サイバーセキュリティの脅威は常に進化しており、今日、エンタープライズ環境で使用される IoT デバイスや、産業システムや重要なインフラストラクチャ (ICS/SCADA など) で使用される運用技術 (OT) デバイスを特に標的とする高度な攻撃の新しい波が見られます。セキュリティ担当者の 60% が、IoT および OT のセキュリティは組織で最も安全でない側面の 1 つだと考えており、IoT および OT デバイスを保護するために特別に設計されたソリューションを展開している組織は 50% 未満であるため、これは驚くべきことではありません。お客様は、これらのタイプのデバイスが多くの場合、パッチが適用されておらず、構成が不適切であり、監視されていないため、攻撃者にとって理想的なターゲットになっていることを認識しています。
これらのリスクに対処するために、 Microsoft Defender for IoT (以前の Azure Defender for IoT) にエージェントレス監視機能を追加して、IT ネットワークに接続されたエンタープライズ IoT デバイス [ボイス オーバー インターネット プロトコル (VoIP)、プリンター、スマート デバイスなど] を保護することを発表します。組織は、すべての IoT および OT インフラストラクチャを保護できる単一の統合ソリューションを活用できます。これらの新機能のパブリック プレビューへのアクセスは、2021 年 11 月 30 日に利用可能になります。
脅威とお客様の課題
これまで、多くの組織にとって IoT および OT デバイスへの攻撃は架空の脅威のように思われていましたが、近年、組織はそうではないことを学びました。カメラや VoIP デバイスへの攻撃、スマート ビルディング オートメーション1 、IoT サービスを提供するサービス プロバイダー2 、そしてランサムウェア攻撃 (主要なガス パイプライン3や世界的な食品加工業者をシャットダウンする攻撃など) が見られました。これらはすべて、IoT および OT デバイスを保護するという課題を浮き彫りにしています。
攻撃者が企業の IoT デバイスを侵害して利用しようとする方法は数多くあります。それらは、いくつかの例を挙げると、横方向の移動、または回避のためのエントリ ポイントとして使用できます。次の図は、2 つの IoT デバイスが関与するサイバー キル チェーンを示しています。 1 つはエントリ ポイントとして使用され、もう 1 つは横方向の移動に使用され、必然的に機密情報の流出につながります。
図 1: 攻撃者はインターネットをスキャンして、インターネットに接続された脆弱な IoT デバイスを探し、それらをエントリ ポイントとして使用します。次に、彼らは目的を達成するために偵察と横移動を行います。
ほとんどの組織は、IoT と OT のセキュリティが組織の最も安全でない側面であると認識していますが、デジタル トランスフォーメーションへの需要と競争力の維持のために、デバイスを高速かつほとんどためらわずに展開し続けています。このため、最高情報セキュリティ責任者は、今日慣れ親しんでいるよりも何倍も大きな攻撃対象領域に責任を負うことになり、その新しい対象領域の大部分は、管理されていない IoT および OT デバイスになるでしょう。
IoT と OT のセキュリティに関して言えば、組織は数多くの課題に直面しています。主な課題には次のようなものがあります。
- すべての IoT および OT 資産インベントリに対する完全な可視性が欠けています。
- 詳細な IoT および OT 脆弱性管理機能が不足しています。
- IoT および OT 固有の攻撃に対する成熟した検出の欠如。
- 統合された SIEM と拡張された検出および応答ソリューションがもたらす洞察と自動化の欠如。
これらの脅威と課題のため、セキュリティとリスクのリーダーは、IoT とサイバーフィジカル システムを今後 3 ~ 5 年間の最大の懸念事項としてランク付けしました。 4
Microsoft Defender for IoT は、Microsoft SIEM および XDR オファリングの一部です。
IoT は、包括的な脅威保護戦略におけるセキュリティ入力の 1 つに過ぎないことを認識しています。そのため、Microsoft Defender for IoT にエージェントレス エンタープライズ IoT サポートを追加し、それをより広範な SIEM および XDR オファーの一部にすることで、すべてのエンドポイント タイプ、アプリケーション、ID などに包括的なセキュリティを提供できるようになります。お客様は、以前は管理されたエンドポイントと OT デバイスでしか利用できなかった、同じタイプの脆弱性管理、脅威の検出、対応、およびエンタープライズ IoT デバイス向けのその他の機能を利用できるようになります。これにより、組織は、特に IoT および OT デバイスを利用して目標を達成する複雑な多段階攻撃に対処するために必要な可視性と洞察を得ることができます。 Microsoft 365 Defender 、 Microsoft Defender for Cloud 、およびMicrosoft Sentinelの詳細をご覧ください。
エンタープライズ IoT デバイスを保護する際に直面する最大の課題は、完全な IoT 資産インベントリを見つけて特定し、保護するのに十分な可視性を獲得することです。 Defender for IoT は、この課題を解決するために独自のアプローチを採用しており、Microsoft 365 Defender 環境内の IoT デバイスを数分で検出して保護するのに役立ちます。以下のパッシブなエージェントレス アーキテクチャのセクションで、独自のアプローチについて詳しく説明します。
![Azure の Defender for IoT コンソールは、IoT および OT デバイスのインベントリ、アラート、およびセキュリティの推奨事項へのアクセスをユーザーに提供します。 [Device Inventory] ビューは、デバイスのリストとそれらに関する上位の詳細をユーザーに提供します。デバイス インスタンスを選択すると、より詳細なデバイス プロパティが表示されます。](https://www.microsoft.com/en-us/security/blog/wp-content/uploads/2021/11/Device-inventory.jpg)
図 2: IT および IoT の完全なインベントリを、残りの IT デバイス (ワークステーション、サーバー、およびモバイル) とともに単一の統合ビューで表示します。
お客様が直面する 2 番目に大きな課題は、脆弱性の管理に関するものです。 Defender for IoT は、すべてのエンタープライズ IoT デバイスの評価を実行できます。これらの推奨事項は、Microsoft 365 コンソールに表示されます (たとえば、新しいバージョンの Bash for Linux に更新します)。
![Microsoft 365 Defender コンソールの [セキュリティに関する推奨事項] ビューには、エンタープライズ IoT デバイスの推奨事項が含まれています。 IoT デバイスのファームウェアをより安全なバージョンにアップグレードするなどの推奨事項は、一般的な例です。ビューには、各推奨事項に適用できるデバイスの数とリスク レベルが表示されます。](https://www.microsoft.com/en-us/security/blog/wp-content/uploads/2021/11/Picture2-Azure-IOT.png)
図 3: 脆弱性と構成ミスに優先順位を付け、統合されたワークフローを使用してデバイスをより安全な状態にします。
3 番目に大きな課題は、脅威の検出に関するものです。エンタープライズ IoT の脅威に対して最先端の有効性を確保するために、社内の IoT および OT セキュリティ研究チームであるセクション 52 に、可能な限り最高の検出機能を確保するように命じました。セクション 52 の作業により、最近、Defender for IoT は MITRE ATT&CK for ICS 評価の脅威の可視性カバレッジで第 1位にランク付けされ、主要な攻撃ステップの 100% とすべての敵対サブステップの 96% で悪意のあるアクティビティを正常に検出しました (検出の見逃しが最も少ない)。他のベンダー)。
Defender for IoT のお客様は、グローバルな Microsoft エコシステム (電子メール、エンドポイント、クラウド、Azure Active Directory、Microsoft 365 など) で毎日収集される何兆ものシグナルから得られる機械学習と脅威インテリジェンスから恩恵を受け、収集された IoT および OT 固有のインテリジェンスによって強化されますセクション 52 セキュリティ研究チームによるものです。セクション 52 は、幅広いマイクロソフト セキュリティ リサーチおよび脅威インテリジェンス チーム (Microsoft Threat Intelligence Center (MSTIC) および Microsoft Security Response Center (MSRC)) のドメイン エキスパートと緊密に連携して作業しているため、お客様はアラートの信号対雑音比を減らすことができます。相関関係のないアラートの無限のリストを提供するのではなく、完全なコンテキストでエンドツーエンドの攻撃をレンダリングする優先順位の高いインシデントを提供します。これにより、有効性の高いインシデント対応が実現します。
図 4: IT および IoT デバイスを含む優先順位付けされたインシデントをすべて 1 つのダッシュボードで表示して、混乱、煩雑さ、調査時間、およびアラート疲れを軽減します。
最後に、お客様が最後に共有したことの 1 つは、IT および OT ネットワーク コンバージェンス イニシアチブの約束を安全に満たすことを可能にするソリューションを見つけるのに苦労しているということです。 5ほとんどのツールは、IT と OT のネットワーク境界を越える多段階攻撃を関連付けてレンダリングできるユーザー エクスペリエンスをアナリストに提供するのが困難です。
Microsoft Defender for IoT は、より広範な Microsoft SIEM および XDR オファーの一部であるため、IT および OT ネットワーク境界を越える攻撃に対処するために必要な自動化および視覚化ツールをアナリストに提供できます。アナリストは、統合するために大規模な手作業による調査が必要な個別の切断された攻撃としてではなく、総合的にインシデント対応を実行できます。これらの効率の向上により、アナリストは攻撃を阻止し、環境を侵害前の状態にはるかに迅速に戻すことができます。
図 5: セクション 52 の脅威インテリジェンス (分析ルール、SOAR プレイブック、ダッシュボードなど) と組み合わせた詳細なコンテキスト テレメトリ (資産や接続の詳細など) は、アナリストが高効率のインシデント対応を実行するのに役立ちます。
パッシブなエージェントレス アーキテクチャ
Defender for IoT の主要な設計原則のいくつかは、非侵襲性と展開の容易さです。多くの場合、組織のインフラストラクチャ全体に広く展開されている既存のMicrosoft Defender for Endpointクライアントを使用することで、追加の展開や構成を必要とせずに、すぐにデバイスを検出できます。 IoT および OT デバイスの最も完全なビュー、特に Defender for Endpoint センサーが存在しないネットワーク セグメントの場合、Defender for IoT には、検出、行動分析に必要なすべてのネットワーク データを収集するために使用できる展開可能なネットワーク センサーが含まれています。分析、機械学習。
図 6: Defender for Endpoint クライアントをセンサーとして使用するハイブリッド センサー アプローチは、初日から顧客に幅広い可視性を提供します。ネットワーク センサーを展開するか、サードパーティ製のものを使用すると、完全な可視性が確保され、長期にわたって展開できます。
Microsoft Defender for IoT は、お客様がサード パーティのネットワーク データを統合して、複数のソースからの情報を充実させることができるオープン プラットフォームです。たとえば、 Corelight のオープン Network Detection and Response (NDR) プラットフォームとその Zeek ベースのネットワーク センサーを既に展開している組織は、それを Defender for IoT に接続して、Corelight から生のネットワーク データにアクセスできるようにすることができます。ここから、Defender for IoT は、行動分析と機械学習機能を適用して、デバイスを検出および分類し、攻撃を保護、検出、および対応します。
Corelight とのパートナーシップと、Microsoft Defender for IoT 内での統合の詳細をご覧ください。
今後のパブリック プレビューに備えましょう。
本日、このすべてのニュースを皆さんと共有できることを嬉しく思いますが、皆さんからのフィードバックを聞くことがさらに楽しみです。 2021 年 11 月 30 日に利用可能になる新しい Microsoft Defender for IoT パブリック プレビューに参加してください。プレビューの最初のビルドでは、次の 5 つの主要な機能にアクセスできます。
- Azure コンソールで利用できる IoT および OT デバイス インベントリの統合ビュー。
- Microsoft Defender for Endpoint クライアントは、IoT ネットワーク センサーとして機能し、Microsoft 365 Defender デバイス インベントリにデバイスを追加します。
- 統合された IoT および OT ネットワーク センサーを導入できます。
- IoT の脅威と脆弱性の評価は、Microsoft 365 Defender コンソールで利用できます。
- サードパーティのネットワーク センサーのサポート。
より充実したセキュリティの推奨事項、検出、対応など、追加の新機能がまもなくリリースされる予定です。
今後のパブリック プレビューとロードマップの詳細については、Ignite セッションで確認できます。
OT セキュリティを提供する Microsoft Defender for IoT (以前の Azure Defender for IoT) の現在のリリースの詳細については、次のリソースを参照してください。
- OT 固有の分析ルール、SOAR プレイブック、およびワークブックを備えた、Sentinel 用の新しい OT 脅威監視ソリューション。
- Microsoft Defender for IoT .
- CyberX を含む新しい Azure Defender for IoT の内部に入ります。
- Microsoft は、MITRE ATT&CK for ICS の脅威の可視性範囲で最高のスコアを獲得しています。
- Azure Defender for IoT のデモ ビデオ。
- Microsoft Azure Defender for IoT トレーニング.
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
1Microsoft: ロシアの国家ハッカーが IoT デバイスを使用して企業ネットワークを侵害している, Catalin Cimpanu, ZDNet. 2019 年 8 月 5 日。
2ハッカーがスマート ビルディング アクセス システムをハイジャックして、DDoS 攻撃を開始しています, Catalin Cimpanu, ZDNet. 2020 年 2 月 2 日。
3ハッカーが侵害されたパスワードを使用して植民地時代のパイプラインに侵入 、William Turton、Kartikay Mehrotra、Bloomberg。 2021 年 6 月 4 日。
4Cyber-Physical Systems のセキュリティ戦略の開発、Susan Moore、Gartner。 2021 年 4 月 13 日。
5IT とオペレーショナル テクノロジーが収束するとき、Christy Pettey、Gartner。 2017 年 1 月 13 日。
Comments