出典:Zoonar GmbH via Alamy Stock Photo
組織は仕事用の携帯電話と会社のラップトップを保護していますが、攻撃者はそれらのデバイスに流れる電流を狙って、潜んでいる可能性があります。
直流(DC)電力調整は、太陽光パネルとコネクテッドカーからスマートフォンと必須のコンピュータ部品まで、人々が毎日使用する電子機器に電力を供給するエネルギーを安定させるのに役立ちます。通信、産業オートメーション、データセンターなどの重要なインフラストラクチャ全体でも重要です。
DC調整器は安定した電圧を提供して、損傷を防ぎ、より懸念されるべき電力サージから生じる停止を防ぎます。しかし、電力エコシステムは技術の進歩とともに複雑になっており、潜在的な新しい攻撃ベクトルを開いています。DC電力インフラストラクチャに対する多くの有名な攻撃がありますが、それらはしばしば説明のつかない物理的損傷、安全システムの障害、および神秘的な停止として見られていますが、これはそうではないかもしれないとNCC Groupのグローバル研究ディレクターであるAndy Davisは説明しています。
さらに、悪用される可能性があるソフトウェアの脆弱性が、より新しく、より洗練されたDC調整器モデルのいくつかで見つかっています。
産業時代の初期に、システムが電力を必要とした場合、それは十分に調整される必要がありませんでした。電力は単に単純なタスクを完了するのに十分なシステムに電力を供給する必要がありました。NCC Groupのグローバル研究ディレクターであるDavisが追加します。
しかし、ITシステムは数年の間に非常に複雑になり、より多くの電力が必要となり、より大きな電圧変動が発生しています。人工知能や量子コンピューティングなどの新興技術は大きな電力消費者です。
“電力が一貫性を持ち、管理され、効率的に供給されることを保証することに関連する技術は、より複雑になっています。”Davisは暗い読書に語っています。”その結果、それは攻撃表面の一部になってしまいました。”
「見落とされたセキュリティ依存関係」
電力規制がますます複雑なエコシステムを管理するためにより重要になっていますが、それらは「しばしば見落とされたセキュリティ依存関係」であるとDavisが述べています。潜在的な懸念はIT業界に忍び寄っていますが、その層がそれをパワーするシステムと同じように攻撃される可能性があるため、認識を拡大する必要があります。システムの電力フローを危険にさらすことは、ネットワークに侵入するのと同じ混乱を引き起こす可能性があります。
規制当局はオペレーティング・システム(OS)の下に位置しています。攻撃者は、組織がマルウェア対策またはアンチウイルスタイプのシステムで監視する層の外側にある場所に簡単に隠れることができると、Davisは明かしています。
“インフラストラクチャ内に静かに隠れる可能性があります。”Davisは述べています。”[脅威行為者]は、インフラストラクチャ自体ではなく、電力制御インフラストラクチャへのバックドアを作成することができます。”
最大の懸念の1つは、人々が説明のつかない物理的損傷、安全システムの障害、および神秘的な停止などの電力問題をグリッチと見なすことがよくありますが、必ずしも潜在的なサイバー攻撃ではないということです。
その心構えは組織を危険にさらす可能性があります。規制当局はOS以下のレベルで動作しているため、デバイスの悪用と妥協に成功した脅威行為者は、見られることなく、パフォーマンスに影響を与え、シャットダウンをトリガーするか、ハードウェアにさえ損傷を与える可能性があります。ExtraHop CISO Chad LeMaireが述べています。
“これらの要因により、DC電力調整器は、組織を弱体化させるか、他の邪悪な目的のためにダウンタイムのウィンドウを作成しようとしている攻撃者にとって、より頻繁で採算性の高いターゲットになっています。”LeMaireは暗い読書に語っています。
規制当局:ハッカーにとって新しいジャックポット
組織はもはや規制当局を受動的なコンポーネントと見なすことはできません。単に電圧を供給するのではなく、多くはプログラム可能で、ファームウェア駆動のシステムであり、デバイスが物理的にどのように動作するかを制御していると、NetRise SVPのGary Schwartzは説明しており、シフトが実製品にどのように反映されているかを追加しています。
彼は半導体メーカーのSTMicroelectronicsを一例として使用しました。ベンダーはプログラム可能な電力デバイスを構成可能な動作で出荷しており、彼らのエコシステムは既に国家脆弱性データベースに 数十のCVE がファームウェアとサポートソフトウェアに関連して表示されていると、Schwartzが警告しています。
“それは、電力規制がソフトウェア駆動になると、他のコードと同じサプライチェーンリスクを継承することの思い出です。”Schwartzは述べています。”懸念は脆弱性の存在だけではなく、それらがどの程度速く悪用されるかです。”
潜在的な流出は2つのカテゴリに分かれます。小さい側では、攻撃者は複数のサーバに影響を与える単一の電力調整器を利用できます。サーバを攻撃するのではなく、脅威 行為者が電力 調整器を攻撃する場合、それらのサーバに電力を供給しているため、サービス拒否(DoS)攻撃を作成できます。Davisが警告しています。
“データセンターにスケールアップすると、複数のサーバを攻撃する必要がなく、より大きな影響があります。”彼は述べています。”大規模なサービス拒否シナリオの可能性があります。”
人々が潜在的に危害を加える可能性がある大規模な問題は、脅威行為者が運用技術(OT)安全重大システムを標的にした場合に発生する可能性があります。 電力 システムを備えたコネクテッドカーが車両内に埋め込まれたコンピューターを制御している場合は、攻撃が運転手または乗客の安全を危険にさらす可能性がある例の1つです。Davisが説明しています。
電力をセキュリティの問題として扱う
Schwartzが指摘したように、保護されていない電力調整器はサプライチェーンリスクにつながる可能性があります。複雑な電力アーキテクチャを構成するコンポーネントには、サードパーティのソフトウェアまたはファームウェアが埋め込まれている可能性があり、それがどのように開発されたかについてセキュリティの質問が残されています。
潜在的な脅威より先に進むために、組織は本質的に電力規制をセキュリティアーキテクチャの一部として扱う必要があります。Davisが推奨しています。規制当局はしばしば背景の一部と見なされ、したがって当たり前のこととして見なされています。多くの場合、電力は使用の観点から監視されていますが、セキュリティの観点からは監視されていません。これは変わる必要があります。彼は強調しています。
組織は、セグメンテーションと監視などのエンタープライズネットワークに適用する標準プロトコルがあるため、DC電力調整器のセキュリティを改善する方法に既に精通しています。電力管理ソフトウェアに対する暗号署名とセキュアブートメカニズムの実施は、DC電力調整器とネットワークにますます接続されている他のハードウェアを操作する脅威から身を守くためのもう1つの重要な要素です。LeMaireが助言しています。
デバイスが単に機器に電力を供給しているようですが、その機器はより多くの電力を消費するようになっています。複雑性は効率的な電力分配の駆動から成長しました。人々は緑色のエネルギーと、それがどれほど効率的に生成できるかについて懸念しています。Davisが追加します。
“人々は、複雑性が追加の脅威をもたらし、脅威モデルの一部として考慮される必要があることを認識する必要があります。”彼は述べています。”包括的なステートメントは、攻撃者がこの潜在的な脆弱性を隠すために使用するリスク周辺です。”
認識が増加する必要があります。この問題は ますます複雑になる でしょう。
“AI が電力規制の一部として使用されているものは既に見ています。”Davisは述べています。”それはもっと複雑になるでしょう。人々は今すぐそれに取り組む必要があります。”
翻訳元: https://www.darkreading.com/cyber-risk/electricity-growing-area-cyber-risk
