イランとの緊張による注目のICSセキュリティ

米国とイランの間の緊張が高まっていることを考えると、接続された産業インフラストラクチャを備えた組織は警戒する必要があります。

「[イランの一般的なカセム]ソレイマニの暗殺の潜在的なサイバー影響は深刻です」と、ネットワークセキュリティ会社CynamicsのCEO兼共同創設者であるEyalElyashivは警告しました。

業界のオブザーバーは、両国間の最近の問題が全体としてサイバーリスクを高めていると述べています。 「トレンドマイクロには特定の攻撃計画に関する内部情報はありませんが、政治的緊張の高まりがサイバー攻撃を促進するのは当然のことです」とトレンドマイクロのインフラストラクチャ戦略担当副社長であるビルマリクは述べています。

暗殺をきっかけに、数人のサイバーセキュリティ専門家と米国政府当局者が、イランに関連する敵がもたらすICSセキュリティリスクについて警告しました。

他の人は、報復を促すのではなく、気を散らすように設計された小規模なサイバー攻撃の可能性を指摘しています。ビルトルの主任社会科学者であるアンドレア・リトル・リンバゴ博士は、米国とイランの間の全面的なサイバー戦争の見通しは「デフォルトの想定ではないはずだ」と述べた。イランの「破壊的な攻撃から偽情報までのサイバー活動は、かなり前から広まっています。それは新しいことではなく、今週のイベントとは関係ありません」と彼女は言いました。

過去10年間で、イランのサイバー機能は大幅に拡大しました。サイバーセキュリティの専門家は、米国の銀行に対するサービス拒否攻撃から、サウジアラムコのシステムを標的とするカスタムマルウェアまで、米国およびその他の標的に対する一連の攻撃をイランの攻撃者に帰した。 ICSのセキュリティにも関連して、2015年の報告によると、イランのハッカーが米国の電力網に侵入したとのことです。

「米国の当局者は、イランのサイバー能力と到達範囲について非常に心配する必要があります」とElyashiv氏は述べています。

国土安全保障省（DHS）の1月4日の警告は、国間の緊張が緩和されたことを示すものもありますが、イランは少なくとも「米国の重要なインフラストラクチャに対する一時的な破壊的影響を伴う攻撃」を開始する可能性があると警告しました。

同様に、米国のサイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは、「金融、エネルギー、および電気通信組織」の戦略的ターゲットに対する攻撃およびサイバースパイのリスクが高まる可能性があること、および産業用制御システムと運用技術への関心の高まりについて警告しました。

>

イランの俳優は、米国のサイトを標的にした歴史があります。 2016年、米国司法省は、イランのイスラム革命防衛隊の7人のイラニ請負業者がいくつかの銀行とニューヨークのダムにサイバー攻撃を行ったとして起訴状を開封しました。 DHSの警告によると、米国はまた、イランに関連する攻撃者を「インフラストラクチャの標的に対する偵察と計画、および米国を拠点とするさまざまな標的に対するサイバー対応の攻撃」であると非難しました。

このようなターゲティングは、産業分野にまで及びます。 Cyber​​scoopによると、イランに関連するAdvanced Persistent Threat 33として知られるハッカー集団には、防衛、運輸、エネルギーの各セクターを標的にした歴史があります。

Limbagoは、イランが短期的にICSセキュリティの脆弱性の悪用を優先すると想定するのは時期尚早であると考えています。 「緊張がさらにエスカレートする場合、それは変わる可能性がありますが、現在のレベルを考えると、イランの継続的なサイバー活動は、グレーゾーンと見なされる場所で継続します[戦争へのエスカレーションの手前で停止します]」と彼女は言いました。 「ICSは確かに懸念事項ですが、イランは、重要なインフラストラクチャに対する破壊的な攻撃がエスカレーションと報復につながる可能性があることを理解しています。」

同様に、CIAテロ対策センターの元常務長官であるキャロル・ロリー・フリンは、イランがより小規模なサイバー攻撃を実行することを期待しています。 「彼らは私たちが彼らに対して報復することを望んでいません。彼らは以前にそれを感じていました」と彼女は言いました

リンバゴ氏によると、もう1つの可能性は、イランの攻撃者が、明確なICS接続を欠いている民間組織を標的にする可能性があるということです。そのような戦術には前例があります。 2015年、当時の国家情報長官であったジェームズクラッパーは、イランがサンズカジノへの攻撃の背後にいる可能性が高いと述べました。これは、CEOのシェルドンアデルソンからの反イランのコメントに対する報復でした。 「以前のパターンとより一致している可能性が高いのは、行政機関に関連する民間組織を対象とすることであり、財政的苦痛を与える可能性はあるが、米国国民を結集して政府を分割して対応することはできないだろう」とリンバゴ氏は述べた。>>

イランのサイバー戦略のもう1つの中心的な要素は、偽情報の操作です。これは、リンバゴが「非常に多作でグローバル」と分類したものです。 「これらの活動は確かに継続されるでしょう。国内では親政府の支援を構築し、世界的には反米感情を構築するためです」とリンバゴ氏は付け加えました。

サイバーリスクの管理

最近の緊張がどうなるにせよ、この状況は、産業インフラストラクチャを備えた組織が接続されたデバイスをストックする機会を提供します。 「産業用制御システムの所有者とオペレーターは、技術インベントリを確認し、脆弱性を評価し、攻撃プロファイルを減らすために可能な限りそのような制御を適用することを再度お勧めします」とマリク氏は述べています。

産業組織が稼働時間に重点を置いていることを考えると、重要なインフラストラクチャ設定を含む産業環境では、パッチが適用されていない古いハードウェアとソフトウェアを使用するのが一般的です。 「組織は、重要なインフラストラクチャを保護するために現在使用されている時代遅れのシステムを超えて検討する必要があります。最近の歴史は、それらが簡単に危険にさらされる可能性があることを明確に示しています」とElyashiv氏は述べています。

サイバー衛生は非常に重要ですが、AssetLink GlobalLLCの社長兼CEOであるDavidGoldsteinは、組織は物理的セキュリティにも焦点を当てるべきだと強調しました。 「[IIoT]セキュリティへの答えは、完全にハードウェアとソフトウェアにあるわけではありません」とゴールドスタイン氏は述べています。

皮肉なことに、物理的アクセスのテーマは、10年前のイランの核遠心分離機に対するStuxnet攻撃の中心的な要素でした。 Stuxnetキャンペーンでは、米国政府とイスラエル政府を代表して活動しているとされる二重エージェントが、ナタンツの核濃縮施設のエアギャップ中央ネットワークにマルウェアをインストールしました。その結果、施設内の約1,000台の核遠心分離機が最終的に破壊されました。

Stuxnetの物語は、アクセス制御だけでなく、一般的な信頼の重要性を示しているとゴールドスタイン氏は述べています。 「誰と協力し、誰を信頼し、誰がシステムにアクセスするための資格を持ち、誰が物理的にアクセスできるのですか？」彼は、「IoTシステムがすべてを注入するにつれて、アクターとパートナー間の信頼は時間の経過とともにますます重要になるだろう」と質問しました。

IoTテクノロジーが産業の文脈で定着するにつれて、産業用制御システムの世界に精通しているサイバー専門家が不足しています。 「ほとんどのセキュリティアナリストとコンサルタントは、通常のオフィスITネットワークに適用するのと同じ手法を[産業用] IoTシステムに適用します」とGoldstein氏は述べています。ゴールドスタイン氏によると、プロプライエタリプロトコルの量を考えると、そのような環境でソフトウェアの更新を実行することの難しさは「非常に大きな脆弱性」をもたらします。

米国国防総省やMITRECorp。などの組織は、ICS用のMITRE ATT＆CKフレームワークなどのICSフレームワークとのギャップを埋めるのに役立っています。 「このドキュメントは、ICSの製造元、所有者、および運用者が、考えられる攻撃シナリオについて話し合い、産業部門全体で一貫して脆弱性を報告する方法を提供します」とマリク氏は述べています。 「どの組織も、このフレームワークを使用して[その] ICSセキュリティ体制を明確にすることを強く検討する必要があります。」

マリクはまた、サイバーセキュリティは目的地よりも旅であるという単純な事実を理解することを強調しました。 「このような緊張の高まりの時間枠が短期的であると仮定すると、ICSメーカーが現在の生産[セキュリティ体制]を迅速に強化するためにできることはほとんどありません」と彼は言いました。

Malikは、ICSベンダーが対処すべき1つの脆弱性を指摘しました。彼らは、メンテナンス操作と障害診断のために、フィールドで自社のテクノロジーにアクセスすることがあります。 「これらのメンテナンスリンクは攻撃ベクトルとして機能する可能性があります」と彼は言いました。

Malikは、ベンダーが顧客データを保護するためにさまざまな対策を講じることを推奨しました。その他の重要な考慮事項には、可能な場合はトラフィックを暗号化し、ソフトウェアの更新が安全であることを確認することが含まれます。 「ある顧客の小さな問題により、製造業者がマルウェアを運ぶことが判明したすべてのテクノロジーに修正を加えるようになったとしたら、それは悲劇的なことです」とマリク氏は述べています。