Engineering Workstations Are Concerning Initial Access Vector in OT Attacks
2021/08/26 SecurityWeek — 産業用制御システム (ICS : industrial Control Systems) や、運用技術 (OT : Operational Technology) を用いる組織は、サイバー脅威に対する関心を高めており、リスクに対処するための措置を講じてはいるが、多くの組織において侵害の有無が把握されていないことが、産業用サイバーセキュリティ企業である Nozomi Networks の委託を受けて、SANS Institute が実施した調査で明らかになった。SANS 2021 OT/ICS Cybersecurity Report は、多岐にわたる業界の 480人から提供された情報に基づいて作成されている。
SANS が実施した調査では、回答者の約 70%が自社の OT 環境に対するリスクは高い、または、深刻だと考えており、SANS が同様の調査を行った 2019年の 51% から大幅に増加している。多くの組織が OT 環境でのサイバー脅威を懸念している一方で、SANS の調査によると、過去1年間における OT セキュリティ侵害の有無を把握していないという回答者が 48% に上り、2019年 42% から増加している。つまり、組織における検知/対応の能力を向上させる必要があることが示されている。自社のシステムが侵害されていないと確信しているのは、わずか 12 %であり、15% がセキュリティ・インシデントの検知を認めており、その多くが何らかの形で業務に支障をきたしているという。
回答者の大多数は、インシデントの原因をハッカーとしており、次いて、組織犯罪および、サービス・プロバイダーや請負業者、従業員、活動家、国家が関与した脅威アクターとなっている。回答者が経験したインシデントの最初の攻撃経路については、外部のリモートサービス (36%) が最も多く、続いて、公開アプリケーションの悪用 (32%)、インターネットにアクセス可能なデバイス (28%)、スピアフィッシング (26%)、リムーバブル・メディア (24%)、エンジニアリング・ワークステーションの侵害 (18%) となっている。
この報告書の著者は、「特に懸念されるのは、エンジニアリング・ワークステーションを介した初期ベクターが 18% もあることだ。この割合は、ICS サイバー・キルチェーンのステージ2において、エンジニアリング・ワークステーションが次の攻撃基盤となり、プロセスに影響を与えるインシデントの多発に寄与する可能性があることから、強く懸念されている。ICS サイバー・キルチェーンの第2段階とは、第1段階で得た知識を利用して、攻撃を展開/実行することを指す。回答者の 50% 以上が、侵害される最大のリスクとして、エンジニアリング・システムを指摘している。
また、過去数年間で行われた、OT のセキュリティ対策を強化するための措置としては、約半数の企業が ICS のセキュリティ予算を増やし、3分の2以上の企業がセキュリティモ・ニタリング・プログラムを導入していることが分かった。また、インシデントを 24時間以内に検知できるようになったとする企業は、2019年の 34% から半数以上に増えている。クラウドの導入に関しては、OT や ICS システムにクラウド・ベースのサービスを利用していると答えた回答者はわずか 1% だったが、大半の回答者が産業活動を直接サポートするためにクラウド技術を利用している。
この手の、産業用制御システムに関連する記事は、必ず拾うようにしていますが、なかなか見つかりません。それでも、8月にポストした「産業制御システムに 637件の脆弱性:2021年上半期のレポート」や、7月の「IoT 固有のマルウェア感染が 700% UP するパンデミックの時代」という具合に、数は少ないですが、時々は見つかるようになってきました。この記事や、上記のリンク先からは、PDF レポートも参照/ダウンロードも可能です。
IoT OT Security News 