IoTサプライチェーンの脆弱性がIIoTセキュリティに脅威をもたらす

IIoTインフラストラクチャに対するリスクは現実的で多くあります

ほとんどのネットワーク事業者はIIoTサプライチェーンのリスクを認識していますが、特定の脆弱性を特定することは困難です。これらの展開は、多くの場合、製造業者の壁を越えて、荷送人、商人、およびその他の商取引パートナーにまで及んでいます。また、ネットワークが拡張され、追加の統合ポイントが含まれるようになると、悪意のあるコードの一部が複製されるリスクが高まるだけです。実際、コード自体は悪意のあるものではないかもしれませんが、システムを危険にさらす可能性のある開いたポートを提示する可能性があります。

有限状態のCEOであるMattWyckhouseは、次のように述べています。

IIoT環境が侵害されると、悪意のある攻撃者がそれを前菜として使用して、企業システムをさらに掘り下げる可能性があります。産業用制御システム（ICS）やその他の本番システムは危険にさらされる可能性がありますが、侵入者がセキュリティの障害を回避し、さらに深く掘り下げることができれば、主要な企業アプリケーションや関連データも公開される可能性があります。これはすべて、センサー、アクチュエーター、およびその他の運用可能なIIoTを生成するサプライチェーンに侵入した疑わしいファームウェアに起因します。

「脆弱性が報告された場合、メーカーがその脆弱性に対応し、パッチを入手してから、資産所有者がそのデバイスのアップデートを実行し、最新バージョンのファームウェアを実行するまでにはしばらく時間がかかります」とWyckhouse氏は説明します。 、既知の脆弱性でさえ持続する方法を説明します。

セキュリティプロバイダーであるKasperskyのARCアドバイザリーグループが実施した2019年7月の調査レポート「TheStateof Industrial Cyber​​security」では、回答者の4分の1（26％）が、「サプライなどのサードパーティからの脅威」と考えていると述べています。チェーンまたはパートナー」が主要な懸念事項であり、別の44％が軽微な懸念事項であると述べています。興味深いことに、ランサムウェア（70％）や標的型攻撃（68％）など、他のすべての主要なセキュリティ上の懸念は、サプライチェーンの侵害を介して企業に対して開始される可能性があります。

[IoTセキュリティの詳細については、に登録してください IoTセキュリティサミット 今年の12月。]

同じ調査で、回答者の28％が、自社のICSまたは産業用制御ネットワークが標的となる可能性が「非常に高い」または「非常に高い」と述べています。

オランダを拠点とするセキュリティ組織であるIrdetoが実施した別の2019年の調査である「GlobalConnectedIndustries Cyber​​security Survey」は、多くの企業がすでに侵入型IoT攻撃に見舞われていることを強調しています。大企業によって製造されたものは、過去12か月間サイバー攻撃を経験していません。」

IIoTサプライチェーンがどのように危険にさらされているか

通常、企業の生産ラインに供給するサプライチェーンに関する最大の懸念は、生産活動が中断され、生産の速度低下またはシャットダウンが発生する可能性があることです。 IIoTサプライチェーンの場合、脅威ははるかに秘密にされており、その影響が明らかになるまでに数週間から数か月かかる場合があります。

通常、IIoTサプライチェーンの破損が発生した場合、それはドミノ効果の結果であり、脆弱性の原因を覆い隠します。

「攻撃者は被害者を念頭に置いていますが、被害者に直接アクセスする代わりに、ティア2の産業用IoTサプライヤーにアクセスし、Webサイトを侵害して、正規のファームウェアとソフトウェアをトロイの木馬化されたバージョンに置き換えます」と、AdolusのCEOであるEricByresは説明します。ファームウェアチェックサービスを提供する会社。

適切なネットワーク保守を行う無意識のIIoTネットワーク管理者は、無意識のうちに敵対的なコードを増殖させる可能性があります。 「彼らはすぐにダウンロードして工場に持ち込みます。そして突然、このマルウェアが工場内、ファイアウォール内、すべての内部を支配しているのです。」

侵入者はドアに足を踏み入れると、産業用ネットワークから侵入し、企業のデータネットワークに侵入する可能性があります。 「悪者は1つのサイトを攻撃し、この信頼できる乗数効果のようになります」とByres氏は続けます。 「これは、攻撃者にとって非常に優れた投資収益率です。」

ほとんどのIIoT環境には、数百または数千の古いデバイスが含まれています。センサーやその他のコンポーネントは、10年（またはそれ以上）設置されている可能性があります。専門家は、ギアが古ければ古いほど、サポートやアップデートが遅れるため、セキュリティリスクが発生する可能性が高くなることに同意しています。

たとえば、有限状態レポートでは、2003年にリリースされたバージョンのOpenSSLを使用したコードを含む、Huawei製のコンポーネントについて説明されており、非常に脆弱であることがよく知られています（文書化されています）。

一部のIIoTサプライチェーンのセキュリティ上の欠陥は、無実に、または悪意を持って、意図的に挿入された可能性があります。例はバックドアです。ソフトウェアのバックドアを使用すると、ファームウェアのコア部分にアクセスできるため、通常の認証プロセスに合格しなくてもコンポーネント自体にアクセスできます。

善意のバックドアは、多くの場合、技術者がデバイスをサポートおよび監視するためのエントリポイントを提供するために、コンポーネントメーカーによって開かれたままになっています。これらのバックドアは、デバッグポートと呼ばれることもあり、悪意のある攻撃者が簡単にアクセスできるようにします。同様に、産業用制御システムとの統合を可能にすることを目的としたアプリケーションプログラミングインターフェイス（またはAPI）は、デバイスの動作を危険にさらす別の手段を誤って提供する可能性があります。より悪質なバックドアは、後で知的財産（IP）やその他のデータをスワイプするために使用することを望んでいるため、輸出された製品について国によって半開きにされていることがよくあります。

一般的に、IIoTサプライチェーンは、十分に管理されているというよりもワイルドウェストです。

ニューヨーク大学のタンドンスクールのMuhammadJunaidFarooqとQuanyanZhuが発表した研究論文である「IoTサプライチェーンのセキュリティ：概要、課題、および今後の道」は、「IoTは依然としてセキュリティ基準の点で大幅に規制されていないテクノロジーです」と述べています。工学部。 「デバイス所有者の観点からは、上流のサプライチェーンを管理することはできません。すべてのサプライヤーがサイバーセキュリティ慣行を明確に表現し、サプライチェーン情報を開示する準備ができているわけではありません。」

悪意のある俳優のターゲットと彼らが望むもの

IIoTサプライチェーンへの侵入は、他の種類のネットワーク侵害によって引き起こされた、私たちが見たあらゆる侵害された状況をもたらす可能性があります。しかし、その性質と機能を考えると、「リークのある」IIoTデバイスは、さまざまな悪意のある活動や混乱を引き起こす可能性があります。

ランサムウェアは、攻撃の主な動機として依然として際立っています。これは、多くのIIoTサプライチェーンへの侵入にも当てはまります。身代金の支払いが行われるまで、悪意のある人物が生産を遅らせたり、悪影響を及ぼしたりする可能性があるためです。

生産の混乱は、産業環境でさらに大きな混乱をもたらす可能性があります。センサーやその他のIIoTデバイスからのデータストリーミングを変更することで、マシンの設定を操作できます。これにより、製造プロセスで目に見えない問題が発生し、製品の故障やロボットデバイスなどの工場フロアのマシンが安全でない状態で動作する可能性があります。マナー。

2020年3月のレポートOTSecurity Best Practicesは、産業用制御システムの違反は深刻な影響を与える可能性があると述べています。国の経済への悪影響。」

特定の業界も重要なターゲットになっています。

「興味深いターゲットがたくさんあるターゲットが豊富な環境が必要な場合は、エネルギーに行き、電力網に行き、石油とガスに行きます」とAdolus’Byresは述べています。 「そして今、私たちが目にしているもう1つのターゲットが豊富な環境は、パンデミックのために医療です。」

Finite StateのWyckhouseも、主要なターゲットとしてヘルスケアを指摘しています。 「実際、ここ数週間、医療業界で破壊的で生命を脅かす有害な攻撃が増加しており、ランサムウェア攻撃がパンデミックの真っ只中に病院を破壊しています。」

大きな給料日が常に攻撃者の目標であるとは限りません。重要な知的財産（IP）のように、情報が目的である場合もあります。

IIoT環境の亀裂をくぐり抜けて、企業のデータネットワークにアクセスすることも一般的な方法です。 「攻撃対象領域は日々成長し、より複雑になっています」とWyckhouse氏は述べています。 「最初のアクセスのメカニズムとしてサプライチェーンを使用しているアクターについて心配する必要がある場合があります。」

IIoTサプライチェーンの弱点に対処する方法

ほとんどの企業にとって、より安全なIIoT環境を作成することは、ネットワーク上のデバイスの数が非常に多く、その歴史が複雑であるという理由だけで、重要な作業になります。これらのデバイスの詳細で包括的なインベントリがすでにある場合は、一歩先を行くことができます。持っていない場合は、ここから開始できます。

土地の配置を確立したら、サプライチェーンのリスク評価が次のステップになります。身代金の状況、データの破損、IPの盗難などの「マクロ」リスクを特定します。ただし、リスク評価もより詳細なレベルに到達する必要があります。ここでは、各デバイスの潜在的な脆弱性と、その脆弱性がより広範なネットワーク侵入にどのように複合されるかを評価します。

会社のネットワークとそれらがどのように統合されているかを詳しく調べることも必要です。たとえば、エアギャップを使用してオペレーショナルテクノロジー環境をITネットワークから分離することにより、IIoTをインターネットから分離できる可能性があります。

IIoTデバイスのサプライヤも評価して、セキュリティへの取り組みのレベルを理解する必要があります。 Wyckhouseによると、「オペレーターがメーカーに最も影響を与えるデバイスのライフサイクルの時点は、そのデバイスの購入中」であるため、これに最適な時期は、購入する製品を評価するときです。

IIoTデバイスの購入が頻繁に行われる場合は、正式な評価プロセスを設定して、すべてのベンダーと製品が適切に精査されていることを確認することをお勧めします。

「「私たちはセキュリティを真剣に受け止めています」と書かれた紙を少しだけ取ってはいけません」とByres氏は述べています。 「彼らから適切なレポートを入手するか、サードパーティに行って適切な分析を行い、サプライヤがセキュリティについて宿題をしているのかどうかを実際に把握してください。」

また、米国国立標準技術研究所（NIST）のNational Vulnerability Database（NVD）などのリソースを利用して、Common Vulnerabilities and Exposures（CVE）のリストを確認することもできます。

特にIIoTサプライチェーンの状況に対処するために、新しいクラスのサービスとアプリケーションが登場しています。 AdolusとFiniteStateは、ユーザーがすでに設置した、または検討している機器の安全性を判断するのに役立つサービスを提供している企業の例です。

Adolusは、商業的に利用可能なサービスに発展する前に、米国国土安全保障省のプロジェクトとして始まりました。これは、既知の脆弱性の編集を含む、何千ものIoTデバイスに関連する公開された事例情報を収集するデータベースの上に構築されています。エンドユーザーまたはデバイスメーカーは、データベースを利用してコンポーネントの系統を追跡し、その構成部品とサプライヤーに関する詳細を見つけることができます。

「私たちの技術は、これらのソフトウェア部品表を作成することです」と、AdolusのCEOであるEricByresは述べています。 「つまり、購入してインストールしたばかりの基本製品だけでなく、それに付属するすべてのコンポーネントについても、完全な来歴を持つことができます。」

有限状態もこの問題に対して斬新なアプローチを取ります。同社のテクノロジーは、ファームウェアを効果的に解析して、IIoTインフラストラクチャにリスクをもたらすかどうかを判断できます。 FiniteStateのCEOであるMattWyckhouseが指摘するように、これは特に重要です。「ファームウェアの更新が適用されると、そのファームウェアがそのデバイス上のすべてのソフトウェアを置き換えます。完全に置き換えられるため、デバイスのリスクプロファイルを完全に変更できます。」