積極的な脅威ハンティングでオペレーションを保護

積極的な脅威ハンティングでオペレーションを保護

皆さんは、しっかりとした産業用セキュリティを実施していることでしょう。また、適切なサイバーハイジーンによって感染を防ぎ、不正侵入検知システムを実装して将来起こり得る事故や損失につながりかねないトラブル(インシデント)に備えていることでしょう。しかし、複雑なサイバーセキュリティの世界では、それで満足してはいけません。

あなたのあらゆる取組みとは裏腹に、潜在する高度な持続的な攻撃の可能性は払拭できません。これらの攻撃は防御の隙を見つけてデータを抽出し、オペレーションを混乱させようと密かにゆっくりと活動しています。不正侵入検知では、この活動を捉えることはできません。

脅威ハンティングの準備はできていますか

脅威ハンティングは、あなたのサイバーセキュリティプログラムにおける以下の論理的なステップの1つです。自動的なセキュリティシステムでは検出されていない、外部からの脅威や不正侵入がネットワークでないかを調べるというのが最も単純な方法です。これは非常にスケーラブルな方法であり、オートメーションの度合い、またはオートメーションがまったくなくても実施できます。

これによって、あなたの会社独自のレシピや情報をより強固に保護できるだけでなく、稼働効率向上の大きな可能性も生まれます。この方法はIT空間にとって目新しいものではありませんが、OT環境でも大いに取り入れられています。そして、この方法が最も効果があるのが食品飲料生産です。

脅威ハンティングは積極的なものであり、すでに使用されているスキャンツール、トラップ、将来的な視点を備えたインフラなどとは一線を画しています。脅威ハンティングでは、あなたの会社のネットワークに何カ月も、もしかしたら何年も潜んでいた悪意のある活動や不正侵入を暴くために、このテクノロジの時代において人の知力を使います。さらに、この方法によって、今までの方法では発見できないネットワーク活動と生産の非効率性の相関関係を明らかにすることができます。

予想外の方法で大惨事をもたらす不正侵入

あなたの工場のミキサに異常が生じていることに気づいていますか? HMIがロックダウンし、ラベルプリンタが点滅してエラーを知らせていますか?

オペレータが自分の無防備な電話をネットワーク上の空いているUSBポートで充電したことでさえも、事の発端になり得ます。数か月後、機械的にはどこにも異常がないにも関わらず、あなたの工場のオーブンが誤作動し始め、設定されたパラメータを維持できなくなりました。

ネットワークログを注意深くレビューすると、オーブンが誤作動するたびに、ビーコンがIPアドレスの範囲外に送信されていることが分かりました。この相関関係はログをレビューしなければ検出できないものです。つまり、人的要因が重要であり、脅威ハンティングが非常に効果的なのです。

私は以前、特定のシフトでネットワーク速度の低下が繰返し発生した工場を訪れました。積極的な脅威ハンティングによって、1人の従業員のワークステーションが未検出のBitTorrentを実行していることが分かりました。これによって、従業員がシフト開始時にログインするたびに、ネットワーク全体が影響を受けていました。

スマートマニュファクチャリングで食品飲料業界におけるサイバーセキュリティリスクの管理について学習しましょう。eBook(PDF)をダウンロードして詳細をご覧ください。

なぜ不正侵入検知システムは隠れたマルウェアをすべて検出できないのか?

脅威ハンティングによって見つかるものの多くは一見すると無害であり、コンテキストや相関関係がなければ、検知システムは通常通り通過させてしまいます。マルウェアの一部は不明なIPアドレスと通信することがありますが、意図されたインターネットトラフィックと同じように見えます。

セキュリティソフトウェアがスキャンを行なわない周辺機器内でSYNスキャンが実行されている可能性もあります。これらのマルウェアは息をひそめ、ネットワークの穴をゆっくりと探しているのです。拒否されることなく、外部との接続も確立していないため、検出されないままとなっているのです。

脅威ハンティングを行なうと、インターネットに送信されるべきではないプロセスが外部に向けて接続されていることが見つかるかもしれません。または、通信が行なわれた際には使用されていなかったシステムが、感染源として発見されるかもしれません。

重要なことは、あなたの会社がサイバーセキュリティシステムを実装したときには、これらのAPT攻撃グループがすでに存在していたであろうということです。これは、不正侵入検知および防御プログラムが、既知の正常な状態に基づいているためです。これらのプログラムが実装された時点ですでにトラフィックが遅かったりマルウェアが存在していたりすれば、これが標準の状態と見なされてしまいます。広く知られているセキュリティ侵害の多くはこの類です。セキュリティ侵害が発生してから数年後に初めてこれが検出され、被害範囲が明らかになるのです。

今すぐ始めましょう

幸いなことに、あなたは脅威ハンティングを始めるのに必要な準備がすでにできています。脅威ハンティングは適切なパートナがいれば簡単に実施でき、1回だけ行なうことも、継続的なセキュリティプログラムの一部として実施することもできます。あなたの会社のHMIやサーバは、収集してオフラインで分析できるアクティビティログをすでに作成しているため、ネットワークや生産を停止するストレスはありません。

脆弱性の検出をエンドポイント保護やウイルススキャンだけに依存することはやめましょう。さあ、あなたの工場フロアに影響が及ぶ前に、不正侵入をハンティングしに行きましょう。

Pascal Ackerman
投稿日 2018-11-07 投稿者 Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation
  • お問い合わせ: