※この記事は、SecurityGateのブログを抄訳したものです。
重要なインフラを運用する産業用制御システム (ICS) は、ランサムウェア攻撃者にとって価値の高い標的です。重要なインフラ内の古い SCADAデバイス、PLC、DC、およびその他の ICS コンポーネントにはセキュリティ制御が欠如しており、攻撃に対して脆弱です。ICS 環境におけるランサムウェアのリスクを軽減するには、独自の可用性と安全性の要件を考慮した 多層戦略が必要です。
ネットワークセキュリティとセグメンテーション
効果的なネットワーク セグメンテーションを実現することは非常に重要ですが、OT では困難な場合があります。フラットなオープン ネットワークよりも、ICS プロセスを DMZ、ファイアウォール、ACL (アクセス制御リスト)を備えたゾーンに論理的に分離しましょう。
ゾーンのトラフィック フローを監視して異常を検出してください。また、未使用の物理ポートを無効にします。可能であれば、ゾーン間の双方向接続ではなく、単方向ゲートウェイを実装してください。ICS プロトコルに合わせて調整されたネットワーク侵入検出および防御システムは、マルウェア通信を検出できます。
アクセス制御と認証
多要素認証と ICSに対する最小権限のアクセス許可を強制します。すべての人間のオペレーターと自動化されたプロセスのアカウントと権限を定期的に監査してください。認証機能のないレガシー デバイスの場合は、二次的な物理アクセス制御とログの追加を検討してください。アカウントの使用状況を監視して、資格情報の侵害を示す異常なパターンがないか確認します。
資産インベントリと脆弱性管理
OT 資産の不完全なインベントリとパッチが適用されずに大量の脆弱性が未解決のままとなっている状態は、ICS ランサムウェアのリスクの中で最も高いものの 1 つです。ITとOT 全体にわたるすべてのハードウェアおよびソフトウェア資産のインベントリの継続的な更新を維持してください。
既知の脆弱性を評価し、悪用される可能性と ICS 環境内での重要性に基づいてパッチ適用の優先順位を付けてください。ICS コンポーネントの脆弱性リスクを軽減するには、ベンダーのレポートと CVE を常に最新の状態に保つことが重要です。これらのレポートを資産リストと比較する必要があります。
定期的なスキャンは不可能な場合もありますが、このアプローチはスキャン不足を軽減するのに役立ちます。パッチを適用できない場合は、リスクを評価し、事前に設定したリスクのしきい値に達したら、それを補う制御を実装してください。
脅威の検出とインシデント対応
ICS をターゲットとしたランサムウェアを検出するには、従来のシグネチャベースのウイルス対策と OT 環境に合わせて調整されたふるまい分析を組み合わせる必要があります。資産の所有者は、IT スタッフと OT スタッフの両方が参加するICS 固有の厳格なインシデント対応計画を作成する必要があります。対応ハンドブックでは、作業者の安全、操作端末の使用不能、プロセスのクラッシュなど、ICS 特有の影響を考慮する必要があります。
さまざまな攻撃シナリオにおいてバックアップからシステムを復元する訓練をしてください。バックアップを定期的にテストすることは非常に重要です。
ICS ランサムウェアの脅威が増大しているため、資産の所有者は、運用とコストの制限にもかかわらず、高度なセキュリティ対策を優先的に実装する必要があります。今日のランサムウェアの脆弱性に対処できなければ、将来的に物理的、経済的、評判に大きな影響を与える可能性があります。
原文:https://securitygate.io/blog/advanced-ransomware-prevention-ics/
- カテゴリ:
- Nozomi Networks
- SecurityGate