産業用IoTの保護：次世代アプローチの採用–パート2

前回の記事で発見したように、サイバー脅威は、生産ラインをシャットダウンしたり、機器に甚大な物理的損傷を与えたりすることを目的として、産業用制御システム（ICS）にますます向けられています。

産業用ネットワークへの脅威が高まる中、ITとOTの管理とセキュリティ保護を担当する従業員は、潜在的な脆弱性を特定し、セキュリティギャップを埋める必要がある場所に優先順位を付けるために緊密に協力する必要があります。そうすることで、ITチームとOTチームは、OT環境、ビジネスネットワーク、およびより広範な産業エコシステム自体の間の相互関係に必要な深い理解を得ることができます。これには、サプライヤー、ベンダー、パートナーも含まれる可能性があります。

これまで、ITとOTのセキュリティ問題がそれぞれのサイロでどのように対処されてきたかを考えると、これは簡単な作業ではありません。さらに、OTsolutionsのセキュリティに対処するという課題は、簡単に克服することはできません。

エアギャップシステムは実行可能なソリューションではありません

産業用制御システムの保護に関しては、多くの組織が、サイバー攻撃に対するレガシーOTシステムのセキュリティを強化するために、エアギャップまたは分離によるセキュリティと呼ばれるアプローチを採用しています。ただし、一時的なセキュリティ対策としては効果的ですが、エアギャップは長期的には理想的なソリューションではありません。そして、それを単独で利用するべきではありません。たとえば、感染したUSBスティックを介してターゲット環境を突破するように設計されたStuxnetワーム攻撃を取り上げます。これは、エアギャップを通過します。このような悪意のあるコンピュータワームが存在するため、エアギャップだけでは十分なセキュリティではありません。

エアギャップシステムは、これらのシステムが生成するリアルタイムデータを活用してコストを削減し、ダウンタイムを削減し、効率を向上させる組織の能力を大幅に制限するという事実を除けば、今日の多くの最新アーキテクチャでは、レガシーOTをインターネットに接続できるようになっています。最新の操作コマンドと制御。実際、産業用サイトの40％は、パブリックインターネットに少なくとも1つ直接接続しています。これにより、攻撃者やマルウェアにさらされる可能性がある場合、これらのOTネットワークが直接攻撃を受けます。

複雑さを理解する

残念ながら、ITの世界向けに設計されたセキュリティソリューションの多くは、今日の接続されたOT環境の複雑さを処理するためにカスタムビルドされていませんでした。これは、OTシステム内で使用されるIIoTデバイスが、企業のITネットワーク用に設計されたセキュリティ監視および管理ツールと統合するように考案されていないためです。

これが組織に与える影響は深刻です。OTネットワークのイベントや資産を可視化することはできません。また、すべての潜在的なリスク、脆弱性、潜在的な侵入ポイントを企業全体で把握することなく、これらの企業の迅速な脅威の検出と対応の機能が著しく損なわれます。

これは、複数の業界の制御システムを標的とする脅威アクターの増加からIIoT環境を保護することを任務とするセキュリティチームにとっては良いニュースではありません。

UEBAを使用したデバイスリスクへの対処

幸いなことに、OTデバイスを効率的かつ効果的に監視することは不可能な作業ではありません。通常、人間の操作なしで動作するように設計されたこれらのデバイスは、特定の方法で「動作」します。たとえば、特定のポートを使用して、特定のIPアドレスとデバイスを使用して予想される時間に通信します。これらのアクションは、「動作」およびユーザーエンティティ動作分析（UEBA）として再解釈して、セキュリティ情報およびイベント管理（SIEM）と統合できるセキュリティ監視機能を強化し、真に統一された方法で包括的なインフラストラクチャ監視を実行できます。

UEBAを使用すると、従来のSIEMシステムを使用して、単一のOTコントロールポイントによって生成された1秒あたり数百のオーソサスのログを手動でクエリしてピボットするのではなく、侵害の兆候をすばやく簡単に見つけることができます。

分析を使用して、環境全体にわたるすべてのユーザーとエンティティの包括的な通常の動作プロファイルをモデル化することで、UEBAソリューションは、これらの標準ベースラインと矛盾するアクティビティを識別します。パッケージ化された分析をこれらの異常に適用して、脅威や潜在的なインシデントを発見できます。

このようにして、ITデバイスと一緒にIIoTデバイスからの大量の出力を体系的に監視して、潜在的なセキュリティの脅威を見つけることが可能になります。デバイスログインなどの他のアクティビティも監視できます。

セキュリティへの統合アプローチの採用

これまで見てきたように、レガシーと最新のIIoT、OT、IoTソリューションの両方の制限は根強く残っていますが、企業が事業運営の完全性を確保するために講じることができるステップがあります。

ここで重要なのは、「ポイントソリューション」アプローチを回避し、代わりにUEBAと最新のSIEMプラットフォームを組み合わせて、ITおよびOTセキュリティの企業全体のビューを提供する統合ソリューションを選択することです。これにより、非常に重要な集中型監視を開始できるようになります。これにより、横方向の動きなどの検出が困難な手法を含め、脅威の検出を強化できます。

これにより、単一のSOCチームがSIEMを活用して、組織のすべてのソースからデータを取り込み、分析し、OT環境内のすべてのデバイスの完全な可視性を含むすべてのセキュリティに関するリアルタイムのビューを取得できます。

著者は、Exabeamの製品マーケティング担当副社長であるTrevorDaughneyです。