CyberX を含む新しい Azure Defender for IoT の内部に入る

2020 年、デジタル トランスフォーメーションとインダストリー 4.0に向けた動きは、製造業やその他の重要なインフラストラクチャ セクターが運用効率の向上とコスト削減のプレッシャーにさらされていることから、新たな緊急性を帯びました。しかし、オペレーショナル テクノロジー (OT) のサイバーセキュリティ モデルは、パンデミックの前にすでに欠けていることが示されていました。業界全体にわたる一連の大規模なサイバー攻撃は、IT/OT の融合とスマート マニュファクチャリングやスマート ビルディングなどのイニシアチブの時代において、OT サイバーセキュリティの従来の「エアギャップ」モデルが時代遅れになっているという警鐘を鳴らしました。また、IoT と産業用モノのインターネット (IIoT) は拡大する一方です。アナリストは、数年以内に世界中で何十億もの IoT デバイスが接続され、攻撃対象領域が大幅に増加すると予測しています。

当然のことながら、企業の取締役会と経営陣は、安全性と企業責任のリスクの増大、および IoT/OT 侵害によって引き起こされる壊滅的なダウンタイムの経済的影響について懸念しています。 2020 年の Verizon DBIR によると、製造業者は他のセクターよりもサイバースパイ攻撃を受ける可能性が 8 倍高いため、独自の製法や製品設計などの機密 IP を失うことにも懸念を抱いています。 1

私の最近の Microsoft Ignite プレゼンテーション、CyberX を含む IoT 向け Azure Defenderでは、Microsoft のプリンシパル PM マネージャーである Nir Krumer と一緒に、 IoT 向けの新しい Azure Defender がCyberX のエージェントレス テクノロジと IoT/OT 対応の行動分析をどのように組み込んでいるかを調べました。 IT チームに、産業用および重要なインフラストラクチャ ネットワークへの継続的な IoT/OT 可視性を提供することで、これらのリスクを軽減します。 プレゼンテーション全体をご覧になり、以下のいくつかのハイライトを確認してください。

IT 対 OT

情報技術 (IT) セキュリティとは異なり、OT セキュリティは、コンテナーや SQL データベースなどのデジタル資産ではなく、物理的なプロセスと資産を保護することに重点を置いています。物理的資産には、タービン、混合タンク、スマート ビルディングやデータ センターの HVAC システム、工場フロアの機械などのデバイスが含まれます。 OT では、最優先事項は常に安全性と可用性です。可用性とは、生産施設が回復力を持ち、稼働し続けなければならないことを意味します。なぜなら、そこから収益が得られるからです。ただし、IT セキュリティとの最大の違いは、今日のほとんどの最高情報セキュリティ責任者 (CISO) と SOC チームは、IT のように複数層の制御とテレメトリを持っていないため、OT リスクをほとんどまたはまったく把握していないことです。環境。また、OT リスクはビジネス リスクに直接変換されます。

最近の歴史が示すように、OT への攻撃はすでに進行中です。中東の石油化学施設の安全制御装置に対する TRITON 攻撃は、施設に重大な構造的損害を与え、人命を失う可能性があることを意図していました。攻撃者は最初に IT ネットワークに足場を築きましたが、その後、LOTL (Living Off The Land) 戦術を使用して OT ネットワークへのリモート アクセスを取得し、そこに専用のマルウェアを展開しました。この攻撃が示したように、IT ネットワークと OT ネットワーク間の接続が増加することで、攻撃者は管理されていない OT デバイスを侵害する新しい方法を手に入れることができます。管理されていない OT デバイスは、これまでエージェントをサポートしておらず、通常は IT チームには見えません。

TRITON 攻撃における Purdue Model トラバーサル

図 1: TRITON 攻撃における Purdue Model トラバーサル。

Azure Defender for IoT の仕組み

Azure Defender for IoT は、Microsoft が最近買収したCyberXのエージェントレス テクノロジを組み込むことで、IT および OT チームが重大な脆弱性を特定し、IoT/OT 対応の行動分析と機械学習を使用して脅威を検出できるようにします。これらはすべて、可用性やパフォーマンスに影響を与えることなく行われます。

Ignite のプレゼンテーションでは、アンマネージド IoT/OT デバイス向けの製品のエージェントレス セキュリティによって提供される 5 つの主要な機能を分類しました。

  • 資産の検出:所有していることがわからないものは保護できないため、Azure Defender は、ネットワーク内にある IoT/OT デバイスと、それらがどのように相互に通信しているかを通知します。また、 ゼロ トラスト ポリシーを実装している場合は、これらのデバイスがどのように接続されているかを知る必要があります。これにより、デバイスを独自のネットワークにセグメント化し、デバイスへのきめ細かなアクセスを管理できるようになります。
  • リスクと脆弱性の管理: Azure Defender は、承認されていないデバイス、パッチが適用されていないシステム、承認されていないインターネット接続、未使用の開いているポートを持つデバイスなどの脆弱性を特定するのに役立ちます。これにより、貴重な資産の IoT/OT リスクを軽減するための優先的なアプローチを取ることができます。これらは、セキュリティ インシデント、収益の損失、機密 IP の盗難など、組織に重大な影響を与える可能性がある重要なデバイスです。
  • 継続的な IoT 脅威の監視と対応: Azure Defender は、レイヤー 7 ディープ パケット インスペクション (DPI) を使用して OT ネットワークを継続的に監視し、異常な動作や不正な動作があった場合はすぐに通知し、運用障害や障害が発生する前に攻撃を軽減できるようにします。安全事件。すべての主要な産業用プロトコル (Modbus、DNP3、Siemens S7、Ethernet/IP CIP、GE-SRTP、および横河電機を含む) の深い理解と、特許取得済みの IoT/OT 対応行動分析を組み込んで、脅威をより迅速かつ正確に検出します。一般的なベースライン アルゴリズムよりもはるかに短い学習期間。
  • 運用効率:機器の誤動作や設定ミスがある場合、何が問題なのかを迅速に突き止める必要があります。ネットワークを絶えずスキャンしている不適切な構成のエンジニアリング ワークステーションなど、ネットワークで何が起こっているかを詳細に可視化することで、IoT/OT エンジニアがこれらの問題の根本原因を迅速に特定して対処できるように支援できます。
  • 統合された IT/OT セキュリティの監視とガバナンス: Azure Defender for IoT は Azure Sentinel と緊密に統合されており、Splunk、IBM QRadar、ServiceNow などのサードパーティ ツールもサポートしています。これにより、IT チームと OT チーム間のコミュニケーションを遅らせるサイロを解消し、問題を迅速に解決するための共通言語を作成できます。また、IT と OT の境界をまたぐ攻撃 (TRITON など) に迅速に対処し、セキュリティ オペレーション センター (SOC) で何年にもわたって構築してきたワークフローとトレーニングを活用できるため、それらを IoT および OT セキュリティに適用できます。同じように。

導入アーキテクチャ

では、このシステムはどのように展開されるのでしょうか? Azure Defender for IoT は、ネットワーク センサーを使用して、スイッチ ポート アナライザー (SPAN) を通じてネットワーク トラフィックのコピーをキャプチャします。パッシブ モニタリングまたはネットワーク トラフィック分析 (NTA) と呼ばれる手法を使用して、IoT/OT ネットワークのパフォーマンスや信頼性に影響を与えることなく、資産、脆弱性、および脅威を特定します。ソリューションは、Azure に接続された 100% オンプレミス、または 2 つのハイブリッド (たとえば、アラートを Azure Sentinel に転送することによって) にすることができます。

Azure Defender for IoT は、オンプレミスのネットワーク センサーを使用して、すべての OT トラフィックをキャプチャして分析します。このソリューションは、Azure に接続されたオンプレミス、または Azure Sentinel のように SIEM がクラウドベースであるハイブリッド環境にデプロイできます。

図 2: Azure Defender for IoT はオンプレミスのネットワーク センサーを使用して、すべての IoT/OT トラフィックをキャプチャして分析します。このソリューションは、完全にオンプレミスにデプロイするか、Azure に接続するか、Azure Sentinel のように SIEM がクラウドベースであるハイブリッド環境にデプロイできます。

Azure Sentinel の統合

IT/OT の境界を越える攻撃を迅速に検出して対応できるようにするために、Azure Defender は、Microsoft のクラウドネイティブ SIEM/SOAR プラットフォームであるAzure Sentinelと緊密に統合されています。 SaaS ベースのソリューションである Azure Sentinel は、複雑さの軽減、組み込みのスケーラビリティ、総所有コスト (TCO) の削減、および継続的な脅威インテリジェンスとソフトウェア更新を提供します。また、組み込みの IoT/OT セキュリティ機能も提供します。

  • Azure Defender for IoT との緊密な統合: Azure Sentinel は、Azure Defender によって検出された特殊な OT デバイスと動作に関する豊富なコンテキスト情報を提供します。これにより、SOC チームは、IT と OT の境界を横切って移動する最新のキル チェーンを関連付けて検出できます。
  • IoT/OT 固有の SOAR プレイブック:サンプル プレイブックを使用すると、自動化されたアクションで IoT/OT の脅威を迅速に修復できます。
  • IoT/OT 固有の脅威インテリジェンス: Azure Sentinel には、毎日収集される何兆ものシグナルに加えて、セクション 52 によって提供される IoT/OT 固有の脅威インテリジェンスが組み込まれています。 .

Azure Defender for IoT の詳細については、 Microsoft Ignite プレゼンテーションをご覧ください。これには、Azure Sentinel との緊密な統合を使用して TRITON のような多段階の IT/OT 攻撃を調査する方法のライブ デモが含まれます。

Azure Defender for IoT の Web サイトにアクセスして詳細を確認し、パブリック プレビュー中に無料でお試しください。また、マイクロソフトのセキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。 セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。

 


12020 Verizon DBIR 、36 ページと 59 ページ。

参照: https://www.microsoft.com/en-us/security/blog/2020/11/25/go-inside-the-new-azure-defender-for-iot-include-cyberx/

コメント

タイトルとURLをコピーしました