システム要素

資産

資産とは、コントローラー、エンジニアリングステーション、サーバーなど、ネットワーク内のハードウェアコンポーネントを指します。OT Security の自動資産検出、分類、管理は、デバイスに対するすべての変更を継続的に追跡することで、正確な資産インベントリを提供します。これにより、運用の継続性、信頼性、安全性を簡単に維持できるようになります。また、メンテナンスプロジェクトの計画、アップグレードの優先順位付け、パッチデプロイメント、インシデント対応、緩和策においても重要な役割を果たします。

リスク評価

OT Security は、洗練されたアルゴリズムを適用して、ネットワーク上の各資産にもたらされるリスクの程度を評価します。ネットワーク内の資産ごとにリスクスコア (0 から 100) が付与されます。リスクスコアは、以下の要因に基づいて付けられます。

  • イベント — デバイスに影響を与えたネットワークでのイベント (イベントの深刻度とどれほど最近そのイベントが起きたかに基づく重み付け)。

    • 注意: イベントは新しさに従って重み付けされるため、最近のイベントは古いイベントよりもリスクスコアに大きな影響を与えます。

  • 脆弱性 — ネットワークの資産に影響を与える CVE、およびネットワークで特定されたその他の脅威 (古いオペレーティングシステム、脆弱なプロトコルの使用、脆弱なオープンポートなど)。OT Security では、これらは資産のプラグインヒットとして検出されます。

  • 資産重大度 — システムが適切に機能するうえでのデバイスの重要度を示す指標。

    注意: バックプレーンに接続されている PLC の場合、同じバックプレーンを使用している他のモジュールのリスクスコアが PLC のリスクスコアに影響を与えます。

ポリシーとイベント

ポリシーは、ネットワークで発生する疑わしいイベント、認証されていないイベント、異常なイベント、またはその他の特筆すべき特定のタイプのイベントを定義します。特定のポリシーのポリシー定義条件をすべて満たすイベントが発生すると、OT Security でイベントが生成されます。OT Security によりイベントがログに記録され、ポリシーで設定されているポリシーアクションにしたがって通知が送信されます。

ポリシーイベントには次の 2 つのタイプがあります。

  • ポリシーベースの検出 — 一連のイベント記述子で定義されたポリシーの条件が完全に満たされたときにイベントをトリガーします。

  • 異常検出 — ネットワークで異常または不審なアクティビティが識別されたときにイベントをトリガーします。

このシステムには、事前定義された一連のポリシーがあります (標準装備)。さらに、事前定義されたポリシーを編集したり、新しいカスタムポリシーを定義したりする機能も用意されています。

ポリシーベースの検出

ポリシーベースの検出では、システム内のどのイベントがイベント通知をトリガーするかについて、特定の条件を構成します。ポリシーベースのイベントは、ポリシーの条件が完全に満たされた場合にのみトリガーされます。これにより、システムが ICS ネットワークで発生する実際のイベントを警告するとともに、「誰が」、「何を」、「いつ」、「どこで」、「どのように」に関する意味のある詳細情報を提供するので、誤検出をゼロに抑えます。ポリシーは、さまざまなイベントタイプと記述子に基づいて設定することができます。

以下は、可能なポリシー設定の例です。

  • 異常または認証されていない ICS コントロールプレーンのアクティビティ (エンジニアリング) — HMI はコントローラーのファームウェアバージョンをクエリするべきでなく (偵察を示している可能性があります)、コントローラーは稼働中にプログラムされるべきではありません (権限のない悪質なアクティビティを示している可能性があります)。

  • コントローラーのコードの変更 — コントローラーロジックの変更が特定されました (「スナップショットの不一致」)。

  • 異常または不正なネットワーク通信 — 許可されていない通信プロトコルが 2 つのネットワーク資産間で使用されたか、以前に通信したことがない 2 つの資産間で通信が行われました。

  • 資産インベントリの異常または不正な変更 — 新しい資産が検出されたか、資産がネットワークでの通信を停止しました。

  • 資産プロパティの異常または不正な変更 — 資産ファームウェアまたは状態が変わりました。

  • セットポイントの異常な書き込み — 特定のパラメーターに変更が加えられると、イベントが生成されます。ユーザーは、パラメーターの許容範囲を定義し、その範囲から外れた場合にイベントを生成できます。

異常検出

異常検出ポリシーは、「通常」の動作からの逸脱を検出するシステムのビルトイン機能をベースにして、ネットワークの不審な動作を検出します。次の異常検出ポリシーを使用できます。

  • ネットワークトラフィックベースラインからの逸脱: ユーザーは、指定された時間範囲のトラフィックマップに基づいて「通常」のネットワークトラフィックのベースラインを定義し、ベースラインからの逸脱に対してアラートを生成します。ベースラインはいつでも更新できます。

  • ネットワークトラフィックの急激な上昇: ネットワークトラフィックの量または対話数の急激な増加が検出されます。

  • 潜在的なネットワークの偵察 / サイバー攻撃のアクティビティ: IP 競合、TCP ポートスキャン、ARP スキャンなど、ネットワークの偵察やサイバー攻撃のアクティビティを示すイベントが生成されます。

ポリシーカテゴリ

ポリシーは次のカテゴリで構成されています。

  • 設定イベントポリシー – これらのポリシーは、ネットワークで発生するアクティビティに関連しています。構成イベントポリシーには 2 つのサブカテゴリがあります。

    • コントローラーの検証 — これらのポリシーは、ネットワークのコントローラーで発生する変更に関連しています。対象となるものには、コントローラーの状態の変更や、ファームウェア、資産プロパティ、コードブロックの変更などがあります。ポリシーは、特定のスケジュール (平日のファームウェアアップグレードなど) および / または特定のコントローラーに制限できます。

    • コントローラーアクティビティ – これらのポリシーは、コントローラーの状態と設定に影響を与える特定のエンジニアリングコマンドに関連しています。イベントを常に生成する特定のアクティビティの定義や、イベントを生成するための一連の基準の指定が可能です。たとえば、特定のアクティビティが特定の時間や特定のコントローラーで実行された場合などです。資産、アクティビティ、スケジュールのブラックリストとホワイトリストの両方がサポートされています。

  • ネットワークイベントポリシー – これらのポリシーは、ネットワーク内の資産および資産間の通信ストリームに関連しています。これには、ネットワークに対して追加または削除された資産が含まれます。また、ネットワークの異常なトラフィックパターンや、懸念される特定の原因を挙げるフラグが立てられたトラフィックパターンも含まれます。たとえば、エンジニアリングステーションが、事前に設定された一連のプロトコルの一部ではないプロトコル (特定のベンダーによって製造されたコントローラーが使用するプロトコルなど) を使用してコントローラーと通信する場合、イベントがトリガーされます。これらのポリシーは、特定のスケジュールや特定の資産に制限される可能性があります。ベンダー固有のプロトコルは便宜上ベンダーごとにまとめられていますが、任意のプロトコルをポリシー定義で使用できます。

  • SCADA イベントポリシー – これらのポリシーは、産業プロセスに害を及ぼす可能性がある設定値の変更を検出します。この種の変更は、サイバー攻撃やヒューマンエラーに起因する場合があります。

  • ネットワーク脅威ポリシー – これらのポリシーは、署名ベースの OT/IT 脅威検出を使用して、侵入の脅威を示すネットワークトラフィックを識別します。検出は、Suricata の脅威エンジンでカタログ化されたルールに基づいています。

グループ

OT Security のポリシーの定義で重要な要素は、グループの使用です。ポリシーを構成する場合、各パラメーターは個々のエンティティではなくグループによって指定します。これにより、ポリシー構成プロセスが大幅に合理化されます。

イベント

ポリシー条件に一致するイベントが発生すると、システムでイベントが生成されます。すべてのイベントはイベント画面に表示され、関連するインベントリおよびポリシー画面からもアクセスできます。各イベントは、イベントによって引き起こされるリスクの程度を示す深刻度レベルでマークされています。通知は、イベントを生成したポリシーのポリシーアクションで指定されているように、E メール受信者および SIEM に自動的に送信されます。

承認されたユーザーはイベントを解決済みとしてマークでき、コメントを追加することができます。