ICSにおける検知のための組織と期待
ICS(産業制御システム)の所有・運営企業において、ICSにおける検知および対応に適した「最善の」組織構造の事例は、よく考慮されたものであり、互いに大きく異なっていることが多い。「オペレーショナルテクノロジー(OT) 用のSOC対エンタープライズSOC」の事例についてはS4x18の公開討論の場で取り上げられているし、S4x19での「OTに特化したツール対エンタープライズ向けツール」の討論でも再び取り上げられていた。
どのような組織構造が選ばれていても、一般に合意されている重要な2つのポイントがある。
1. 検知・対応プロセスにおいて、特にインシデントの重大性および適切な対応を理解するために、ICS / OTに関する知識が必要とされる。
2. OTインシデントに関する情報は、企業の上層部に対してCISOおよびその他の経営陣にまで提供される必要がある。ICSが経営陣の関心の対象外にあり、孤立していた時代は過去のものとなっている。
私は分析を行い、一般的な企業にとっての一般的なICSの検知・対応に最適な組織構造に関する結論を導いた。しかし現実には、一般的な企業など存在しない。それぞれの企業には文化があり、現在の検知・対応の能力レベルやICS検知・対応に使えるリソースは異なっている。以前訪問した資産所有組織では、私が好ましいと考える組織構造やソリューションを適用した場合には大惨事となりそうであり、一般的な推奨内容の逆が最善のソリューションともいえるほどであった。
導入されているICS検知ソリューションがさまざまな種類のICS攻撃の検知に効果的かどうか、という問題はより重要であり、ICS検知ソリューション導入の初期段階に隠れていることの多い問題である。そして検知した後に、資産保有組織はその問題に対応することができるだろうか?
企業ネットワークにおける取り組み始めの経験はあまり役に立たない。IDS等の検知情報のソースは無視されるか、または警告基準値があまりにも高く設定されているために役に立たないかのどちらかであった。相当なレベルのスキャンやエクスプロイトに対してさえ、MSSPが資産保有組織に警告を発していない状況が、私たちのアセスメントで一般的に見られた。既存の信頼性の高いサイバーインシデント検知ソースの監視をきちんと行っているICS所有・運営企業は、依然としてほとんど存在していない。検知能力を補強するものを購入して設置することは容易であり、それがICSの業界で見うけられる。
ICSの所有・運営企業には、どのような種類の攻撃を検知できるかについての期待があるはずである。そして攻撃に対する検知および対応の両方の点で検査を行うべきであり、これが重要なことである。ICS検知チャレンジに関する最近の記事の中で、ICS検知能力のテストの困難さについて述べた。エンタープライズに対するサイバーインシデント活動とは対照的に、実際のところICSにおけるサイバーインシデントは依然として稀である。ICSの所有・運営企業は検知システムを導入し、検知も対応もせず、成功したと宣言してるかもしれない。
ICS検知ソリューションの購入、設置の前に、ICSの所有・運営企業は以下のことを実行するべきである。
1. 既存の信頼性の高いICSサイバーインシデント検出ソースを効果的に監視していることを確認する。
2. 新しいソリューションが検出すべきサイバーインシデントの例を少しリストアップする(自社が期待するもの)。これは完全なリストである必要はなく、3~5件もあれば始めるにあたっては十分だろう。例として挙げるインシデントは一つのまとまったインシデントでないことが理想的だ。ある攻撃者が目標を達成するために行うことが予想されるさまざまなステップが、リストに含まれる場合もあるだろう。エンドポイント保護、Active Directoryのログ、ファイアウォールのログ等の既存のソリューションを確実に監視することで検知が可能なサイバーインシデントは、このリスト上に繰り返し挙げるべきではない。
3. 3~5件のインシデントを作成し、自社が選んだ検知ソリューションのパイロット版でテストを行う。
4. 上記の3~5件のインシデントを使い、自社のインシデント対応の演習を行う。
検知・対応は容易なことではない。自社のICS検知に適した組織構造は、重要な決断事項だ。計画したICS検知・対応プログラムに対して自社が期待すること、そしてその期待をテストする方法は、より一層重要な決断事項となる。
著者:Dale Peterson
元記事:https://dale-peterson.com/2019/02/22/organization-and-expectations-for-ics-detection/
Dale PetersonはDigital BondのCEOで、S4カンファレンスの創始者である。S4カンファレンスは世界最大かつ最も進んだICSセキュリティカンファレンスで、マイアミサウスビーチで毎年1月に開催される。Daleの英語の記事は dale-peterson.comで読むことができる。