重要なインフラストラクチャのサイバーセキュリティ戦略の開発
要点は次のとおりです。
- 重要インフラストラクチャの保護は長年の優先事項ですが、多くの組織はサイバー脅威への対応に遅れをとっています。
- COVID-19は、重要なインフラストラクチャの定義を拡大すると同時に、企業が運用に不可欠なシステムについて質問することを思い出させます。この記事は、「クラウドからエッジへのIoTセキュリティの課題への対処」のこのシリーズの第1章のアドバイスに基づいています。
- 重要なインフラストラクチャを管理する組織は、プロアクティブなサイバーセキュリティ体制を構築する必要がありますが、コロナウイルスによる混乱は課題を高めます。
今では、重要なインフラストラクチャに対する包括的なサイバーセキュリティの必要性は明らかです。電力網、ダム、投票システム、およびその他の連邦政府が指定した重要なインフラストラクチャを標的とする悪意のある攻撃者のリスクに関して、公的なアカウントが広まっています。しかし、不可欠なサービスを提供する組織の大多数は、サイバーリスクに対処するための段階的な措置しか講じていません。デロイトのパートナーであるSeanPeasleyは、次のように述べています。
「重要インフラ」という用語は、当初は交通インフラや公益事業などの公共事業を指していましたが、1990年代以降、その定義は着実に拡大しています。現在、ルーブリックの対象となるセクターには、とりわけ、ヘルスケア、エネルギーおよび公益事業、およびさまざまなメーカーが含まれています。デロイトのプリンシパルであるキーランノートンは、次のように述べています。たとえば、個人用保護具のメーカーは、危機を緩和する役割を果たしています。 「たとえば、パンデミック時のサプライチェーンの混乱は、壊滅的な被害をもたらす可能性があることも学びました」とノートン氏は述べています。当然のことながら、ロジスティクス企業はその役割を不可欠なものとして固めています。米国政府は、紙パルプ産業や食肉包装産業も不可欠であると宣言しています。そのため、重要なインフラストラクチャとオペレーショナルテクノロジー(OT)のセキュリティの重複はあいまいになっています。テュフラインランドが引き受けたポネモンインスティテュートの産業セキュリティに関する調査によると、名前が何であれ、このドメインの業界のいくつかは高度なサイバー効果に達しています。
[北米最大のIoTイベントであるIoTWorldは、8月11日から13日まで仮想化され、3日間の仮想体験により、業界全体でIoT、AI、5G、エッジが機能します。今すぐ登録]
従来の重要なインフラストラクチャエンティティは、従来のリスク管理と安全イニシアチブで数十年の経験があるかもしれませんが、多くの人にとって、サイバーセキュリティは比較的新しい優先事項です。そして大まかに言えば、重要なインフラストラクチャを管理している組織は動きが遅い傾向があります。 「私の一般的な経験では、OTセキュリティはITセキュリティスペースよりも約10〜15年遅れています」と、KudelskiSecurityのCEOであるAndrewHowardは述べています。
一方、重要なインフラストラクチャ組織の脅威の状況は、ますます不安定になっています。多くの重要なインフラストラクチャ環境で接続されているデバイスの数と同様に、そのようなインフラストラクチャを標的とする攻撃者の数は急増しています。 IBMのX-ForceThreat Intelligence Index 2020によると、2019年の産業用制御システムに対する攻撃の量は過去3年間の合計よりも多かった。
このような攻撃は2020年に話題になりました。ランサムウェアの攻撃者は、ホンダと台湾のエネルギーユーティリティと米国の天然ガス施設を標的にすることに成功しました。伝えられるところによると、イスラエルの水道が攻撃されました。日本の電気通信会社NTTは内部ネットワークを侵害しました。
R 継続的に評価するisk
何かを測定できなければ、それを改善することはできません。しかし、そのアドバイスは、リスクとリスク削減を定量化するのが難しい重要なインフラストラクチャのサイバーセキュリティに二重に当てはまります。多くの組織は、環境の多様性と複雑さを考えると、正確な資産インベントリを維持するのに苦労しています。一方、OTサイバーセキュリティを専門とする専門家は不足しています。このリスクを悪化させるのは、調達したハードウェア、ソフトウェア、または請負業者を介して導入された潜在的な脆弱性の評価を含む、サードパーティのリスク管理の複雑な性質です。
リスク評価は継続的なプロセスである必要がありますが、重要なインフラストラクチャ組織は、サイバー攻撃やその他の運用中断の原因の脅威、脆弱性、潜在的な結果を定量化するように設計された定期的な詳細なリスク評価から始める必要があります。潜在的な脆弱性には、共有パスワード、パッチが適用されていないシステム、出所が不明なソフトウェアとハードウェア、および過度に許容されるファイアウォールが含まれます。
ただし、このようなセキュリティ評価は実行が難しい場合があります。ポンプやバルブ、レガシーコントローラ、無数のコンピューティングデバイスなど、追跡するデバイスタイプは多数あります。さらに、産業システムの侵害の影響を理解するには、運用に関する深い知識が必要です。多数の異なるシステムがある環境では、問題はさらに複雑になります。
従来のネットワークスキャン技術には注意が必要です。産業用制御システムのアクティブネットワークおよび脆弱性スキャン技術は、制御システムをクラッシュさせる可能性があります。産業用制御システムのセキュリティを専門とするコンサルタントであるDalePeterson氏によると、重要なインフラストラクチャ環境でアクティブスキャンを安全に使用することは、一般的に安全に行うことができます。ただし、リスクに対処するには、運用部門と緊密に連携する必要があります。ネットワーク監視のパッシブ手法は煩わしさが少なくなりますが、精度も低くなります。 「この議論は、ITセキュリティビューがOTビューと衝突する場所であることがよくあります。 ITセキュリティ担当者はアクティブスキャンを使用する傾向がありますが、重要なインフラストラクチャシステムの監視を担当する担当者は、リスクを冒したくないため、パッシブアプローチを好むことがよくあります。」
特に詳細な評価では、組織は問題の長いリストを明らかにし、優先順位を付けるための修正に疑問を呈する可能性があります。また、問題を悪化させているのは、多くのサイバーセキュリティ専門家は通常、監査を受けているすべての機器を直接経験しているわけではないため、経験豊富な資産所有者やオペレーターへのインタビューに頼ってサイバーリスクを測定する必要があります。
組織は、重大度と修復の容易さの両方を比較検討する必要があります。ここでは、アクセス制御がテーマになることがよくあります、とMiklovic氏は述べています。 「境界インターフェースは、プロトコル境界であろうと物理的境界であろうと、サイバーセキュリティ問題の最も弱い部分です」と彼は言いました。 「産業用サイバーセキュリティの世界でさえ、最大の侵害ポイントの1つは依然としてUSBドライブです。」
ハワード氏によると、スタッフが未使用のUSBドライブをプラグインするために瞬間接着剤やはんだを使用するのは迅速かつ安価ですが、一部の組織は修復の「簡単なこと」に対処することに重点を置きすぎています。 「はい、すぐにノックアウトする必要のあるしきい値の緩和策があります。ただし、その後は、リスクに基づいて優先順位を付ける必要があります。」
RunSafeのCEOであるJoeSaundersによると、脆弱性の影響の可能性と潜在的な重大度を比較検討する2行2列のマトリックスを使用して、リスクを定量化することができます。
各システムのリスクプロファイルを作成するのが簡単なことはめったにありません。特定のシステムがクラッシュした場合の影響を理解するには、資産の所有者とオペレーターへのインタビューが重要です。 「脆弱でリスクが高いと思われるマシンを使用することができます」とMiklovic氏は述べています。しかし、それがダウンした場合、すべてを「完全に停止」させるのではなく、孤立した問題のみを引き起こす可能性があります。
リスク評価を複雑にする可能性のあるもう1つの要因は、組織が投資した時間またはお金のみに基づいてサイバー優先順位を優先する傾向があることです。トレンドマイクロのインフラストラクチャ戦略担当バイスプレジデントであるビルマリクは、次のように述べています。
レガシー機器に関しては、組織はリスクを軽減する能力が制限される可能性があります。数十年前のオペレーティングシステムを実行しているデバイスは、更新できない可能性があります。 「これらのシステムで通常採用される戦略は、分離して監視することです」とハワード氏は述べています。 「私の経験では、分離は通常かなり多孔質です。」
ニューノーマルの新しいリスク
重要なインフラストラクチャのリスク管理は、サイバーセキュリティの懸念が高まるにつれてますます困難になっています。これらの組織が一部の労働者のリモートワークを拡大しながらCOVID-19対応計画を作成する必要があるため、さらに複雑になります。 「重要なインフラストラクチャ環境で見られる主な変化は、在宅勤務のシナリオだと思います」と、IronNet Cybersecurityの戦略、パートナーシップ、企業開発担当上級副社長であるJamilJafferは述べています。
ハワード氏によると、在宅勤務のパラダイムは、脆弱なシステムの保護を複雑にしているという。 「今では、VPNを使用して自宅から本番システムに接続し、変更を加える従業員がいます」と彼は言いました。 「彼らはおそらく以前はそれをしていなかっただろう。」
同様に、一部の組織は、ベンダーや技術者などのサードパーティに機密システムへのリモートアクセスを許可したくなる可能性があります。 「多くの人が仕事の遂行と仕事の維持に集中している場合、サイバーセキュリティへの関心はおそらく低くなります」とノートン氏は述べています。
ネットワークの可用性は、重要なインフラストラクチャのコンテキストでリモート作業機能をスケールアップしようとしている組織にとってのもう1つの考慮事項です。 「以前は、従業員の10%〜20%が従来のリモートアクセスインフラストラクチャを使用している組織がありました」とノートン氏は述べています。組織がリモート作業機能をスケールアップするにつれて、「多くの人が帯域幅、スケール、および資産の展開に関する問題に遭遇しました」とノートン氏は述べています。
産業資産の接続性を拡大すると、より多くの脆弱性が生じる可能性がありますが、COVID-19は、労働者の物理的な存在、手動プロセス、および事務処理に依存する旧式の緊急時対応計画のリスクも強調しました。
従来は変更に時間がかかりましたが、重要なインフラストラクチャ組織は、コアプロセスとワークフローを再考する際に、テクノロジーアーキテクチャに大規模な変更を加えることを躊躇してはなりません。 「これが新しい標準である場合は、おそらくインフラストラクチャを再設計する必要があります」とノートン氏は述べています。
プロアクティブなサイバーセキュリティに向けて
最終的に、重要なインフラストラクチャ組織は、段階的なリスク削減を提供する定着した手動プロセスから、より積極的なサイバーセキュリティ体制への移行を目指しています。 「産業環境は複雑で常に進化する傾向があります」とSternumのCEOであるNataliTshuvaは述べています。 「セキュリティ管理は、現在の状況を評価するだけでなく、今後何年にもわたって持続可能な保護と安心を提供するためにも必要です。」
従来、産業用および重要インフラストラクチャのセキュリティとは、物理的なセキュリティを意味し、物理的な境界内での安全性とアクセス制御を含みます。多くの従来の産業用プロトコルは、設計者が許可された担当者のみがアクセスできると想定しているため、基本的に安全ではありません。しかし、リモートワーキング、クラウドコンピューティング、およびIIoTの台頭により、城と堀のセキュリティモデルが弱体化しています。ただし、そのレガシーモデルの影響は、多くの重要なインフラストラクチャ組織(および企業)が事後対応型のセキュリティアプローチを採用している理由の1つです。
このような再設計の重点は、ユニバーサルセキュリティポリシーに基づいた堅牢で効率的なワークフローを作成することです。 「セキュリティ管理を資産にできるだけ近づけてください」とノートンはカウンセリングしました。
このプロセスには、次の資産に対する包括的で進化するセキュリティポリシーの作成が含まれます。
- 機器とデバイス :このようなハードウェアは、従来の産業用機器からIoTデバイス、企業が発行したラップトップまで多岐にわたります。 「ユーザーとの関連でこれらのデバイスを理解することは非常に重要です」とノートン氏は述べています。 RunSafeSecurityのCEOであるJoeSaundersは、組織は産業用コントローラーを保護する必要があるとアドバイスしています。対照的に、センサーとゲートウェイの保護は比較的簡単です。 「しかし、コントローラーはパフォーマンスに敏感で、インフラストラクチャの奥深くにあります。」
- ネットワークとユーザー :ユーザーに関しては、セキュリティスタッフは、組織のセキュリティポリシーで概説されている制御に基づいて、可能な限りアクセスを制限する必要があります。 「ユーザーとアプリケーションのコンテキスト、ロジックを介して動的に適用できるセキュリティ制御と通信するポリシーエンジンを使用できます」とノートン氏は述べています。組織は、ネットワーク侵害検出機能にも投資する必要があります。
- データ 。データの分類と検出は、特定のデータ型を保護するために必要な制御のレベルを評価するための貴重なツールです。
- ワークフロー、ワークロード、およびプロセス。 必要な保護の程度は、組織にとってのこれらのプロセスの本質的な価値と、攻撃者がそれらに干渉する可能性を考慮に入れています。このタスクには、サプライチェーンを強化し、請負業者とサプライヤが指定されたセキュリティ管理レベルに準拠していることを確認することも含まれます。
- ソフトウェア開発プロセス。 重要なインフラストラクチャ組織は、「ソフトウェア開発にセキュリティを組み込む必要があるため、展開するソフトウェアは回復力があります」とSaunders氏は述べています。
サイバー衛生は不可欠ですが、セキュリティにおける一般的な落とし穴は、脅威の検出、対応、および復旧の優先順位を低くすることです。 「簡単な経験則では、予防と検出に50%の労力を費やし、応答の回復に50%の労力を費やします」とPASGlobalのエグゼクティブであるMattSelheimerは述べています。 「従来、多くの組織が採用したアプローチは、予防管理を最初に実施することです」とノートン氏は述べています。しかし、重要なインフラストラクチャ環境でリスクを調査することは複雑であるため、対応と復旧が後回しになることがあります。 「何か問題が発生した場合は、それをすばやく特定してシャットダウンできるようにする必要があります」とノートン氏は述べています。 「これは、何かが最終的にうまくいかないことがわかっているので、何かを防ぐことと同じくらい重要です。」
プロアクティブなサイバーセキュリティ体制への移行を目指す組織は、包括的なISO27002やISA / IEC 62443などの産業用制御システムに固有の標準に至るまで、さまざまなフレームワークからインスピレーションを得ることができます。比較的新しいのは、国防総省—組織がさまざまな政府プログラムに入札するために必要なセキュリティレベルを指定するように設計されています。 5つの層に分けられ、最初の3つは、基本、中級、および優れたサイバー衛生を指定します。 2つの上位層には、より高度なサイバーセキュリティ管理が必要です。 4つ目は、「すべてのサイバー活動をレビューし、有効性を測定する」ことを規定しており、レビュー結果は経営陣と共有されます。トップティアは、関連するすべてのユニットに関連する標準化された包括的なドキュメントを追加します。
| CMMCレベル1 | 基本的なサイバー衛生(実行済み) | 必要に応じて、選択したプラクティスが文書化されています |
| CMMCレベル2 | 中級サイバー衛生(文書化) | 各プラクティスは文書化されており、すべてのアクティビティにポリシーが存在します。 |
| CMMCレベル3 | 良好なサイバー衛生(管理) | 上記の慣行に加えて、サイバー計画が存在し、すべての活動を含むように運用されています。 |
| CMMCレベル4 | プロアクティブ(レビュー済み) | すべてのサイバー活動は、有効性についてレビューおよび測定されます。結果は経営陣と共有されます。 |
| CMMCレベル5 | 高度なプログレッシブ(最適化) | 上記のプラクティスに加えて、この段階では、組織全体に標準化されたドキュメントを追加します。 |
AttivoNetworksの最高技術責任者であるTonyColeは、次のように述べています。このフレームワークは、重要なインフラストラクチャ組織が内部サイバーリスクとサードパーティに要求されるデューデリジェンスについてより高度な理解を深めることを奨励する可能性があります。コール氏によると、フレームワークにはある程度の客観性があり、役立つ可能性があります。 「モデルによると、サードパーティの監査人が来て、請負業者のサイバーセキュリティレベルを確認する必要があります。自己申告による調査はありません」と彼は言いました。 「誰かがそれを監査する必要があります。」
自動化は、プロアクティブなセキュリティ戦略を設計する際に考慮すべき要素でもあります。機械学習などの手法は、組織がネットワーク侵害の検出などの日常的なセキュリティ監視タスクを自動化し、攻撃の拡散を阻止するための制御を実装するのに役立ちます。
さまざまなリソースに制約のあるデバイスでますます利用できる組み込みのセキュリティ保護は、本質的な脅威からの保護を提供します。デバイス上の保護には、「包括的な資産管理機能も含める必要があります」とTshuva氏は述べています。このようなコントロールはネットワークの可視性をサポートし、攻撃に対する自動アラートを提供できます。
堅牢で状況に応じたセキュリティポリシーなしでセキュリティ監視を自動化する方法を急いで見つけようとする組織は、多くの場合、誤報の爆発的な増加に直面しているとセルハイマー氏は警告しました。しかし、最終的には、すべての組織がセキュリティ制御の調整に時間を費やすことを計画する必要があります。 「OTでもITでも違いはありません。 [セキュリティオペレーションセンター]の人々は、ファイアウォールルールとセキュリティ情報、ノイズを減らすためのイベント管理相関ルールの調整に多くの時間を費やしています」とセルハイマー氏は述べています。
さらに複雑なのは、独自の多様な重要インフラストラクチャランドスケープであり、既製のセキュリティ自動化とAIツールの展開を複雑にする可能性があります。 「確かにいくつかの制限があります。しかし、それに対処する方法もあります」とノートンは言いました。たとえば、組織は機密性の高い運用システムを分離し、自動化およびオーケストレーションツールを使用して結果のエンクレーブを保護できます。 「自動化とオーケストレーションを通じて、できる限り自動化してから、自動化できない場所でオーケストレーションを行い、効果的な機能を備え、脅威に対応して適応していることを確認します」とノートン氏は述べています。
最終的に、重要なインフラストラクチャセキュリティの脅威は急速に変化する可能性があります。 「プロアクティブであるということは、組織への直接的な影響と業界の観点から見たものの両方の観点から起こっていることに対処するために、常にサイバー姿勢を調整していることを意味します」とノートン氏は述べています。
モノのインターネットテクノロジー
- ベントレーがAlworxを買収
- サイバーセキュリティの改造
- カード、モバイル、IoT決済インフラストラクチャ戦略を開発する銀行への重要な質問
- 重要なインフラストラクチャに対するサイバー脅威に対応するための緊急アクションの必要性を報告する
- 重要な国家インフラストラクチャでIoTの保護を遅らせることができない理由
- IoTとサイバーセキュリティ
- 一般的な攻撃は、産業サイバーセキュリティのプロファイルを引き上げます
- デジタルトランスフォーメーション戦略:流行語を超えて
- あなたのAI戦略は現実的ですか、それとも天国への階段ですか?
- ミシュランのサービスとしての製品戦略を見る
- IIoTソフトウェアの脆弱性が重大なインフラストラクチャ攻撃を助長—再び