ゼロトラストはエンタープライズITではうまく機能します。しかし、IoTおよびOT環境では、その仮定は静かに失敗します。そして失敗は、防御者がインシデント後までわからないような方法でしばしば発生します。
ゼロトラストがOTで間違った問題を解決している
ゼロトラストは過去10年間のセキュリティの支配的なナラティブになっており、それは当然のことです。信頼しない、常に検証する;侵害を想定する;最小権限を実施するという、その中核原則は、組織がアイデンティティ、アクセス、ラテラルムーブメントについて考える方法を再構築しました。エンタープライズIT環境では、これらの原則は測定可能な利益を生み出しました。アイデンティティはより強力です。アクセスはより意図的です。暗黙的な信頼は軽減されました。
しかし、ゼロトラストがIoTおよびOT環境に適用されると、結果はばらつきがあります。コントロールが導入されます。アーキテクチャ図は安心できるように見えます。その後、インシデントが発生します。多くの場合、最初から信頼モデルの一部として考慮されなかったシステムを通じて発生します。
ゼロトラストはアクセス決定を統治するために設計されています。IoTおよびOT環境では、最も大きな影響を及ぼす障害のほとんどは、継承されたトラストと共有制御パスを通じて伝播します。これらはゼロトラストの範囲外です。
これは実装の失敗ではありません。これはモデルの不一致です。
ゼロトラストは、トラストが明示的で、アイデンティティ中心で、継続的に実行可能であることを前提としています。IoTおよびOT(およびAI)システムは、設計上、これら3つの仮定すべてに違反します。その結果、ゼロトラストはしばしば間違ったサーフェスを統治しながら、最も重要なパスはモデル化されないままです。
IoTおよびOTのブラインドスポット
IoTおよびOT環境は、永続的なセキュリティブラインドスポットを作成する3つの特性を一貫して示しています。
まず、可視性は設計上不完全です。デバイスはセキュリティ組織ではなく、ファシリティチーム、エンジニアリンググループ、またはサードパーティのインテグレーターによって配置されることが頻繁にあります。資産インベントリは現実に遅れています。テレメトリはスパースで、専有的、または断続的です。多くのデバイスは特定の運用状態でのみ通信し、セキュリティツールが通常と解釈する長い沈黙の期間を残しています。
CISAは、管理されていないデバイス、限定的な可視性、レガシー運用プロトコルがIoTおよびOT環境で最も一般的な弱点の中でも特に、システムが継続的に監視されたり、中央で統治されたりすることを意図していなかった場所で、なおも最も一般的な弱点であることを繰り返し警告しています。
第二に、ネットワークはセグメント化されているように見えても、機能的にはフラットです。ブロードキャストディスカバリープロトコル、共有ゲートウェイ、および集約コントローラーは、分離の仮定を損なわせます。直接通信しないデバイスでも、共有インフラストラクチャを通じて互いに影響を与えることができます。セグメンテーションはペーパー上に存在しますが、カップリングは動作中に継続します。
第三に、トラストは暗黙的で耐久的です。デバイスはコントローラーを信頼しています。なぜなら、常にそうだったからです。コントローラーが「認可された」管理プラットフォームを信頼します。クラウドサービスはファームウェアに埋め込まれたデバイスアイデンティティを信頼します。これらのトラスト関係はほとんど文書化されておらず、システムが運用開始後はほとんど再検討されません。ゼロトラストはトラストを継続的にチャレンジできることを前提としています。OTシステムは、何か壊れない限り、トラストが存続することを前提としています。
なぜトポロジーはセキュリティモデルとして失敗するのか
セキュリティチームはトポロジーについて推論するように訓練されています:サブネット、ファイアウォール、ゾーン、アクセスパス。このアプローチはエンタープライズITでは比較的うまく機能します。システムがルーティング可能な接続と明示的な認証の周りに設計されているためです。
IoTおよびOT環境では、侵害がルートパスを通じて主に伝播しないため、失敗します。
統一リンケージモデル:サイバーリスク理解への新しいレンズでは、ネットワークトポロジーのみでなく、機能的関係、隣接性、継承、およびトラストに基づいてセキュリティリスクを分析する方法として、ULMを紹介しました。この区別はOT環境では重要です。接続図はめったに運用依存関係を反映しません。
2つのシステムはネットワーク層で完全に分離されていても、機能的には分離不可能です。共有コントローラー、プロトコルトランスレーター、管理プラットフォームは、トポロジーがキャプチャしない依存関係を作成します。1つのシステムが状態を変更するとき(侵害、設定ミス、またはアップデートを通じて)、もう1つは一緒に変更します。
ULMは結果と接続に焦点を当てています。この焦点が、OTコンテキストでゼロトラストが欠けているものです。
攻撃が実際に移動する場所
ほとんどのIoTおよびOT侵害は、アイデンティティの失敗またはセグメンテーションのバイパスとして展開しません。それらは共有コントローラー、継承されたファームウェア、アップデートメカニズム、および管理プラットフォームを通じて伝播します。すなわち、トラストが既に存在する場所です。
NISTからの連邦ガイダンスは、ファームウェア、アップデートサービス、および共有インフラストラクチャが、ペリメータフォーカスのコントロールが対応しない継続的な継承リスクの源を表すことを長い間強調しています。これらのコンポーネントはアクセスコントロール下にあり、再構成、所有権の変更、さらにはベンダーの移行を通じても存続します。
侵害されると、自動的にトラストを伝播します。ラテラルムーブメントは不要です。ダウンストリームシステムから認証情報を盗む必要はありません。攻撃者はアーキテクチャの流れに沿って移動します。
これが、インシデントがしばしばビル自動化システム、メンテナンスインターフェース、またはベンダーが管理するサービスから起源する理由です。これらのコンポーネントはセキュリティクリティカルな資産として監視されることはめったにありませんが、防御者が分離されていると信じている環境全体の結合組織として機能します。
ゼロトラストからトラストマッピングへ
ゼロトラストはアクセスを統治します。それは結果をモデル化しません。
したがって、防御者は、IoTおよびOTシステムで実際にトラストがどのように伝播するかを理解する方法でゼロトラストを補完する必要があります。統一リンケージモデル自体は、エンタープライズおよび産業環境でのリンケージ駆動型リスク伝播に関する以前の作業から生じており、その後、複雑なシステムのセキュリティ意思決定により直接適用されるようになりました。
ULMは、運用上重要な3つのリンケージ形式を区別しています:
- 隣接性は、共有コントローラー、ゲートウェイ、ブローカー、プロトコルトランスレーターによって作成されます
- 継承は、ファームウェア、SDK、アップデートサービス、およびベンダープラットフォームによって作成されます
- トラスト伝播は、委任管理、暗黙的な認可、および長寿命の認証情報によって作成されます
これらのリンケージは、障害がどのようにカスケードするかを決定します。リンケージは、低リスクと思われるデバイスが、なぜ日常的に不均衡なミッション影響の上流イネーブラーとして機能するのかを示しています。また、アイデンティティ中心のコントロールが、トラストが既に確立されている場合、攻撃を中断しに失敗する理由も説明しています。
ゼロトラストは「誰が何と話すことを許可されているか?」という質問に答えます
OTシステムは決定論、可用性、および安全性を優先します。制御ループはポリシー評価のために一時停止することはできません。レイテンシーが重要です。デバイスは頻繁な再認証またはテレメトリのオーバーヘッドに耐えることができません。その結果、実行は外部に押し出されます。ゲートウェイ、管理プラットフォーム、クラウドサービスに。
これらの実行ポイントはボトルネックになります。信頼されると、めったに再検証されません。侵害されると、すべてのダウンストリームゼロトラストの仮定を同時にバイパスします。
ゼロトラストは、実行がどこでも起こることを前提としています。OTシステムはそれを集約します。
セキュリティリーダーが異なることをするべき理由
これはゼロトラストを放棄するための呼びかけではありません。これはそれを正しくスコープするための呼びかけです。
ゼロトラストは、アイデンティティが強力で、実行が継続的である場所で効果的です。IoTおよびOT環境では、リーダーは、ゼロトラストがモデル化しない継承されたトラストと集約制御パスも説明する必要があります。
それは機能依存性を明示的にマッピングすることを意味します。ドメイン全体でトラストを伝播するコンポーネントを特定することを意味します。これは、それらが魅力的なターゲットだからではなく、構造的増幅器だからこそ、管理プレーン、アップデートメカニズム、プロトコルゲートウェイを不均衡に保護することを意味します。
また、ベンダーリスクの再考を意味します。サプライヤーは、彼らが何を提供するかだけでなく、統合されると、システム全体でどのくらいのトラストを継承および伝播するかで評価されるべきです。
本当のリスクはあなたがモデル化していないものです
ゼロトラストはアクセス決定に対応します。それは、トラストが既に存在する場合、侵害がどのように広がるかを説明しません。OT環境では、その区別は決定的です。
リンケージベースの分析はそのギャップを埋めます。隣接性、継承、およびトラストを明示的にすることで、それはIoTおよびOTシステムの下にある見えないネットワークを露出させます。運用回復力に責任があるセキュリティリーダーにとって、その可視性はレバレッジです。
IoTおよびOTセキュリティの障害は、防御者がツールに欠けているからではなく、もはや現実を反映していないモデルに依存しているからこそ存続します。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
翻訳元: https://www.csoonline.com/article/4143100/why-zero-trust-breaks-down-in-iot-and-ot-environments.html
