Microsoft Defender for IoT と Quzara Cybertorch™ を使用して、OT および IoT デバイスを保護します

news

このブログ投稿は、Microsoft Intelligent Security Association のゲスト ブログ シリーズの一部です。 MISAの詳細をご覧ください

近年、悪意のある攻撃者が産業用制御システムや国家の重要インフラの主要セクターを攻撃し始め、サイバー世界や従来の IT 資産を超えた被害をもたらしています。これらのタイプのサイバー攻撃は、人間に危害を加える現実世界の可能性を秘めているため、公共の安全に対するリスクを誇張することはできません。我が国の重要なインフラストラクチャの多くの側面を制御するこれらの「産業用制御システム」は、より一般的には運用技術 (OT) デバイスとして知られています。同じことは、IoT デバイスと産業用モノのインターネット (IIoT) デバイスにも当てはまります。 IoT は、その環境の内部または外部の状態と通信、感知、または相互作用するための組み込みテクノロジを含む物理オブジェクトのネットワークです。公共部門と民間部門は、防衛、発電、ロボット工学、化学および医薬品の生産、石油生産、輸送、鉱業などの業界で多くの OT および IoT デバイスを使用しています。 OT デバイスは、物理的な機器、資産、およびプロセスを監視または制御するハードウェアおよびソフトウェアであり、侵害される割合が増加しています。 1

驚くべきことに、2021 年には、米国の地元の水処理施設がサイバー攻撃の標的になるという 2 件の事件がありました。 1 件のサイバー攻撃は 2021 年 1 月にサンフランシスコのベイエリアで発生し2 、別のサイバー攻撃は 2021 年 2 月にフロリダ州オールズマーで発生しました。 3フロリダ州オールズマーのサイバー攻撃では、悪意のある攻撃者が水道水の水酸化ナトリウムの量を潜在的に危険なレベルまで増加させようとしました。ありがたいことに、この攻撃は工場の監督者によって阻止されました。監視者はその行為をリアルタイムで把握し、変更を元に戻しました。これらのサイバー攻撃は、ローカル レベルの重要なインフラストラクチャに使用される OT デバイスで発生しましたが、同様のサイバー攻撃が現実の世界でも国家レベルで発生しています。

2021 年 5 月 7 日、米国東海岸で消費される全燃料の 45% を占める米国の石油パイプライン システム、Colonial Pipeline がランサムウェアのサイバー攻撃を受け、すべてのパイプライン運用が約 6 日間機能しなくなりました。 4この攻撃の余波により、米国の 6 つの州と米国の首都ワシントン DC で燃料不足が発生しました。

OT デバイスに対するこれらのサイバー攻撃は新しいものではないかもしれませんが、重要なインフラストラクチャに対する脅威の危険性と、公共の安全全体に対するリスクがいかに大きいかを強調しています。

米国政府は、OT システムに対する脅威の増加に注目し、それに応じて対応しています。 2021 年 5 月 12 日に発行された国家のサイバーセキュリティの改善に関する大統領の大統領令によると、「連邦政府は、クラウドベースかオン施設、またはハイブリッド。 5保護とセキュリティの範囲には、データを処理するシステム (情報技術 (IT)) と、私たちの安全を確保する重要な機械を実行するシステム (運用技術 (OT)) を含める必要があります。」 Quzara Cybertorch TMソリューションは、 Microsoft Defender for IoTおよびMicrosoft Sentinelと連携して、政府機関がこの大統領令のさまざまな側面に準拠するのに役立ちます。これには、機関が IT および OT の運用とアラートを監視し、未遂および実際のサイバー インシデントに対応し、ロギング、ログ保持、およびログ管理を促進する手段を提供することが含まれますが、これらに限定されません。

OT および IoT デバイスに影響を与えるサイバー攻撃の脅威が高まる中、国、州、地方自治体、およびそれらの民間部門のパートナーは、重要なインフラストラクチャを操作または支援する OT および IoT デバイスのセキュリティを確保するために、これまで以上に重要になっています。 .

OT および IoT 環境におけるサイバーセキュリティの現状

米国政府が OT および IoT インフラストラクチャのセキュリティ保護をより重視していることは心強いことですが、政府と OT および IoT デバイスを使用する民間企業は困難な戦いに直面しています。これは、多くの OT および IoT 環境が古い (したがって安全でない) オペレーティング システムとソフトウェアを使用しているためです。 2020 年 6 月の CyberX (Microsoft が買収) からの包括的なレポート「 グローバル IoT および ICS リスク レポート」は、特許取得済みのディープ パケット インスペクション (DPI) とネットワーク トラフィック分析によるパッシブなエージェントレス監視を使用して、 1,821 の実稼働 OT および IoT ネットワークから収集されたデータに基づいて編集されました。 (NTA) アルゴリズム。これらの生産ネットワークは、ロボット工学、冷凍、化学、医薬品生産、発電、石油生産、輸送、採掘、建物管理システム (暖房、換気、空調 (HVAC)、閉回路) など、さまざまな IoT および ICS システムにまたがっています。テレビ (CCTV) など)。レポートの調査結果は次のとおりです。

  • 71% が古いかサポートされていないオペレーティング システムを使用していました。
  • 64% は暗号化されていないパスワードを持っていました。
  • 54% がリモート アクセス可能でした。
  • 22% に脅威の兆候がありました。
  • 27% がインターネットに直接接続していました。
  • 66% には自動更新がありませんでした。
Cyber X は、多様な I o T および I C S システムにまたがる高レベルの調査結果を報告し、脅威の範囲にギャップがあることを示しています。

図 1. CyberX レポートの概要レベルの調査結果。

OT および IoT デバイスの保護と監視

国、州、地方自治体、およびそれらの民間部門のパートナーにとって、OT および IoT 環境をサイバー攻撃から保護することは非常に重要ですが、その前に、セキュリティを組み込みやすくする必要があります。これらのエンティティが OT および IoT セキュリティを簡単に組み込むことができるようにするために、マネージド セキュリティ サービス プロバイダー (MSSP) である Quzara Cybertorch TMは Microsoft と提携してMicrosoft Defender for IoT を活用しています。 Microsoft Defender for IoT を活用することで、Quzara Cybertorch TMは、環境内のすべての OT および IoT デバイスを検出し、これらのデバイスに存在する脆弱性を特定し、これらのデバイスの継続的なセキュリティ監視を提供できます。

自動資産インベントリ

Microsoft Defender for IoT は、ネットワークのスイッチのミラーリング ポートに接続して、産業用ネットワークのリアルタイムの OT および IoT トラフィックを受動的にリッスンするエージェントレス ソリューションです。 Quzara Cybertorch TMはこのツールを使用して、ネットワーク上のすべてのアセットを表示し、どのマシンが相互にやり取りしているか、およびそれらが動作している Purdue モデルのどのレイヤーであるかを識別する「アセット インベントリ マップ」をすばやく作成します。 6

パデュー モデル レイアウトで自動生成されたアセット インベントリ マップは、ネットワーク上のすべてのアセットを表示し、どのマシンが相互に対話しているか、どのマシンがパデュー モデルのどのレイヤーで動作しているかを識別します。

図 2. Purdue モデル レイアウトで自動生成されたアセット インベントリ マップ。

Purdue モデル形式で相互に通信する資産を識別することにより、どのマシンが OT ネットワークからインターネットに通信できるかを示す貴重な情報が収集されます。これらのインターネットに接続されたマシンは、ロックダウンを優先し、疑わしいトラフィックをより綿密に監視するマシンです。インターネットに接続されたアセットの識別は、アセット インベントリ マップで表示できる内容の一例にすぎません。アセット インベントリ マップは、OT および IoT ネットワーク上にあるシャドウ デバイスも明らかにします。つまり、OT ネットワーク上のすべての資産を明らかにすることで、資産インベントリ マップは、IT 部門が公式に認識していない可能性のある IT、OT、および IoT デバイスを識別します。さらに、アセット インベントリ マップは、IT セキュリティ チームがネットワーク トポロジとアーキテクチャに基づいて環境内の「単一障害点」を特定するのに役立ちます。 Quzara Cybertorch TMは、「単一障害点」であるこれらの資産を強化し、これらの資産が予期せずダウンした場合に運用が中断されないように冗長性を作成することを奨励します。

OT および IoT デバイスの脆弱性管理

Quzara Cybertorch TMは、Microsoft Defender for IoT を活用して、OT および IoT デバイスの既知の脆弱性を特定できます。 Microsoft Defender for IoT は、パッチが適用されていないデバイス、承認されていないインターネット接続、サブネット接続などの脆弱性を事前に特定します。 Microsoft Defender for IoT は、脆弱性を特定するだけでなく、デバイス構成、プログラマブル ロジック コントローラー (PLC) コード、およびファームウェアへの変更も特定します。 Quzara Cybertorch TMは、このすべての情報を統合し、ネットワーク内のすべての OT および IoT デバイスのすべての脆弱性を一覧表示するエグゼクティブ サマリー レポートを生成します。これには、優先順位付けされた修復手順が含まれます。優先順位付けされた修復手順には、リスク スコアリング (たとえば、一般的な脆弱性スコアリング システム (CVSS) スコアやその他の要因による) および自動化された脅威モデリングに基づいた修正の優先順位付けが含まれる場合があります。これらのレポートには、ネットワーク上の OT および IoT デバイスの全体的なセキュリティ スコアが含まれています。修復が行われると、継続的な改善は、全体的なセキュリティ スコアの改善を示す後続のレポートによって測定できます。

O T ワークステーションに存在する脆弱性を示すレポートの例。

図 3. OT ワークステーションに存在する脆弱性。

OT および IoT デバイスの継続的な監視

Quzara Cybertorch TMは、 Microsoft Sentinelを活用して IT 環境や OT および IoT 環境を継続的に監視するサービスとしてのセキュリティ オペレーション センターです。 Microsoft Sentinel は、セキュリティ オーケストレーション、自動化、および応答 (SOAR) 機能を備えたセキュリティ情報およびイベント管理 (SIEM) ツールです。 Microsoft Sentinel には、Microsoft Defender for IoT とのネイティブな相互運用性があり、クラウド ネイティブです。 Microsoft Sentinel を使用して、Quzara Cybertorch TMは IT、OT、および IoT デバイスからログを取り込むことができ、IT と OT の境界を越えて統合された鳥瞰図を作成し、セキュリティ オペレーション センター (SOC) アナリストが悪意のあるアクティビティの兆候を分析できるようにします。

他の製品を使用する場合、通常、さまざまなアラートを統合されたインシデントに集約するルールを作成するには、多くの作業と専門知識が必要です。 Quzara Cybertorch TMは、OT および IoT インシデントに対象を絞ったルールを作成するために必要な作業を大幅に削減します。Microsoft Sentinel には、Microsoft Defender for IoT と組み合わせて使用すると、OT および IoT デバイス用の分析ルールが事前に組み込まれているためです。これらの OT および IoT アラートからカスタム ルールとプレイブックを作成する機能も存在します。この機能により、当社の SOC アナリストは、OT および IoT デバイスの脆弱性を軽減するために担当者を検出、警告、および支援することができます。

Microsoft Sentinel での I o T 分析ルールの Microsoft Defender のビュー。

図 4. Microsoft Sentinel の Microsoft Defender for IoT 分析ルール。

チーム、会社、またはクライアントが OT または IoT 環境を使用しており、OT または IoT のサイバーセキュリティ リスク評価の取得に関心がある場合は、 Quzara Cybertorch TMに連絡するか、こちらからメールでお問い合わせください。

Quzara Cybertorch™について

Quzara Cybertorch™ は、米国民間人、国防総省 (DoD)、および防衛産業基地 (DIB) の顧客の拡張検出および応答のニーズを満たすために構築された、サービスとしてのセキュリティ オペレーション センターおよびマネージド検出および応答 (MDR) です。 (XDR)、脆弱性管理、OT および IoT 監視、セキュリティ監視のニーズ。サービスとしてのセキュリティ オペレーション センター、脆弱性管理、および XDR 機能は、米国国立標準技術研究所 (NIST) 800-53 FedRAMP HIGH コントロールに基づいています。同社の技術スタック全体は、FedRAMP HIGH 認定システムを活用しています。 Quzara Cybertorch™ のセキュリティ アナリスト チームはすべて、セキュリティ クリアランスと政府サポートの経験に重点を置いて、米国内で活動しています。 Quzara Cybertorch™を調べて、 Microsoft コマーシャル マーケットプレースの Quzara Cybertorch™ リストにアクセスしてください。

もっと詳しく知る

Microsoft Intelligent Security Association (MISA) の詳細については、Web サイトにアクセスしてください。MISA プログラム、製品の統合について学び、MISA メンバーを見つけることができます。ビデオ プレイリストにアクセスして、マイクロソフト製品とのメンバー統合の強みについて学びましょう。

Microsoft セキュリティソリューションの詳細については、 当社の Web サイト参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。


1好機の犯罪: 低レベルの運用技術侵害の頻度の増加、Mandiant、2021 年 5 月 25 日。

2ハッカーが大規模なサイバー攻撃でカリフォルニア州の水道を汚染しようとした、News Week、2021 年 6 月 18 日。

3フロリダの水工場攻撃は、デジタル戦争の新時代の到来を告げています—反撃の時が来ました、Darktrace、2021 年 2 月 16 日。

4ランサムウェア攻撃により米国のトップ ガソリン パイプラインが停止、NPR、2021 年 5 月 9 日。

5国家のサイバーセキュリティの改善に関する大統領令、ホワイトハウス。 2021 年 5 月 12 日。

6「Purdue モデル」は、物理的なプロセス、システム、およびそれらを管理または操作する IT マシンに関する産業用制御システム セキュリティの構造モデルです

参照: https://www.microsoft.com/en-us/security/blog/2022/03/03/secure-your-ot-and-iot-devices-with-microsoft-defender-for-iot-and- quzara-cybertorch/

Comments

タイトルとURLをコピーしました