外部脅威の検知、アラートのストーリーとは

DXが拡大し続ける中、かつて隔離されていた産業ネットワークは外部と接続されるようになっています。この接続は、運用効率という点においては非常に有益ですが一方で重要なインフラ組織は外部の脅威にさらされています。

単純かつ安全でないITネットワーク接続の侵入から、特定の産業プロセスを標的とした高度な攻撃まで、多様な脅威を検知するにはさまざまな課題を克服する必要があります。クラロティの動画「A Story of An Alert」では、この危機的な環境においてどのように新たな攻撃から強力かつレジリエンスのあるセキュリティー制御が獲得できるかを解説しています。また、このブログではどのように外部脅威を検出しリスクを最小限に抑えるか、解説します。

また、CTDの日本語デモ動画では、操作管理画面を通してどのように確認ができるのかをご覧いただけます。

外部脅威の検出と分析とは?

外部脅威とは、一般的に悪意のあるソフトウェア、ハッキング、妨害行為、ソーシャルエンジニアリングを通じて、組織外からシステムの脆弱性を悪用する可能性を指します。外部脅威の分析とは、外部から発生する可能性のある前述の潜在的脅威を特定し、評価するプロセスを指します。

ミッションクリティカルな環境において、外部脅威は生産性やデータ、財務損失以上の影響を与える可能性があります。重要なインフラの基盤となるサイバー・フィジカル・システム（CPS）が攻撃を受けた場合、そのインシデントは、機器の故障、サプライチェーンの混乱、あるいは従業員や一般市民の安全へのリスクなど、物理的な影響を及ぼす可能性があります。

 ​ 

サイバー攻撃の例とは？

一般的に、重要インフラへのサイバー攻撃はこの環境がダウンタイムに耐えられないことを理解しているため、身代金を支払う意欲が高いと認識しています。そのため、ますます高度なサイバー犯罪によって狙われます。クラロティのStory of an Alert動画では、製造工場で行われたサイバー攻撃について詳しく説明しています。動画のシナリオでは、侵入者は以前のデータ侵害で得た認証情報を使い、他の無関係なサービスにログインする資格情報詰め込み攻撃を実行しています。環境へ制約なくアクセスを得ることにより、ハッカーは遠隔でエンジニアリングワークステーションに接続可能となりました。ネットワーク運用上重要な部分に到達したハッカーは、侵害されたエンジニアリングワークステーションに接続されているPLCに新しい設定ファイルをダウンロードすることにより攻撃を開始しました。新しくダウンロードされた設定ファイルは、PLC に重要なプロセスを無効にするよう指示します。これにより、そのプロセスを運用している機械に深刻かつ物理的な影響が及び、工場スタッフの安全に危険が及ぶまたは、工場のダウンタイムにつながる装置の故障が発生する可能性があります。もし、この組織が継続的に外部脅威分析を実施していれば、侵入を取り巻く一連の事象を特定し、攻撃の実行以前に侵入者を阻止する行動がとれたはずです。では、国内外で日々発生しているこのような攻撃を確実に阻止するため、産業組織はどのように強力なサイバーセキュリティー体制を構築できるでしょうか。 ​ ​ 

クラロティはどのように脅威を軽減しますか？

リスクを管理するために可視化、脅威の検出、脆弱性管理コントロールのどのレベルを上げても、完全に排除することはできません。そのため、クラロティは重要なインフラ組織と協力し、ハッカーがネットワークセキュリティコントロールに侵入することがある場合に、脅威を特定し、優先順位を付け、対応します。このようなシナリオにおいて、クラロティのCTD(Continuous Threat Detection)を使用することで、妨害を軽減することができました。CTDの広範な可視化、リスク分析、脅威検知の機能は、動画に登場したサイバー攻撃者による次のような破壊を防ぐように構成されています：

CTDは、ネットワークを仮想ゾーンに分割します。これらのゾーンは、タイプに分け、論理　的に関連している資産と学習された通信パターンで構成されます。通常とは異なる、または観察されていないパターンによりゾーンを横断して通信する資産は、ゾーン間のポリシー違反を引き起こし、潜在的な脅威をシステムに警告します。

 CTDは、設定のダウンロードなど、重要なネットワーク変更が発生する際、プロセスの整合性アラートを開始します。クラロティの優れたディープパケットインスペクション(DPI)機能により、CTDは設定ファイル内で変更されたコードのセグメントと行を正確に特定することが可能です。潜在的にリスクのある一連の動作に関連する場合、このアラートはアラートストーリーのルート原因分析に追加されます。

同じ攻撃やインシデントに関連するすべてのイベントを1つのアラートストーリーにグループ化し、イベントの連鎖を統合して表示します。その結果、信号対ノイズが向上し、誤検知が減り、アラートに対する疲れが軽減されトリアージと緩和がより効率的で効果的に行われます。

クラロティCTDは、すべての重要な産業環境に包括的なサイバーセキュリティー管理を提供する堅牢なソリューションです。拡張型モノのインターネット（XIoT）全体にわたる全領域の可視化を可能にすることで、CTDは組織に効果的なネットワーク保護や脆弱性とリスクの管理、脅威の検知機能を提供します。CTDは、5つの検出エンジンを搭載し、産業環境内のすべての資産、通信およびプロセスを自動的にプロファイリングし、正当なトラフィックを特徴付けて誤検出を排除し、既知および新たな脅威に対してリアルタイムに警告します。この外部脅威分析レベルにより重要インフラ組織は、資格情報詰め込み攻撃のような脅威が環境内に出現した際、確実に備えることが可能です。DXへの取り組みとリモートワークの拡大が企業を変革し続ける中、サイバーと運用のレジリエンスの継続性を確保するため、堅牢なセキュリティー管理を導入することがこれまで以上に重要です。

CTDのデモのリクエストはこちらからお問い合わせください。

CTDの日本語デモ動画はこちらからご覧ください。

◾️クラロティ公式製品ページ◾️

クラロティ　ニュースレタートップページに戻る