTでの豊富な経験。
「これらの業界と協力してきた私たちの遺産は、確かに、その種の情報を収集する上でNFLのパートナーとなるための有効な事例を構築するのに役立ちました」とポラード氏は言います。
ここでのセキュリティの教訓は、ポラードは、スポーツだからといって、それが不可欠であるとは限らないということです。 NFLと同じ原則が、たとえば軍事用または商用のIoTにも適用されます。サッカー選手のテレメトリは、警備員やミサイルのテレメトリと何ら変わりはありません。最初のパラメータは、それを安全にすることです。
信頼ゾーンを作成し、それらを適用します
すべてのユーザーが平等に作成されるわけではなく、すべてのユーザーがIoTデバイスから同じ情報を必要とするわけでもありません。病院のITスタッフは、透析ポンプからのデータが正しいアプリケーションによってキャプチャされ、正しい患者の記録に保存されていることを確認する必要があります…しかし、データを確認する必要はありません。実際、HIPAAはアクセスを禁止している場合があります。同様に、ITスタッフは、建物の安全な部分への出入り口が適切に機能していることを確認する必要がありますが、やはり、自分でドアを開ける権限がない場合があります。
「そのドアロックを操作する人の数、役割、責任を見ると、トラストゾーンが構築され続けています」とラントロニクスの最高技術責任者であるSanjeevDatla氏は述べています。 、産業用IoTテクノロジーを構築します。 「ドア管理者のアクセスのさまざまなレベルは何ですか?透析装置を操作する看護師にとっては?」
また、マシンにアクセスしたりサービスを提供したりするフィールドサービス技術者はどうでしょうか。 「何を許可し、何を許可しないかについての役割と責任を知ってください」と彼は言います。
ダトラはそれは単純ではないと主張します。 「イーサネットポートを備えた輸液ポンプがあります。そのポートの周りの信頼の輪、またはアクセス制御は何ですか?そして、それはどのようにテストされますか?」 CAのMarkMcGovernが上で述べたように、これは単純なアクセス制御リストよりも洗練されている必要があります。
「私たちは行動分析を探しています」とDatlaは言います。それで、彼らがそれをするとき、あなたはそれについて何をしますか?どのようにしてアラートを発し、より高いレベルから承認またはブロックを取得しますか?」
忘れないで:すべてがつながっている
「IoTデバイスはますますスマートになっています」とZiftenのPollock氏は言います。 「私たちは、もはやエアギャップのあるコントロールユニット用のダムマイクロコントローラーについて話しているのではありません。ネットワーク内のスマートセンサーについて話しています。スマートゲートウェイについて話しています。」
さらに、「多くのIoTデバイスはすべての実用的な目的で完全に機能するPCですが、エンタープライズネットワーク上の通常のPCとは異なります。」
「これらすべてのデバイスを接続する場合は、そのデバイスの状態とそのデバイスの衛生状態の両方を監視できる必要があります。環境に合わせて強化する必要があります。」
以前のコメントを反映して、Pollockは、企業はアクセス制御だけでなく、IoTデバイスの動作を監視する必要があると主張しています。 「行動の観点から外れ値を探し、そのデバイスで何が起こっているのか、そしてそれが何をしているのかを特定し始めます。何が起こっているかについて、曲線のロングテールを持つこれらの外れ値に焦点を合わせます。異常なことをしているデバイスを特定し、それらを調べて潜在的な問題として調査します。」
結局のところ、IoTデバイスとIoTアプリケーションは攻撃に対して脆弱であるため、生活はなります 危機に瀕している。
著者はRobertHaim、主任アナリスト– Business Analysis&IoT、ACG Research
モノのインターネットテクノロジー