企業は、ハッカーがITからOTへ横移動するのを防ぐために、ネットワークをセグメント化し監視すべきだと、新たなレポートは指摘している。
Dive Brief:
- セキュリティ企業Trellixが火曜日に発表したレポートによると、製造業セクターは依然としてハッカーにとって最も重要なOT(オペレーショナル・テクノロジー)の標的であり、Trellixの重要インフラ顧客における検知の42%を占めた。
- 運輸・海運企業、公益事業、エネルギー生産者、航空宇宙企業が、上位5分野を構成した。
- レポートは、OT企業はハッカーに対抗するため、ネットワークのセグメンテーション、脆弱性の修正、レガシー機器の更新に注力すべきだとしている。
Dive Insight:
4月から9月までのデータに基づくTrellixのレポートには、重要インフラ事業者が防御を強化するうえで重要な示唆を与える、脅威アクターの行動に関する所見が含まれている。
レポートは「過去5年間で、OTへの攻撃は、偶発的なIT側からの波及から、犯罪組織および国家支援アクターによる重要インフラへの意図的な標的型攻撃へと進化している」と述べている。
IT資産とOT資産の境界は、多くのインフラ事業者のネットワークにおいて最も弱いポイントの1つであり、Trellixは、OTシステムを標的とする最も一般的な攻撃手法がこの領域を悪用していることを突き止めた。Trellixが検知した最大の攻撃ベクターはPowerShellとCobalt Strikeであり、ハッカーは産業用制御システムのプロトコルをスキャンし、マシン間を横移動し、盗まれた認証情報を展開していた。
「脅威アクターは、低レベルの[産業プロセス]コントローラーを直接標的とすることの本質的な困難さと高い可視性リスクを認識し、代わりにネットワークを橋渡しする[デバイス]の侵害を優先している」とTrellixは述べた。これらの「境界デバイス」は、産業機器に直接接続されたコンピューターよりも一般的な脆弱性を抱えているが、それでも産業機器を操作し、場合によっては損傷を与えることができる。
一部のケースでは、ハッカーは産業機器の安全システムを制御するコンピューター上のデータを破壊しようとしたり、それらのシステムを完全に停止させようとしたりしている。
「製造業およびエネルギーセクターへの攻撃の集中と、安全システムを標的とする動きの台頭は、世界のインフラに対する重大な脅威を意味する」とTrellixはレポートで述べている。
このレポートは、企業に対し、レガシーな産業用制御システムのプロトコルの利用がリスクを高めていると警告する、最新のものだ。ModbusやDNP3といったプロトコルは本質的に安全性に欠けると同社はレポートで述べており、監視制御およびデータ収集(SCADA)機器メーカーの独自プロトコルも同様だ。「プログラマブル・ロジック・コントローラー(PLC)は、標的とされるケースが増えている」とTrellixは述べ、ロシア関連のマルウェアTritonがSchneider ElectricのTriconexシステムに対して展開された事例を取り上げている。
さらに憂慮すべきことに、レポートによれば、企業はOT資産の脆弱性をパッチ適用するまでに、従来のITシステムよりもはるかに長い時間を要している。ITが30日であるのに対し、OTは180日だという。
OTリスクを軽減するために、レポートは、事業者はネットワークをセグメント化・監視し、すべての外部接続にゼロトラストアクセスの原則を適用し、ベンダーに厳格なソフトウェアサプライチェーンの透明性と完全性要件を課し、サイバーセキュリティに関する期待事項をベンダー契約に組み込み、自社と同じセクターの他社と脅威インテリジェンスを共有すべきだとしている。
「組織はOTセキュリティへの投資を優先し、産業システム特有の運用要件を考慮した多層防御戦略を実装しなければならない」とTrellixは述べた。「偶発的な攻撃から、安全システムを狙った標的型キャンペーンへの進化は、人命の損失や広範な経済的混乱を招きかねない壊滅的なインシデントを防ぐために、直ちに対処する必要がある。」
翻訳元: https://www.cybersecuritydive.com/news/operational-technology-cyberattacks-trellix/805693/
