製造業がランサムウェアからIIoTリソースを保護する必要がある理由

ランサムウェアは新しいセキュリティ上の脅威ではありません。1989年に初めて登場し、フロッピーディスクを介して配布されました。

しかし、それは、身代金と引き換えに産業環境の重要なリソースを乗っ取るという、理想的な現代の犯罪ビジネスモデルとして劇的な第二の人生を歩み始めました。

キーボードは、産業インフラを人質に取るのに銃よりも効果的です。デジタル資産の保護が製造業や重要インフラ部門におけるサイバーセキュリティの優先事項として具体的に取り組まれるまで、この問題はさらに悪化する一方です。

最近のランサムウェア攻撃の多くは、製造および重要インフラ部門に向けられており、これらの部門は伝統的に物理的資産の作成に重点が置かれていました。

しかし、製造業のほとんどは、コンピューティングプラットフォームやリモートアクセスソリューションの多くをクラウドに急速に移行しており、産業用制御システムや工場センサーをクラウドから入ってくる攻撃ベクトルにさらしています。

ランサムウェア攻撃により、製造業は毎年数百万ドルの損失を被っています

製造業は伝統的に、デジタル犯罪からほとんど免れていると考えているかもしれません。しかし、彼らは間違っています。

ランサムウェア攻撃の21%は製造業に対するもので、このセクターは2021年の平均203万6,000ドルと、すべての業界の中で最も高い身代金を支払っています。

必要なのは、やる気のあるハッカーがメーカーの クラウドセキュリティ ツールを侵害し、産業環境や工場環境の奥深くに展開された重要なコントローラーやセンサー(IIoTデバイス)にリモートアクセスして無効にすることだけです。これにより、デジタル侵入による非常に現実的な物理的リスクが生じ、被害者は身代金を支払うか、操作が無効になった影響に対処するかの選択を迫られます。

ほとんどの被害者は、身代金を支払う方が安価な選択肢であると判断し、製造組織に数百万ドルの損害を与えています。

ランサムウェアは、現代のサイバー犯罪者にとって標的としてはあまりにも魅力的であり、金銭的利益がほぼ確実に保証されています。サービスとしてのランサムウェアは ダークウェブ上にも存在し、サイバー犯罪者を目指す人が次の被害者を選ぶのを支援するためのサポート契約やヘルプデスクも備えています。

また、ランサムウェアの展開は、多くの場合、サイバー犯罪者が産業環境に侵入する最後のステップです。彼らはまず、無効化するための重要な資産を探し、知的財産を公開し、意図した被害者が身代金の価格を設定するためにどのようなサイバーセキュリティ保険の補償範囲を持っているかを学びます。この情報が抽出されたら、最後のステップは、被害者の大多数が支払うことを選択する支払いと引き換えにインフラストラクチャを人質に取ることです。サイバー犯罪者の夢が叶ったのです。

製造業に対するランサムウェア攻撃には現実世界のリスクがあります

製造業は長い間、自らをサイバー犯罪の範囲外であると認識してきました。たとえば、工場の産業チェーンがエネルギー、鉄鋼、食料を生産したり、採掘作業を行ったりする場合、サイバー犯罪に対するリスクはどの程度あるのでしょうか?

実際には、サイバー犯罪のリスクは高いです。

2015年、ドイツの製鉄所がサイバー攻撃の結果として物理的損傷を受けた最初の例と される 事態を経験したと報告された。サイバー犯罪者は、ITネットワークに接続されている工場内のいくつかの重要な制御システムにリモートでアクセスすることに成功し、これらは無効になりました。これにより、重要なセンサーが工場内の熱レベルを監視できなくなり、これらのセンサーによって自動的に停止されないため、高炉が深刻な損傷を受けました。

物理世界は突然純粋にデジタルのリスクにさらされ、それ以来、この事実はサイバー犯罪者によって見過ごされることはありませんでした。

身代金の支払い: リスクは何ですか?

攻撃中に身代金を支払うことを選択すると、被害者に独自のリスクがもたらされます。

サイバー保険料の値上げ

サイバー保険会社は現在、ランサムウェア攻撃の支払いの結果として深刻な収益の損失に直面していますが、ランサムウェアが再発見される前はほとんど免れていました。

通信事業者は現在、マルウェアがネットワーク全体を移動することをより困難にする方法として、ネットワークに何らかの形のセグメンテーションを実装するようクライアントに強制しています。クライアントがこれに同意すれば、毎月の保険料は減額される可能性がありますが、サイバー保険の保険料は過去数年間で 依然として大幅に上昇 しています。

潜在的な被害者にとって、単に保険に頼るのではなく、プロアクティブなサイバーセキュリティを真剣に受け止めることが、最善の経済的利益となります。

法的悪影響

2つ目のリスクは、多くのランサムウェアギャングが、米国政府のブラックリスト、いわゆる OFAC制裁リスト(Office of Foreign Assets Control)に載っている国に拠点を置いているという事実です。

これは、米国が国家安全保障のために経済・貿易制裁を課した外国の独裁政権、麻薬密売人、テロ組織、武器商人のリストである。米国では誰でも、リストに載っている人々と取引することは犯罪です。

制裁対象国のランサムウェア ギャングが米国を拠点とする製造資産を人質に取っていて、組織が身代金の支払いを決定した場合、その組織はギャングと取引したとして刑事責任を問われるリスクがあります。

身代金を支払うという経済的に安いと思われる選択肢を選択すると、被害者は意図しない犯罪的および不利な法的結果に容易にさらされる可能性があります。

サイバー犯罪から産業資産を保護する:東西の横方向の移動を阻止

ランサムウェアはどこかから来ており、それは一般的にサイバーアーキテクチャ全体のIT側から来ています。あらゆる種類のランサムウェアには、すべて移動が好きであるという共通点があります。

ワークロードがハイジャックされると、ランサムウェアはそのワークロード上のオープンポートを探し出し、次のワークロードに横方向に移行するためのベクトルとして使用し、そこからファブリックの産業用側に向かって意図したターゲットに向かって移行します。

ほとんどのセキュリティツールは南北の境界に展開され、データセンターやクラウドへのマルウェアの侵入を防ぎますが、ランサムウェアは、東西の横方向の伝播を大規模に制御することが、まだほとんど未解決のままの問題であるという事実を利用しています。

南北境界に導入された最高のセキュリティツールの大部分は、避けられない侵害と、信頼できるネットワーク内でのその後の東西の横方向の伝播に対する保護をほとんど提供しません。

ゼロトラストセグメンテーションがランサムウェアの拡散を阻止

ゼロトラストでは、コンピューティング環境内のあらゆる規模のすべてのワークロードのマイクロセグメンテーション( ゼロトラストセグメンテーションとも呼ばれます)を有効にし、それらすべての間に最小権限アクセスモデルを実装する必要があります。

このマイクロセグメンテーションソリューションは、すべてのワークロードを一意の信頼境界として定義し、基盤となるネットワークやクラウドファブリック内のアプライアンスに依存せずに定義する必要があります。ワークロードのセグメンテーション は、他のすべての形式のセグメンテーションにできるだけ依存しない必要があります。

すべてのワークロード間の 最小権限アクセスモデル は、すべてのワークロード間のすべてのポートがデフォルトで拒否されることを意味します。ワークロードが相互に横方向に SSH または RDP を行う正当な必要性はほとんどありません。これらのポートは管理者がこれらのワークロードをリモートで管理するために使用するため、最新のすべてのオペレーティングシステムでは有効になっていますが、アクセスはほとんどの場合、特定の集中管理ホストに制限されています。これらのポートは、デフォルトですべての場所でシャットオフする必要があり、その後、許可された管理ホストのみへのアクセスを許可するように例外を定義できます。

すべてのワークロードを他のすべてのワークロードからセグメント化し、それらの間のすべてのポートを横方向にシャットダウンするということは、 ランサムウェア が IT ネットワークを介して横方向に伝播し、そこからネットワークの産業運用側に伝播する方法がないことを意味します。

ランサムウェアは、その強さがあっても境界セキュリティソリューションに侵入する可能性があり、一度侵害されると、ランサムウェアは最初に見つけたワークロードを乗っ取ります。ゼロトラストセグメンテーションは、ワークロード間ですべてのポートを無効にし、ランサムウェアがネットワークの奥深くまで移動するためのベクトルを利用できないように、最初にハイジャックされたワークロードを分離できます。

ゼロトラストセグメンテーションは、侵害がITインフラストラクチャ全体に広がるのを防ぎます。そして、コアアーキテクチャの奥深くにある産業用システムを保護します。

ゼロトラストセグメンテーションにより、産業インフラシステムを可視化

ゼロトラストセグメンテーションの2番目の側面は、ネットワークの産業側とIT側の両方に展開されたすべてのシステム間のトラフィックを可視化することです。たとえば、センサーと制御システム間のトラフィックの依存関係と動作は、オンプレミスとクラウドの両方のITネットワーク内のシステム間のトラフィックと同じくらい明確に見える必要があります。

イルミオは、両方の完全な可視性を可能にします。

マネージド ワークロード - 仮想適用ノード (VEN) をデプロイしてアプリケーション テレメトリを直接収集できるワークロード

アンマネージドワークロード - 産業用コアネットワーク内に展開されたコントローラ、センサ、IoTカメラなどのIoTデバイスなど、VENを展開できないデバイス

Illumioは、Netflow、sFlow、IPFIX、Flowlinkなどのプロトコルを介してネットワークスイッチやロードバランサーからテレメトリを収集することで、IoTデバイスからの可視性を可能にし、これらすべてのシステム間のすべてのトラフィックを、IllumioのPCE(ポリシー制御エンジン)のすべての管理対象ワークロードとともに表示します。

ポリシーは、管理対象ワークロードと非管理対象ワークロードの両方に対して同じ方法で PCE で定義され、ネットワーク アドレスではなくラベルを使用してワークロードを識別します。管理対象外のワークロードのポリシーはスイッチにプッシュダウンされ、スイッチがスイッチ ポート間および iRules にポリシーを適用するために使用できるアクセス コントロール リスト(ACL)に変換されます。ロードバランサは、この情報を使用してそこでポリシーを適用できます。

イルミオは、デジタルデバイス間の死角をエンドツーエンドで取り除きます。これにより、完全なゼロトラスト視覚化とラベルベースのポリシーモデルを産業用制御システムとITファブリック全体に実装できます。

ゼロトラストセグメンテーションでIIoTシステムのランサムウェア保護を実現

イルミオゼロトラストセグメンテーションは、すべての産業環境を保護し、ワークロード間のすべての横方向の伝播を制御し、ランサムウェアの伝播に必要な攻撃ベクトルを排除します。

規模の大小を問わず、ランサムウェアの影響を受けない産業環境はありません。OTシステムや、産業用アーキテクチャ内に導入されたIIoTシステムは、次の標的を探している次の日和見的なランサムウェアギャングにさらされたままにしておく必要はありません。

イルミオは、重要な産業用IIoT環境全体をランサムウェア攻撃の影響から保護し、ランサムウェアの最新の被害者として明日の新聞から貴社を遠ざけることができます。

ゼロトラストセグメンテーションによるランサムウェアの封じ込めについて詳しく知りたいですか?ランサムウェア封じ込めのページにアクセスしてください。