5つの連邦機関がゼロトラストをOTのレガシーシステム、安全上の制約、およびVolt Typhoon脅威にマッピング。
米国サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)は、運用技術の所有者および運用者に対して、自らのネットワークが安全であると想定することを中止するよう求めており、米国の電力、水道、輸送、建物自動化、および兵器支援インフラストラクチャをサポートする産業用システムに対してゼロトラストの原則を適応させるための共同ガイダンスを発表しました。
OT所有者は敵対者がすでにネットワーク内にいるという前提の下でコントロールを設計し、ネットワークロケーションではなくアイデンティティ、コンテキスト、およびリスクに基づいてすべてのアクセスリクエストを検証する必要があります。CISAおよび4つのパートナー機関は、「運用技術へのゼロトラストの原則の適応」というタイトルの28ページの文書でこのように述べています。
本ガイドは、国防総省、エネルギー省、FBI、および国務省と共同で開発され、国立標準技術研究所からの技術的貢献があります。
機関は発表を促進した脅威について率直に述べました。
「CISAはVolt Typhoonのような脅威行為者がOTシステムを標的にして、運用環境内でのアクセスを侵害、エスカレート、および維持することを観察しています」とCISAのサイバーセキュリティ担当代理エグゼクティブアシスタントディレクターのChris Buteraはリリースに付随する声明で述べました。「ゼロトラストアーキテクチャは、事業者が重要なシステムの可視性または制御を失う可能性のあるサイバーインシデントを防止するために不可欠です。」
CISA、FBI、および国家安全保障局は、2024年2月に中国が支援する国家グループが米国のITネットワーク上に前置きされ、地政学的紛争の場合にOT資産への横方向の移動を可能にしていることを最初に警告しました。このグループはその後、ライフエンドのルータを悪用した更新されたボットネット活動を再浮上させ、Versa Directorのゼロデイを悪用して米国のISPから認証情報を収集しました。
サイバーセキュリティ企業AttackIQのフィールドCISO、Pete Lubanは、ITとOTの収束がガイダンスが必要とされた構造的な理由だと述べました。「かつて隔離されていたシステムは、現在ますますエンタープライズネットワークとサードパーティサービスに接続されており、攻撃者は十分に活用しています」とLubanは述べています。「敵対者はデータ盗難だけを探しているのではなく、ネットワーク全体で横方向に移動するために使用できるビジネスと運用システムの間の弱い接合部を探しています。」OTでは、成功した侵入はサイバーセキュリティの問題から運用、安全、および公の信頼の問題に迅速にエスカレートする可能性があると彼は付け加えました。
工場フロア向けに構築された参照アーキテクチャ
まさにこれらの弱い接合部が新しいガイドが閉じようとしているものです。このドキュメントは、NIST サイバーセキュリティ フレームワーク 2.0の6つの機能(ガバナンス、アイデンティファイ、プロテクト、ディテクト、レスポンド、復旧)の周りに構造化されており、CISAのクロスセクター サイバーセキュリティ パフォーマンス ゴール 2.0、DoD ゼロトラスト参照アーキテクチャ v2.0、NIST SP 800-82r3、および国際的なISA/IEC 62443シリーズと一致しています。
しかし、機関はこれらのフレームワークのいずれもOTに修正なしで適用できないと述べました。
「伝統的な情報技術(IT)に焦点を当てたZT機能のOTへの一括適用は合理的でも実行可能でもない」とドキュメントは述べており、代わりにOTエンジニア、ITアーキテクト、およびサイバーセキュリティ専門家間の継続的な協力を求めています。
このガイダンスは、OTで使用されるActive Directoryを「個別のフォレストまたはドメイン」に分割し、ITおよびOTアイデンティティシステム間の直接的な信頼関係を避け、基盤となるデバイスがそれをサポートできない場合はジャンプホストレベルで多要素認証を実装するよう事業者に指示しています。特権セッションはボールトに保管され、記録され、時間制限されるべきであり、ジャストインタイムアクセスはリモートベンダーの接続を狭く定義されたメンテナンスウィンドウに制限するために使用されるべきであるとドキュメントはアドバイスしています。
暗号化に関して、ドキュメントは機密性と完全性を区別しました。デジタル署名による完全性と認証は、通常、OTでは機密性よりも重要です。なぜなら、通信が平文のままである場合、有効期限切れの証明書は操作を停止しないからだと機関は述べています。同時に、暗号化は安全がたいくつなシステムを妨害するレイテンシを導入できます。
その種のニュアンスは正にモデルが卸売で移植できない理由です、とSwimlanのリード セキュリティ オートメーション アーキテクト、Nick Tausekは言いました。「OTチームは、ダウンタイム、レイテンシ、および安全リスクが現実世界の結果をもたらす環境に、IT セキュリティ モデルを単純にリフトアンドシフトすることはできません」とTausekは述べています。「ゼロトラストは、重要なシステムを実行している人々のためにより多くの摩擦を作成することなく、ポリシーを実装できる精度、運用意識、および自動化で実装される必要があります。」
セキュリティチームにとっての意味
この発表は、CISAのゼロトラスト成熟度モデル 2.0が認めたギャップを閉じます。運用技術に固有の課題に対処していないと述べています。2月のセキュアなOT通信への障壁に続き、さらに初期のCISA警告では、外部に公開されたVPN、ファイアウォール、およびレガシーエッジデバイスが重要インフラストラクチャ攻撃の主要なエントリーポイントのままであることが示されています。
このドキュメントは、戦略的調達が事業者がレガシー トラップを脱出する方法であることを買い手に伝え、契約基準のためのセキュア バイ デマンドガイドとOTプロトコル解析のためのオープンソース SIEM ツールMalcolmへ指し示しています。
Lubanはより難しい問題がこれらのコントロールのいずれかが保持されていることを検証することであると述べました。組織は「信頼が想定されている場所、アクセスが広すぎる場所、および攻撃者が実際のインシデントでこれらのギャップが露出される前にエンタープライズ環境から運用システムへ移動できる可能性がある場所」を特定するために、実際の敵対者戦術に対して境界をテストする必要があります。彼は言いました。これらのテストを実行するために採用されたツールは独自のリスクを伴います。Tausekは、OT環境の横に座るようになったAI駆動のセキュリティエージェントが独自の高価値のターゲットになったと述べました。「攻撃者がエージェントを改ざんしたり、それを無効化したり、信頼されたパスウェイとして使用できれば、検出を改善することを目的としたツールが問題の一部になる可能性があります。」と彼は述べています。
