.png)
イルミオがランサムウェアやその他のセキュリティ攻撃からOTネットワークを保護するのにどのように役立つか
オペレーショナルテクノロジー(OT)ネットワークは、センサー、モーター、分散制御システム(DCS)、プログラマブルロジックコントローラー(PLC)、リモートターミナルユニット(RTU)、監視制御およびデータ収集(SCADA)システム、ヒストリアンアプリケーションとデータベース、エンジニアリングキオスク、その他のタイプのサーバーなどの特殊用途デバイスを接続して、工場、発電所、ユーティリティグリッド、鉱山施設、医療施設、食品メーカー、および必要なその他の現場での運用を推進します信頼性の高いリアルタイムの自動化。
これらのデバイスは、ミッションクリティカルなサービスを提供します。そのため、サイバー犯罪者やその他の攻撃者にとって貴重な標的となります。
もちろん、脅威はどこからでも来る可能性があります:フィッシング攻撃、ブルートフォース攻撃、悪意のある内部関係者など、リストは続きます。また、特定のモデルのOTデバイスを攻撃するために特別に設計されたマルウェアによって攻撃されたOTデバイスから発生する可能性もあります。
OT デバイスは、IT ネットワークから「エアギャップ」されたネットワーク上で実行される場合があります。つまり、IT ネットワークへのセキュリティ攻撃が OT 運用に到達するのを防ぐために、IT ネットワークに物理的に接続せずに動作します。しかし、単一の施設内であっても、一部のOTデバイスやネットワークはエアギャップされている可能性があり、他のOTデバイスやネットワークはエアギャップされていない可能性があります。また、プラント管理者でさえ、どのネットワークがエアギャップで、どのネットワークがエアギャップされていないかを必ずしも把握できるわけではありません。
ますます、企業はデバイスをまったくエアギャップしない理由を見つけています。たとえば、食品メーカーは、Web アプリケーションと消費者の選択が工場現場での特定の原料の製造を直接推進できるようにしたい場合があります。このようなビジネスユースケースのため、サイバー攻撃に対する防御としてのエアギャップの効果は日々低下しています。
物理的なエアギャップがない場合、OT 環境は IT デバイスが実行されているネットワークに接続できます。この接続にはリスクが伴います。突然、インターネットを介した攻撃がOTデバイスに到達する可能性があります。
OT 環境でワークロードを分類する方法論の 1 つは、OT ネットワークと IT ネットワーク全体でワークロードを分離および分散するための信頼できるモデルである Purdue リファレンス モデルに基づいています。米国政府の サイバーセキュリティ・インフラ・セキュリティ庁(CISA) は、OT環境を持つ企業に対し、パデュー・モデルのさまざまなレベルでの論理的分類に基づいてネットワークをセグメント化することを推奨しています。
しかし、この種のセグメンテーションは簡単な作業ではありません。OT ネットワークはフラット ネットワークであり、すべてのデバイスが同じコントロール プレーンとアドレス空間で実行されます。それらをセグメント化するには、収益を生み出す環境でサービスやデバイスをシャットダウンし、セグメンテーションを実装するためにネットワークを再構成する必要があります。これはコストと時間のかかる作業です。多くの企業では、ビジネスクリティカルなOTデバイスをシャットダウンするというアイデアは、ITチームが収益を生み出す活動を中断することなくOTサービスをシャットダウンする機会を待っている間、完全に拒否されるか、延々と延期されています。
IT デバイスと OT デバイスを何らかの分離するために、一部の施設では、OT デバイス用に専用の VLAN (仮想 LAN) を構成しています。しかし、このアプローチには欠点もあります。まず、VLANを大規模に管理することは困難です。第二に、デバイスをVLANに配置しても、攻撃者が同じVLAN上のデバイスからデバイスへ移動し、VLAN構成によって変更されないポートとプロトコルを利用することは抑制されません。結論:攻撃者がデバイスにアクセスした場合でも、VLAN制御によって他のターゲットに到達するのを防ぐことはできません。
ビジネスリーダーとITリーダーが、攻撃者がOTデバイスとITデバイス間を自由に移動するのを防ぎたい場合は、次の3つの重要なことが必要です。
- 可視: リーダーは、どの通信パスが開いているかを発見し、攻撃者による ラテラルムーブメント の道を創出できるように、ITおよびOTデバイスのアクティビティと構成の詳細を可視化する必要があります。
- ポリシー定義: リーダーは、ネットワークをセグメント化するための構成ポリシーを定義し、ITまたはOTを問わず、分離する必要があるすべてのデバイスを分離するためのマイクロセグメンテーションポリシーエンジンを必要としています。これらのセグメンテーションポリシーは、ファイアウォールルールよりも高いレベルで動作します。これにより、リーダーは、ポリシーを適用する特定の製品の特定のファイアウォールルールにとらわれることなく、ベストプラクティスを定義できます。
- ポリシーの適用: また、リーダーは、ビジネスクリティカルなITおよびOTネットワークをシャットダウンして、ITおよびOTデバイスを再構成して再起動することなく、これらのポリシーを適用する必要があります。さらに、期待どおりに動作している OT デバイスを交換することなく、これらのポリシーを適用する方法が必要です。また、IT デバイスや OT デバイスのパフォーマンスを低下させる可能性のある特別な目的のソフトウェア アプリケーションをインストールする必要もありません。
OTデバイスとITデバイスの両方をマルウェアやその他の種類のサイバー攻撃から保護するために、ビジネスリーダーとITリーダーは、ネットワークの可視性を向上させ、ネットワークをマイクロセグメント化する高速かつ簡単な方法を必要とし、あらゆる種類のデバイスに対する攻撃がネットワーク全体に広がるのを防ぎます。
この可視性と制御の必要性は、ますます多くの企業がITとOTの世界を統合し、エアギャップのような古いデバイスを時代遅れにする正当なビジネス上の理由を見つけているため、より緊急になっています。
ITネットワークとOTネットワークが融合するとき
なぜこれらの異なる種類のネットワークやデバイスを接続するのでしょうか?顧客やパートナーへのアジャイルな対応を必要とする動きの速い市場では、ビジネスシステムを日常業務を強化するOTネットワークに接続することは理にかなっています。
販売、マーケティング、フルフィルメントのプロセスがITネットワークによって管理されている場合、これらのプロセスは、OTネットワークによって制御される製造およびロジスティクスシステムからの最新情報の恩恵を受けることができます。また、ビジネスプロセスが需要を促進する場合は、上で引用した食品製造の例のように、注文をOTネットワークに直接送信して完了させることができます。
さらに、IT ネットワーク経由でのみアクセスされるクラウド アプリケーションとクラウド ストレージを活用することで、効率とコスト削減という利点があります。さらに、リモートワークフォースが一般的になるにつれて、一部の企業は、リモート従業員がITネットワークとクラウドアプリケーションを使用してOTデバイスを監視、制御、保護できるようにしたいと考えています。
NSA(国家安全保障局)とCISAが2020年に発行した セキュリティアラート で指摘したように、「企業がリモート操作と監視を強化し、分散化された労働力に対応し、計測と制御、OT資産管理/メンテナンスなどの主要なスキル分野のアウトソーシングを拡大するにつれて、インターネットにアクセスできるOT資産は、米国の16のCIセクターでより普及しています。 場合によっては、プロセスの運用とメンテナンスも行います。」
IT/OTコンバージェンスによる新たなリスク
これらのネットワークを接続することは、ビジネスには役立ちますが、セキュリティにはリスクが伴います。NSAとCISAは、次のようなサイバー犯罪者の戦術を観察しています。
- OTネットワークに到達するためにITネットワークにアクセスするためのスピアフィッシング。
- コモディティ ランサムウェアを展開して、両方のネットワーク上のデータを暗号化します。
- 既知のポートとプロトコルを使用して、変更された制御ロジックを OT デバイスにダウンロードします。
残念ながら、攻撃者は OT ネットワークやデバイスに関する有用な情報を簡単に発見できます。また、 Core Impact などの一般的なエクスプロイトフレームワークを使用してネットワークやデバイスを調査し、既知の脆弱性に対する侵入を実行することができます。
2016年のウクライナ送電網への攻撃など、場合によっては、攻撃者はSCADAシステムを制御するために明示的に設計されたマルウェアを使用することさえあります。セキュリティ研究者は、その攻撃でカスタマイズされたマルウェアは、他のターゲットとの再利用を目的としているようだと指摘しました。
イルミオがITネットワークとOTネットワークの両方の保護にどのように役立つか
イルミオは、ITおよびOTネットワークでセキュリティチームが欠けていた可視性を提供し、ランサムウェアやその他のセキュリティ攻撃からネットワークを保護するのに役立ちます。特別なアプライアンスや時間のかかる再構成プロジェクトを必要とせずに、イルミオはアクティブなトラフィックパターンを迅速に発見して報告し、以前は見落とされがちだった接続を明らかにします。この可視性により、OT 環境は「ブラックボックス」から、理解、監視、保護できるネットワークへと変わります。
これらのネットワークを保護するために、イルミオはマイクロセグメンテーションを適用し、デバイスにすでに組み込まれているファイアウォールを使用して、ネットワーク間のラテラルムーブメントの可能性を最小限に抑えるトラフィックポリシーを適用します。ラテラルムーブメントとは、マルウェアや権限のないユーザーがネットワーク上で移行し、価値の高い資産を発見したり、破壊的な攻撃に備えてランサムウェアなどのマルウェアをインストールしたりすることです。IT および OT デバイス上の不要なポートとアドレスを閉じることで、セキュリティ チームはラテラル ムーブメントの発生を防ぐことができます。単一のデバイスまたはデバイスの小さなグループが侵害されたとしても、攻撃者は立ち往生し、ネットワーク上をさらに移動できなくなります。
セキュリティチームがこれらのファイアウォールを手動で設定しようとすると、時間のかかる作業になる可能性があります。さらに、ビジネスクリティカルなOTネットワークをシャットダウンする必要があり、ネットワークのシャットダウンと再起動のプロセスの一環としてIPアドレスとネットワークルーティング構成を変更する必要がある場合、それらのネットワークをシャットダウンすると、さらに多くの作業が発生する可能性があります。
イルミオは、セキュリティチームとITリーダーがOTデバイスとITデバイスの両方のネットワーク通信のポリシーを定義するために使用できるツールを提供することで、この作業を合理化および自動化します。ポリシーを定義すると、デバイスにすばやく配布して適用できます。大規模で複雑なエンタープライズネットワークでも、1日のうちに監視がはるかに容易になり、セキュリティが大幅に向上します。また、この作業は、ネットワークをシャットダウンしたり、ネットワークファイアウォールやルーティングテーブルを再構成したりすることなく実行できます。
パデューモデルに関しては、イルミオはOT環境のレベル3、4、DMZ以上のマイクロセグメンテーションとセキュリティを提供します。イルミオは、これらの各レベル内での横方向の動きを防ぎます。また、攻撃者がこれらのレベルを OT 環境に移動するのを防ぎます。
イルミオは、OT環境を運営する企業を次の方法で支援します。
ITおよびOTネットワークを即座に可視化
イルミオを使用すると、デバイス間でどのように通信しているかを簡単に発見できます。どのユーザーがどのアプリケーションやサービスにアクセスしていますか?どのポートが開いていますか?どのようなプロトコルが使用されていますか?これらの詳細を収集することは、潜在的な横方向の移動によるリスクを理解し、その移動の発生を抑制するためのポリシーを策定するための最初のステップです。
ITおよびOTネットワークのマイクロセグメンテーション
イルミオは、ネットワークに対するリスクベースの可視性を提供するため、企業はビジネスに必要な正当なトラフィックのみがネットワークを通過できるようにするポリシーを定義、作成、配布、および適用できます。Illumioは、セキュリティチームがホストベースのファイアウォールを使用してランサムウェアが依存するポートとプロトコルを簡単にブロックできるようにすることで、 ランサムウェアの拡散を防ぐのに役立ちます。さらに、イルミオは、感染したデバイスをネットワークの残りの部分から迅速にセグメント化することで、ランサムウェア感染を封じ込めることができます。自動封じ込めにより、企業は影響を受けるデバイスが遠隔地にある場合でもランサムウェアの拡散を防ぐことができます。
OT ネットワークのマイクロセグメンテーション
イルミオは、OTネットワークに対してこれと同じリスクベースの可視性とセグメンテーションを提供します。たとえば、OTチームはIllumioを使用して、パデューモデルで推奨されているようにOT VLANを分割し、ITとOTネットワーク層の間に論理DMZを確立し、特定のOTデバイスが他の特定の信頼できるOTデバイスとのみ通信できるようにします。これにより、VLAN のみで使用できる、より詳細なセグメンテーションが提供されます。また、マイクロセグメンテーションポリシーは、イルミオを通じて利用できる継続的に更新される脅威インテリジェンスと脆弱性評価を活用できます。
イルミオがOTデバイスを標的とする新しいタイプの脅威を検出した場合、企業はポリシーを調整し、デバイスを迅速かつ簡単に更新して、そのようなタイプの攻撃がネットワークに到達するのを防ぐことができます。さらに、攻撃が検出されたときに自動的に封じ込めるイルミオの機能により、組織は技術者をリモートサイトに派遣して影響を受けるデバイスを手動で切断する手間が省けます。ランサムウェアが拡散するのに十分な時間を与える「トラックロール」対応の代わりに、イルミオの自動封じ込めにより、数分以内に攻撃を迅速に「ボックスイン」できるため、ランサムウェアやその他の種類のマルウェアによる被害を最小限に抑え、OTデバイスの正常な動作を維持します。
ITネットワークとOTネットワーク間のブリッジを保護
イルミオは、ITネットワークを保護することで、サイバー攻撃がITネットワークを使用してOTネットワークに到達するのを防ぎます。イルミオは、ITネットワークを横断してOTターゲットを見つけるように設計された攻撃を阻止します。イルミオは、OTネットワークからの不審なトラフィックがITデバイスに到達するのを防ぐこともできます。
詳細については:
.webp)
