かつて、製造業、運輸業、公益事業、エネルギー、重要インフラで使用されるICSは、操作に使用されるコンピューターがインターネットにアクセスせず、企業ネットワークから分離されていたため、サイバー攻撃を受けにくいと考えられていた。国家による脅威、スパイ活動、内部暴露のリスクは高まっている。

システム管理者、ネットワーク管理者、サードパーティー・ベンダー、産業システム開発者、インテグレーターは、インターネットやICS管理へのアクセスにさまざまなレベルのアクセス権を持っている。このような幅広いアクセスが、知らず知らずのうちに攻撃者の侵入経路を作り出している。例えば、感染したノートパソコンを業者が持ち込んでネットワークに接続すると、管理されたICS環境に攻撃が広がる可能性がある。

IoTに接続された産業用デバイスの普及が進み、ICSの攻撃対象が劇的に増加している。Project SHINE(SHodan INtelligence Extraction)の調査によると、2012年から2014年にかけて、100万台以上のICSデバイスがインターネット上でリモートアクセスされた。

インターネット接続のリスクだけでなく、より多くのICSデバイスが商用オペレーティングシステムを実行しているため、ICSはより多様な既知の脆弱性にさらされている。

従来の情報技術と運用技術の接続と統合(IT/OTコンバージェンス)は指数関数的に増加している。IoTの採用とIT/OTコンバージェンスは、急速に変化するビジネス環境と、ICS環境における意思決定と行動を促進するためのAIの使用によって加速している。

NozomiとVectra既存のセキュリティインフラを強化

Vectra Nozomiは、ファイアウォール、エンドポイントセキュリティ、NAC、その他のエンフォースメントポイントによって新しいクラスの脅威をブロックするインテリジェンスを提供するか、SIEMやフォレンジックツールによってより広範な調査を行うための明確な出発点を提供するかどうかにかかわらず、既存のセキュリティテクノロジーからより多くの価値を提供します。

CognitoとNozomiの堅牢なAPIは、事実上あらゆるセキュリティソリューションとの応答と実施を自動化します。CognitoとNozomiは、すべての検出に対してsyslogメッセージとCEFログを生成し、優先順位付けされたホストスコアも生成します。これにより、CognitoとNozomiは単なるログのソースではなく、SIEM内の調査やワークフローの理想的なトリガーとなります。

統合の主なメリット

NozomiとVectra 協力してICSのサイバーリスクを軽減

• 攻撃ライフサイクル全体にわたる脅威の完全な可視化- CognitoとNozomiの統合により、特定の脅威だけでなく、攻撃ライフサイクル全体にわたる攻撃の進行に関する重要な洞察が得られます。この可視性により、セキュリティチームは、日和見的なボットネットの行動と、より深刻な標的型脅威とを迅速に区別し、データが盗まれたり損害を受けたりする前に対策を講じることができます。
• ネットワークに最もリスクの高いホストをピンポイントで特定-CognitoとNozomiは、ITとOTにまたがる物理ネットワークとホストにすべての悪意のある行動を自動的に関連付け、組織全体のリスクを包括的に表示します。
• CognitoとNozomiの検出結果をSIEMに自動マッピング- CognitoとNozomiの検出結果をSIEMで相関させることができ、セキュリティアナリストはCognitoとNozomiのイベントを即座に確認することができます。これにより、セキュリティチームはITデバイスとOTデバイスの両方のすべての動作とイベントを適切に関連付け、追跡することができます。

製造業、運輸業、公益事業、エネルギー、重要インフラ事業者は、NozomiとVectra 産業ネットワークの死角をVectra 。組織は増え続ける脅威に先手を打つことが可能です。 マルウェア 脅威に先手を打ち、ITおよびOTデバイス双方に影響を及ぼすサイバー攻撃による業務中断、データ窃取、その他の損害リスクを軽減できます。

脅威に対する可視性の欠如

可視性の欠如は、ICSを保護するための主要な障害です。セキュリティ・チームが重要なインフラストラクチャの保護を成功させるためには、接続され相互接続されたすべての資産、構成、通信の完全性に関する完全な知識が必要です。ICS、ネットワーク・デバイス、システム管理者を手動で監視することは、リソースに制約のある組織にとって大きな課題となります。大規模なセキュリティ・アナリスト・チームは、ICS規制環境内の攻撃や承認されていない動作を特定するために、時間のかかる手作業による分析を行わなければなりません。手作業によるアプローチは、単に拡張性がなく、効率的で効果的な方法ではありません。

成長と変化のダイナミクスに適応するIT/OTネットワーク内部の可視性は非常に重要です。組織には、意図的な攻撃や意図しない結果を検知 ために、統合されたIT/OTネットワーク上の通信、デバイス、管理者、人間の行動をリアルタイムで自動分析する技術が必要です。

産業用ネットワークのリアルタイムな可視化と脅威ハンティング

ICSは特殊であり、ITとOTのネットワークは異なるため、IT/OT環境における完全な可視化のための正しい答えは、それぞれの環境の内部構造を理解するクラス最高のテクノロジーである。NozomiとCognitoの連携により、IT/OTネットワーク内のあらゆるデバイスの挙動に関するリアルタイムの脅威情報が提供され、これらの情報を中央のポイントにロールアップすることができるため、ネットワークの挙動を相関させて攻撃のライフサイクルの全体像を把握することができます。共通のダッシュボードがあらゆる情報を提供するため、セキュリティ運用チームはIT/OTネットワーク全体の情報を観察し、脅威に迅速に対応することができます。