ブログ(脅威調査)

運用技術(OT)セキュリティへのFireEyeのアプローチ

先日、FireEyeは、Cyber Physical Threat Intelligenceサブスクリプション・サービスを開始しました。これは、サイバーセキュリティの専門家に、サイバー物理システムに対する脅威とリスクに関する、高度なコンテキスト、データ、および実用的な解析を提供します。このリリースの観点から、「FireEyeの理念」と、運用技術(OT)セキュリティに対するより広範なアプローチを説明することは大切だと考えました。つまり、ITとOTの両方の環境を統合した可視化は、OTへの進入のあらゆる段階において悪意のある行為を検出するために重要です。OTセキュリティのFireEyeのアプローチとは、次のとおりです。

ITとOTのネットワークの状況を完全に把握して、脅威を早期に検知すること

ほとんどの進入に使用された部分において、攻撃対象となったものはOTアーキテクチャ層を超えています。これは、侵入に至るまでのほとんどすべてのレベルで、ITで使用しているものと同じか類似のオペレーティング・システムおよびプロトコルを使用するコンピュータ(サーバーおよびワークステーション)およびネットワークが存在し、それらが物理的な資産やプロセスの管理に影響を与えるための進入路を与えてしまうからです。頻繁に話題に上がるエアギャップは、多くの場合、伝説です。

産業制御システム(ICS)マルウェアは、その特異な性質と物珍しさから、セキュリティ・コミュニティで多くの注目を集めます。注目されるのは良いことですが、ICSを標的としたマルウェアを用いた実際の攻撃手法は特に騒ぎ立てるものではありません。IndustroyerとTRITONを利用した攻撃では、攻撃者は、ITとOT両方の環境にアクセス可能なシステムを介して、ITネットワークからOTネットワークに移動しました。従来のマルウェア・バックドア、Mimikatzで得られた情報、リモートデスクトップのセッション、および既知の簡単に検出される攻撃手法が使用され、IT、IT DMZ、OT DMZ、およびOT環境のすべてのレベルで見つかっています。

防御者とインシデント対応担当者は、攻撃ライフサイクル全体で、侵入手法、つまりTTPにもっと注意を払う必要があると考えています。これらの大部分は、「中間システム」と呼ばれるものの中に存在します。ITシステムと同じか類似のオペレーティング・システムとプロトコルを使用し、ネットワーク接続されたワークステーションとサーバーが、OT資産へのアクセスを獲得するための足がかりとなります。ほとんどすべての高度なOT攻撃が、最終的なターゲットへの踏み台としてこれらのシステムを活用するため、このアプローチは効果的です。

この考え方を説明するため、Funnel of Opportunity for OT Threat Detection と99の理論、そして分析とインシデントレスポンス作業から導き出された実例を含めて、OT脅威へのアプローチのためのいくつかの新しい概念を提示します。我々は、これらのアイデアがセキュリティ・コミュニティの他の人々への課題となることで、新しいアイデアを引き出し、議論と協力を促進することを望んでいます。最終的に、ICS運用への攻撃や妨害によって、攻撃者が隠れ蓑、ツールキット、時間、および自由を失うことを目指しています。

「Funnel of Opportunity」は、「中間システム」におけるOT攻撃の検出の価値を強調

過去15年間、ITとOTにおける最も重要な多数の脅威に対応し、解析してきたことで、FireEyeは、ほぼすべてのOTセキュリティ・インシデントで一貫したパターンを観察しました。それは、攻撃者の活動の有無と、物理的資産またはプロセスへの影響の重大度は、反比例の関係にあるということです。これを図に表すと、攻撃のライフサイクルは、攻撃者のフットプリントの幅と検知の機会の幅の両方を表す、「じょうご」の形をとります。同様に、上から下に向かって、侵入のタイムラインと物理世界への近さを表します。底部は、サイバー世界から物理世界への影響の重なる場所です。


図1:OT脅威検知の「Funnel of Opportunity」

攻撃ライフサイクルの初期段階では、侵入者は、ITとIT DMZにあるサーバーやワークステーションなどを標的に長い時間を費やします。この段階での脅威活動の特定は比較的簡単です。居座る時間が長いのに加え、攻撃グループが頻繁に目に見える形跡を残し、この活動を検知するために設計された多くの成熟したセキュリティ・ツール、サービス、機能などがあるからです。IT階層でのこの初期の侵入活動を予測したり、複雑なOT標的型攻撃と関連付けたりすることは困難ですが、ITネットワークは攻撃を検知するための最良のゾーンであることは変わりません。

初期段階の攻撃活動は、比較的容易に検出できるだけでなく、OTネットワークに悪影響を及ぼす危険性も低くなります。これは主に、OTネットワークが一般的にセグメント化されており、多くの場合、OT DMZを使用してITから分離され、産業プロセスへの攻撃者のアクセスが制限されているためです。また、標的型OT攻撃で望ましい結果をもたらすためには、OTプロセスに関する多くの情報が必要となります。この情報の一部はITネットワーク内にあるかもしれませんが、この種の攻撃を計画するには、ほぼ確実に、OTネットワークにおいてのみ利用可能な情報を必要とします。このため、侵入が進み、攻撃者がOTネットワークに近づいたり、アクセスしたりするようになるにつれて、影響の深刻度が比例して高くなります。一方、攻撃者のフットプリントが小さくなり、防御側が使用できるセキュリティ・ツールが少なくなるため、検知が困難になります。

TRITONとIndustroyer攻撃はこの現象を例証

TRITONおよびIndustroyer攻撃の最中に、被害者組織のアーキテクチャ全体で侵害されたエンドポイントの概略を図2に示します。「Funnel of Opportunity」は、2つの三角形の重なり部分です。ここでは、攻撃者の存在と侵入による運用上の結果との間のバランスによって、セキュリティ組織が脅威活動を特定することを容易にし、また意味があるものになります。その結果、OT DMZおよびDCSに近い箇所での脅威ハンティングは、最も効率的なアプローチであることを意味しています。侵入検出の機能がまだ存在し、侵入の潜在的な結果の深刻度が高くても、重大ではないためです。


図2:TRITONとIndustroyerの攻撃中に侵害されたエンドポイントの概略図

TRITONとIndustroyerの両方のインシデントでは、攻撃グループは、ITネットワークから開始してOTネットワークを通過し、最終的に物理的なプロセス管理に到達するという一貫したパターンに従って、被害者のアーキテクチャを縦断しました。どちらのインシデントでも、攻撃者が、異なるゾーンに位置するコンピュータを使用して、セグメント化されたアーキテクチャを通過することを観察しました。このブログの記事では2つのインシデントしか示していませんが、コンピュータを利用したゾーン間の移動もまた、今までのすべての公開済みOTセキュリティ・インシデントで確認されています。

99の理論:WindowsおよびLinuxシステムでほぼすべての脅威活動が発生

独立した調査とインシデント対応経験の両方から、数千の侵入の完全な攻撃ライフサイクルをFireEyeの視点で検討した結果、この理論を立証する実データを得ることができました。そのデータの一部を以下に示します。FireEyeは、標的の産業や最終的な目標にかかわらず、攻撃グループが活用している類似のTTPを一貫して特定してきました。ネットワーク・トラフィックとエンドポイントの振る舞いの可視化は、ITセキュリティにとって最も重要なコンポーネントの一部であると考えています。これらは、OTネットワーク内の主要な資産への攻撃の阻止と、OTに到達した脅威活動を検出するためにも重要です。

FireEyeの観察は、「99の理論」と呼ぶ理論に要約することができます。「99の理論」では、OTに影響を与える十分な深さまで進んだ侵入において、次のように明言しています。

  • 侵害されたシステムの99%はコンピュータ・ワークステーションとサーバー
  • マルウェアの99%はコンピュータ・ワークステーションとサーバー向けに設計される
  • フォレンジックの99%はコンピュータ・ワークステーションとサーバーで実施される
  • 検知のチャンスの99%は、コンピュータ・ワークステーションやサーバーに接続された活動にある
  • 攻撃者が費やす時間の99%は市販のコンピュータ機器上で、物理プロセス関連機器(Perdue level 0-1 devices)に到達する前の段階で使われる

その結果、多くの場合、ITとOTネットワークの両方を標的とする攻撃グループが利用するTTP間には明らかな重複があります。


図3:ITとOTの両方のインシデントで見られるTTP

図3は、TRITON、Industroyer、サイバー犯罪グループFIN6による比較的一般的な活動の間で見られる、重複したTTPの概要です。FIN6は、複数のPOS(Point-of-Sale)環境に侵入して決済カードデータを盗み出し、ダークWeb上で販売する攻撃のグループです。TRITONとIndustroyerを開発した攻撃グループの動機と最終的な目標はFIN6とは大きく異なりますが、3つの攻撃グループは、Meterpreterの使用、デュアルホーム・システムの侵害、RDPを活用したリモート接続の確立など、一般的なTTPを共有します。ITとOTに関心を持つ攻撃者間でツールとTTPが重複することは、驚くべきことではありません。OT侵害のためのITツールの使用は、IT/OTコンバージェンスとして知られている傾向と一致します。IT機器がOTシステムやネットワークに統合され、効率性や管理可能性が向上するにつれて、攻撃グループはネットワーク接続されたコンピュータを産業用制御機器への踏み台として活用すると考えられています。

高セキュリティ環境への侵入手段を比較することにより、攻撃者の振る舞いの知見を得て、攻撃ライフサイクルのより早い段階での検知を可能にします。さまざまな分野にわたる侵入に関するインテリジェンスにより、どの攻撃ツールやTTPがOT資産を持つ組織に対する攻撃で使用される可能性があるか判別することができます。

FireEyeのサービス、インテリジェンス、テクノロジーは、ITとOT分野において最高の保護を提供

このブログの記事に詳述されているOTセキュリティに対するFireEyeのアプローチは、OTを防御する際の「中間システム」の重要性を強調していますが、制御システムに影響を与える脅威活動の最も重要な1%に対応するために必要なOTの専門知識とテクノロジーの重要性を軽視するわけではありません。OTは、FireEyeのDNAに組み込まれています。FireEye MandiantのOT運用は、過去6年間、業界の指標の1つとなっており、FireEye Cyber Physical Intelligenceは、クリティカル・インテリジェンス(2009年会社創立当時の、最初の商用OT Threat Intelligence)の歴史における最新の進化した形です。


図4:FireEyeによるOT専用のサービス

OTセキュリティの理論を共有し、FireEyeの包括的なOTセキュリティ機能を強調することは、組織がこのセキュリティ課題を別の角度から見て、強固で包括的なセキュリティ・プログラムを構築するための具体的なステップを踏むのに役立つと考えています。図4は、NISTサイバー・セキュリティ・フレームワークの5つの機能に、FireEyeのOTセキュリティ・サービスを関連付け、組織のサイバー・セキュリティ・リスク管理のライフサイクルに照らしたものです。

FireEyeのOTに注力したソリューションの詳細は、FireEye OTソリューションを参照してください。

 

本ブログは、米FireEyeが公開した「The FireEye Approach to Operational Technology Security」(英語)の日本語抄訳版です。

日本語版:Reviewed by Takahiro Sajima