セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。最新の Voice of the Community ブログ シリーズの投稿では、Microsoft 製品マーケティング マネージャーのNatalia Godylaが、Mandiant の ICS/OT コンサルティング プラクティスのテクニカル マネージャーであり、Entergy の元エンジニアであるChris Sistrunkと対談しています。制御およびデータ収集 (SCADA) システム。このブログでは、Chris が運用技術 (OT) のセキュリティを紹介し、OT に固有の課題とセキュリティ リスクを共有しています。
ナタリア: OT、産業用制御システム (ICS)、監視制御およびデータ取得 (SCADA) の違いは何ですか?
Chris: OT、ICS、および SCADA は、IT 以外のデジタル システムを表す用語です。主な包括的な用語は運用技術 (OT) であり、タービン、混合タンク、産業用ロボット、自動倉庫など、現実世界の物理プロセスと相互作用するデジタル システムを表します。製造業、送電網、または石油とガスについて考えてみると、OT には、生産を監視および制御するサイバー フィジカル システム (CPS) が含まれます。つまり、企業が食料、水、医薬品、化学薬品、トラクターなどを生産して収益を上げる方法です。
産業用制御システム(ICS) は OT の傘下にあります。制御システムは、自動化を使用して人間を方程式から外します。たとえば、自動車工場では組み立てラインをロボットに置き換えたり、食品加工工場では材料の手動調整を特定のロジック コードに置き換えたりしました。産業用制御システムは、製造、小売流通センター、水処理、石油とガス、運輸と鉱業、および病院、スマート ビルディング、データセンターのビル オートメーション (HVAC、エレベーター、アクセス制御、CCTV など) など、いたるところにあります。
監視制御およびデータ取得 (SCADA) は、特定のタイプの産業用制御システムであり、組織が広い地理的領域にわたって OT 機器を監視および制御できるようにします。電力会社、石油およびガスのパイプライン、および水道施設は、広い範囲をカバーするため、SCADA システムを備えています。
ナタリア: OT のセキュリティを確保することが、他に類を見ないほど困難な理由は何ですか?
Chris: IT システムのセキュリティはかなり前からありました。 1980 年代、制御システムは通常のコンピューターのようには見えませんでした。それらは特定の目的のために設計されました。つまり、長持ちし、湿った環境や苛性環境での熱や非常に低い温度に耐えることができます。これらの制御システムは、他のネットワークには接続されていませんでした。 IT にはセキュリティがありましたが、制御システムには存在しませんでした。
何年にもわたって、制御システムは IT ネットワークにさらに接続されるようになり、場合によってはインターネットにも接続されるようになりました。これは、上級管理職が翌日の生産状況や、来週または翌月の予測をリアルタイムで把握したいためです。履歴出力について。その情報をリアルタイムで取得する唯一の方法は、IT と OT の 2 つのシステムを接続することです。最終的にインターネットに接続されるものに制御システムを接続する場合、ファイアウォールがある場合とない場合があります。それは問題だ。
IT セキュリティ ネットワーク センサーを制御システムに配置すると、HTTP や FTP などの標準的な IT プロトコルのみを認識します。 IT システムで使用されていない Siemens S7 プロトコルまたは GE SRTP プロトコルを理解できません。また、Windows や Linux ではないため、これらのシステムのほとんどにウイルス対策エージェントやエンドポイント検出および応答 (EDR) エージェントを配置することもできません。それらは多くの場合、完全にカスタム化されたリアルタイムの組み込みオペレーティング システムであり、ウイルス対策や EDR 操作の影響を受ける可能性のある高速な応答時間も必要とします。
ナタリア: OT 環境で蔓延している脅威は何ですか?
Chris:私たちは、Stuxnet、2015 年と 2016 年のウクライナへの電力網へのサイバー攻撃、2017 年の石油化学施設の安全制御システムへの Triton 攻撃など、制御システムに対する5 つの既知のサイバー攻撃を見てきました。
インサイダーの脅威にも注意を払う必要があります。制御システムに対する最初の公に知られている攻撃は、1990 年代後半にオーストラリアで行われたものです。解雇された従業員はまだ機器にアクセスでき、下水の流出を引き起こしました。数年前、ルイジアナ州の製紙工場で誰かが解雇されましたが、誰も彼のリモート アクセスを削除しませんでした。彼はログインしてプラントをシャットダウンしました。彼らはそれが誰であるかを正確に知っていたので、FBI は彼を捕まえましたが、約 3 日間のダウンタイムが発生し、おそらく数百万ドルの費用がかかりました.
セキュリティ上の脅威に加えて、正直なミスのリスクがあります。誰かが金曜日の午後 5 時に、テストしていない変更を行っています。これにより、ネットワークが停止し、人々は週末にそれを修正するために作業する必要があります。優れた変更管理手順、標準的な運用手順、またはロールバック計画がないと、数百万ドルの費用がかかる可能性があります。
ナタリア: 2021 年 2 月 5 日にハッカーがフロリダ州オールズマーの水処理システムにアクセスした事件についてどう思いますか?
Chris:多くの上下水道会社は、セキュリティへの取り組みを始めたばかりです。彼らは多額の予算を持っておらず、IT 担当者が 1 人か 2 人しかいない可能性があり (IT セキュリティ担当者とは言っていないことに注意してください)、複数の役割を担う必要があります。フロリダの攻撃の場合、ほとんどの場合、アクティブな監視、VPN による安全なアクセスの確保、従業員や請負業者の多要素認証などのセキュリティ基準がないため、驚くことではありません。彼らは、強力なサイバーセキュリティ制御を持つように規制されておらず、多くの攻撃を経験していません.
画面上の何かを元の値の 100 倍に変更できるからといって、物理的に変更できるとは限りません。水システムの化学物質を変更しても、瞬時に変化することはなく、その量まで物理的に変化することさえできない場合があります。上下水道施設では、毎日複数のサンプルを手作業で採取しているため、水道事業の顧客に影響が及ぶ前に変更を検出できたはずです。
ナタリア: 請負業者は OT の潜在的な攻撃ベクトルですか?
Chris:この場合も、通常はシャドー IT の副産物です。OT 担当者は、VPN、多要素認証、およびローテーション パスワードを使用して、IT を介さずに安全な方法で請負業者にリモート アクセスを提供します。継続的なメンテナンスと監視のために、請負業者に OT ネットワークへの可視性とアクセスを提供する必要がありますが、その数はそれほど多くありません。また、請負業者はおそらくセキュリティ トレーニングを受ける必要はありません。
2000 年代初頭には、変電所へのリモート アクセスがありました。何かが間違っていることがわかっている場合は、ダイヤルインして確認し、元の作業に戻ることができます.しかし、何かがインターネット上にある場合、日和見的な脅威グループや悪意のあるサイバー犯罪者が動き回り、何かを実行できるようになります.組織は、誰がリモート アクセスできるかを含め、セキュリティに関心を持ち、検討する必要があります。
ナタリア: OT に影響を与えるランサムウェア攻撃が増えていますか?
クリス:私たちはそうです。ランサムウェアは恐るべきもので、制御システムや発電所、水道設備を備えた病院は、水道が切れると頼りにならず、影響を受けています。また、生命維持システム、画像診断、手術サポートも備えています。ランサムウェアは、IT 側の石油・ガス会社や電力会社にも影響を与えています。
組織が制御システムと IT ネットワークの間にセグメンテーションを持っていなかったため、多くの攻撃はより効果的でした。オープン プラットフォーム通信 (OPC) プロトコルを使用している場合、古いバージョンでは、ポート 3389 と VNC 5900 を含む 64,000 の TCP ポートを開く必要があります。その結果、IT と OT の間にファイアウォールがありません。
制御システムを保護するために意図的に設計された設計が必要です。
もっと詳しく知る
IoT と Microsoft セキュリティの詳細については、 IoT セキュリティ ブログ シリーズをご覧ください。
Microsoft セキュリティ ソリューションの詳細については、 当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments