こんにちは、Nozomi Networks製品を担当している木村と申します。
Nozomi Networksのブログに、この4月にローンチされた新たな脅威のオープン共有プラットフォームである「ETHOS」を紹介する記事が公開されていましたので紹介させていただきます。
ETHOS オープンソース イニシアチブ: 新たな脅威のオープン共有プラットフォーム
誰が: Nozomi Networks、1898 & Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Schneider Electric、Tenable、および Waterfall Security。
何を:共有された OT/ICS データを自動的に比較して、統計的に有意な動作、異常、新規および斬新な攻撃の兆候をリアルタイムで特定するオープンソース コミュニティ ツール。
どこで: Github 。非営利団体、政府、セキュリティ ベンダー、ISAC など、あらゆるエンティティによってホストされる可能性があります。複数のサーバーをホストして、同時に相互運用することができます。
いつ: 2023年4月に開始され、創設メンバーは2024年までに概念実証を構築しています。参加者は、Github上に構築された投稿および通知APIを評価し、ツールがどのように情報を匿名化および集約するかを理解することができます。最初のサーバーは現在開発中です。
なぜ: CISA の Shields Up と Biden Administration の 100 Day Sprint への呼びかけに応えて作成されたもので、運用テクノロジと重要なインフラストラクチャを標的とする新しい脅威に対応するためのタイムラインを短縮することを目的としています。
ETHOS ( E merging TH reat O pen S haring )の紹介
ETHOS は、既知の検出やマルウェア シグネチャについて警告した後にデータを共有するのではなく、リアルタイムの情報を共有して、幅広い運用技術 (OT) および産業用制御システム (ICS) 環境で異常な動作を調査するための早期警告メカニズムを開発するように設計されています。
ETHOS は、新しい脅威と活動の頻度分析を自動化し、新しい戦術、技術、および手順 (TTP) が出現したときに迅速に対応できるようにします。利点には、新しい脅威を特定して分類するためのデータの精緻化のタイムラインの短縮と、悪用の成功によるより深刻な攻撃パスの防止が含まれます。
OT 環境向けに構築された任意のエンティティまたはセキュリティ ベンダーは、プロジェクトに貢献し、独自のサーバーをホストして次のことを行うことができます。
- 共有された情報を比較し、
- 匿名化されたデータの提供、および
- 相関関係の通知を受け取ります。
Nozomi Networks は、ベータ テスト用に最初の ETHOS サーバーをホストすることを自発的に申し出ており、マシン間のデータ共有のための統合機能を既に開発しています。
将来的には、どの企業や政府機関も、オープンソース プロジェクトを利用して ETHOS サーバーを独自にホストできるようになります。ホストは、選択した参加者とクライアントが接続して情報を共有できるようにすることができます。ETHOS サーバーに参加して通知を受け取るには、データを送信するための統合機能を備えた ETHOS クライアントも必要です。
各 ETHOS サーバーは、参加しているクライアントまたは統合された監視および検出ツールによって共有されるデータの相関を排他的に実行します。各クライアントにはサーバーの一意の ID が提供され、認証はベンダーの顧客データを識別することなく行われます。調査対象の通知はエンド ユーザーに直接送信されます。ETHOS 通知に基づいてより詳細な分析と調査を実行する責任は、サーバーからの集計通知と相関通知の受信を選択した顧客にあります。
プロアクティブな情報共有の必要性
米国政府の観点から、ガイダンス文書は現在、OT/ICS を捕捉するための更新に向けて順調に進んでいます。いくつかの機関は、情報共有を可能にし、標的にされたり、システムに新たに発見された脆弱性がある場合に、セクター内およびセクター間で警告を発する新しい方法を検討しています。
ただし、単一の情報源だけでは業界全体に情報を提供することはできません。ETHOS が広く採用されれば、多くのエンティティが独立して活動し、匿名で情報を共有することに基づいて、重要なインフラストラクチャ エンティティへの差し迫った攻撃の早期警告を提供する、信頼できるサードパーティの手段として機能することができます。
IT と OT の両方に固有のベクトルとマルウェアを利用したサイバー インシデントが増加しています。サイバー フィジカル システムと運用の決定論的で専用の性質により、これまでのところ、OT/ICS に対する 2 つの攻撃が同じになることはありません。
CISAのShields Up(防衛力の強化)ガイダンスでは、
ETHOS コミュニティは、関連する重要なインフラストラクチャ エンティティと利害関係者の数に関係なく、サードパーティ、ベンダー中立、リアルタイムの匿名化された情報共有に必要な足場を構築しました。
ETHOSのビジョン
現在、関連する脅威インテリジェンスを共有するために一般的に使用されている STIX/TAXII サーバーは、情報を共有するために必要な情報が既にある場合に、利用可能なデータを共有するように設計されており、さまざまな間隔で更新が入力および配布されます。即時のリアルタイムの機密情報のビーコンとして展開されることはありません。
Nozomi Networks のようなセキュリティ監視および検出ツールと組み合わせると、ETHOS プラットフォームを選択したセキュリティ チームは、異常なアクティビティ、イベント、または悪意のあるまたは軽薄なネットワーク アクティビティのまだ認識されていないインジケータの相関頻度データのアラートを即座に受け取ります。
たとえば、ネットワーク監視、脅威インテリジェンス、および資産インテリジェンスのために Nozomi Networks ソリューションを既に展開している大規模な電力会社では、セキュリティ チームの異常検出をトリガーするイベントが発生する可能性があります。このイベントが、展開された複数のベンダー テクノロジの多くの場所で相関関係なく検出された場合、リスクのある運用は、数週間または数か月にわたって調査する必要があることを認識していない可能性があります。
あるいは、様々なベンダーのソリューションを持つ十数社の電力会社が、ETHOSサーバーで相関する同じ未知のIPアドレスを検出した場合、セキュリティチームは、このIPアドレス活動の相関レベルを知ることで、積極的に調査し予防策を講じることができます。
スプリアス アクティビティとイベント頻度を比較する ETHOS 機能により、参加しているエンド ユーザーは、顧客ベース、セクター全体、または多くのセクターにわたって、既知のシグネチャや検出に関連付けられていない最も疑わしいアクティビティを優先することができます。ETHOS は、主要なセキュリティ イベントの前兆となる可能性のある証拠の調査を可能にします。
Nozomi Networks の監視と検出
ETHOS クライアントは、Nozomi Networks プラットフォームなどのベンダー テクノロジを活用します。今日、デジタル トランスフォーメーションとプロセスの自動化により、従来の OT/ICS デバイスと企業ネットワーク、ビジネス アプリケーション、およびサプライ チェーン ベンダー、顧客、パートナー、さらには連邦規制当局などの外部組織との間のより緊密な統合が余儀なくされています。多くの企業は、これまで監視されていなかったこれらのネットワークと環境を可視化しようとしています。
Nozomi Networks ソリューションは以下を検出します。
- OT アセットと外部ネットワーク、インターネット、および新しいデバイスとの間の不正または疑わしい接続
- IP および独自のプロトコルを使用した OT および IoT ネットワーク内のサブネット間の不正または疑わしい接続
- OT アセットの構成変更
- MITRE ATT&CK および ATT&CK for ICS フレームワークの戦術、技法、手順 (TTP)
- 不要、軽薄、または不明、疑わしい、または許可されていないポート、プロトコル、およびサービスの公開および/または使用
- 異常な OT 動作および操作 (タイミング、場所、コマンドなどに基づく)
「侵害を想定する」という考え方では、セキュリティ製品は潜在的な影響の重大性を軽減することに重点を置く必要があります。最悪のシナリオが展開された後にのみ対応することではありません。
