産業用IoTのオペレーショナルテクノロジーは、ITスタイルのパッチ適用に耐えられません。 「脅威分析」は安全で強力なソリューションです

産業用モノのインターネット–（IIoT）について話します。産業用モノのインターネット（IoT）のオペレーショナルテクノロジーは、ITスタイルのパッチ適用に耐えることができません。 「脅威分析」の使用は、安全で強力なソリューションです。企業内およびグローバル全体で、IIoTエコシステムは複雑に絡み合って交渉されたITとOTの合併です。 OTシステムは、ビジネスに不可欠であるだけでなく、国家に不可欠な場合もあれば、生死にかかわる重要な場合もあります。

私が話すすべての産業用モノのインターネット（IIoT）の顧客は、可能な限り強力なセキュリティを望んでいます。モノのインターネットではない– 産業用モノのインターネット（IIoT）

顧客の組織内の誰がこのプロセスを実行して所有しますか？ IIoT機能を構築している顧客と会った後の会議で、IIoTセキュリティに関してITとOT / LOBの専門家の間で自然な、しかし時には緊張した不確実性に遭遇します。

この資本の不確実性は、本質的なセキュリティの展開を遅らせるため、それ自体がセキュリティの脆弱性です。

InformationWeekのDARKReadingによると、ITおよびOT / LOBリーダーに対する最近のForresterの調査によると、ITおよびOTマネージャーはITまたはOTのどちらがセキュリティに責任があるかについて均等に分かれています。このスタンドオフの憂慮すべき結果として、容認できないほど多数の企業（59％）が「IoTセキュリティに関連する中〜高のリスクを許容する」ことをいとわない、とForresterは報告しています。

これは、企業がこの怠慢を継続することを許可することは正しくなく、間違っていると思います。また、業務全体にとって危険です。

エンタープライズITとOTの違いを検討してください：

• 可用性 ：
  ITは99％の稼働時間を許容できると見なしますが、OTは99.999％の稼働時間を必要とします。これは、年間のダウンタイムが8.76時間と5.25分の差です。
  •システム寿命 ：
  ITシステムは、平均して3〜5年ごとに更新されます。対照的に、OTシステムは10年から15年続きます。
  •パッチ適用 ：
  ITのパッチ適用/更新は、更新が利用可能な場合はいつでも実行できますが、OTのパッチ適用/更新は、戦略的で収益を生み出す産業運営を中断するリスクがあります。

クラウドへのさまざまなアプローチなど、他にも多くのIT / OTの違いがあります。

ただし、すべての違いは、利用可能な最も回復力のあるIIoTセキュリティに対する普遍的なニーズに含まれています。

私が好むアプローチは、産業企業が長年にわたって苦労してきたITの教訓を利用して、IIoTセキュリティの高度な状態に飛躍するのを支援することです。 IIoTは、OTの差別化された要件を満たすように専門的に設計および展開されています。 OTシステムはデータセンターのもう1つの形態であり、エンタープライズITの高度に保護されたコアであると考える人もいます。

何十年にもわたるITの経験から適応できる有望なアイデアがいくつかあります。これらのアイデアを使用し、それらに追加して、OTの特定のニーズを尊重しながら、新しいレベルのIIoTセキュリティを提供します。これらの適応の中には、エンドポイントネットワークの分離、マイクロセグメンテーション、およびユーザー行動分析（UBA）があります。これらについては、今後の記事で説明します。

パッチ適用あり 、ITとOTは異なる言語を話します。 「脅威分析」と入力します。

パッチ適用プロセスは、ソフトウェアプログラムを更新、修正、または改善することを目的としていることを理解しています。通常は簡単な修正であり、多くの場合、無計画な修正です。ただし、パッチ適用に関しては、日常のITプラクティスをOTに直接移植できるとは限りません。

パッチ適用に関しては、ITとOTは異なる言語を話します。

IIoT業界–ITとOTが企業の利益のために協力することが不可欠です。これには、堅牢なサイバーセキュリティ技術を開発するために、より深く、より想像力を持って考える必要があります。必然的に、これらの操作は、再帰的なパッチ適用よりも機敏で効果的である必要があります。

パッチはOTに問題を引き起こす可能性があります。 MeltdownおよびSpectreCPUの脆弱性に対するパッチで見られるように、パッチによって状況が悪化する場合があります。 MeltdownとSpectreの初期のパッチは、システム全体のパフォーマンスに影響を与えました。

難しい真実は、現代の産業経済の柔らかい下腹は主に古いOTマシンであるということです。 ITの世界では、何かが感染した場合、最初の本能はそれをすばやくシャットダウンし、パッチを適用する（または置き換える）ことです。しかし、OTでは、多くの場合、その逆が当てはまります。それを稼働させ続けます。

いくつかの重要なOTシステムは、15年から25年以上にわたって工場の床に設置されています。これらの赤ちゃんは簡単に降ろしてパッチを当てることはできません。適切なパッチが利用可能であったとしても— これらのシステムには通常、パッチを受け入れるのに十分なメモリまたはCPU帯域幅がありません。

最後に、ITシステムと比較したOTシステムの相対的な複雑さと脆弱性の問題があります。

ITシステムを停止し、パッチを適用し、再起動して、同じサービスを提供できます。 IT部門は、同一のサーバーを搭載したラックを実行できます。1台がダウンしたり燃え尽きたりした場合、次のサーバーが問題なく引き継ぎます。しかし、OTシステムは、多くの場合、「個性」を備えたソフトウェアとハ​​ードウェアの高度に調整された組み合わせです。

企業がパッチを適用するためにマシンを停止できる場合でも、それらが復旧した場合でも、結果は予測できない可能性があります。パッチが増殖する可能性のあるワイルドカードを導入したため、同じシステムではありません システムの他の要素を介して。

OTでは、予測不可能性は許容されません。

結論： 先ほど概説したすべての理由から、パッチを適用することは不可能であるため、再帰的にパッチを適用したり、セキュリティの脅威を無視したりするよりも、IIoTシステムを保護するためのより良い方法が必要です。

より良い方法：「脅威分析」

OTでのより良いアプローチは、現在よりもはるかに詳細な方法でセキュリティの課題を調査することです。パッチ適用には、古くからの脅威分析アプローチを使用することを提案します。

脅威分析の最初のステップ：

すぐに行動を起こすのを控えてください。つまり、パッチを適用するのではなく、パッチを適用することを控えることを意味します。システムの脆弱性が実際に存在するかどうか、そして存在する場合はどのように悪用できるかを検証するまで、少し待ってください。

考慮すべき要素は複数あります。

企業の奥深くで動作する一部のシステムには、実際に脆弱性がある可能性があります。システムは企業内で非常に分離されているため、実際のセキュリティリスクは少ないです。 パッチを適用するためにシステムをシャットダウンするリスクよりも–パッチが存在することを前提としています。

クラウドまたはインターネットにさらされているシステムを評価する際の計算の変化–セキュリティリスクが明らかにはるかに大きい場所です。

脅威分析：

脅威分析： 次に、パッチなしで動作し続ける可能性のあるシステムと、パッチを適用するために停止する必要のあるシステムをすばやく特定します。

脅威分析： また、脆弱性を検証します。別の質問をすることが重要です。この脆弱性が特定の脅威によって悪用される可能性がある場合、このパッチの不足を阻止する方法はありますか。 ？

たとえば、セキュリティの専門家は、ネットワーク内またはエンドポイントデバイス自体に事前に決定されたスクリプトのセットを作成できます。これは、さまざまな脅威に対する適切な対応を特定するのに役立ちます。これらのスクリプトは、「if / then」テンプレートとして機能します。 脅威への対応を形式化し、自動化し、加速するため。 重要なのは、バイナリパッチ/パッチを適用しないという決定よりも洗練された方法で考えることです。

ソフトウェア会社は、リリースするパッチについて顧客に詳細を伝えることにより、脅威分析の開発をサポートする必要があります。私たちが知りたい重要な情報は、脆弱性を悪用する方法と、脆弱性から保護するための可能な方法です。

この追加の透明性により、影響を受けるシステムの適切なセキュリティ対策を決定するためのより多くの情報が顧客に提供されます。セキュリティの専門家は、パッチが少なくとも、脆弱性が発見される前に存在していたのと同じリスクレベルを維持することを確信する必要があります。

脅威分析： 非常に細かくする必要があります。 企業で100台のデバイスを実行している場合、それぞれに独自の脅威分析が必要です。これには、脆弱性とパッチの利点の比較、および結果として得られるセキュリティオプションの「メニュー」が含まれます。

もちろん、主な目標は、セキュリティを強化すると同時に、OTの稼働時間を最大化することです。

脅威分析： パッチ適用の決定に行く/行わないよりも微妙で多次元的です。

しかし、現在の場所から本来あるべき場所に到達するために業界が解決しなければならない課題があります。現在、上記のプロセスに従うには、時間と費用がかかり、高度なスキルを持つ専門家が必要です。それでも、それは簡単ではありません。

ベンダーコミュニティは、合意された一連の標準に基づいて行動を開始する必要があります。 レポートとアドレスの脆弱性の処理方法に関する標準的な法律が必要です。意味–カバーされていません。 このプロセス全体を自動化できます。

ITでうまく機能したものは、OTに適合しません。

パッチ、パッチ、パッチの選択を超えて、またはパッチを適用していないシステムを脆弱に実行させることを超えて、業界全体のイノベーションの時が来ました。

私たちの目標は、強力で効果的なプロセスを構築してから、自動化することです。 彼らはこの新しいアプローチを採用しました。これらはすべて、グローバルベースで産業企業や国の手の届く範囲にあります。

このより良い未来をはっきりと見ることができるからといって、それが近いことを意味するわけではありません。

しかし、一緒にそこにたどり着くために今から始めましょう。