目次
MITRE ATT&CK産業制御システム(ICS)とは何か?
MITRE ATT&CK ICS(Industrial Control Systems:産業制御システム)は、産業環境に関連するユニークな課題と脅威の状況に対処するために設計された特別なフレームワークである。これは、広く評価されているMITRE ATT&CK フレームワークを拡張したもので、実世界の観察に基づく敵の戦術と技術に関する世界的にアクセス可能な知識ベースです。ICSに特化したフレームワークは、発電所、工場、その他の重要なインフラストラクチャのような産業システムの運用と管理に合わせたものである。
MITRE ATT&CK for ICS は、サイバー脅威に対する産業用制御システムの回復力を理解、評価、改善するのに役立ちます。既知の敵の行動とテクニックの構造化された分類法を提供することで、このフレームワークは、セキュリティチームが、機密かつ重要な運用技術(OT)を保護するために不可欠な、標的を絞った防御戦略を開発することを可能にします。
このコンテンツはMITRE ATT&CK.
推薦図書:UEBA(ユーザーとエンティティの行動分析):完全ガイド.
MITRE ATT&CK for ICSマトリックスの構造
戦術
MITRE ATT&CK for ICS Matrixでは、産業環境における高レベルの目標として、敵対的な戦術を分類している。これらの戦術は、初期アクセスの獲得や不正コマンドの実行など、攻撃者が達成しようとする主要な目的を概説しています。この分類は、防御者が潜在的な敵対行為や最もリスクの高い段階に基づいて防御の優先順位を決めるのに役立ちます。
各戦術には、攻撃者がこれらの目標を達成するために実行する可能性のある具体的なアクションを示すいくつかのテクニックが含まれています。これらの戦術を構造化することで、このフレームワークは、攻撃ベクトルとパターンに関するより良い理解を組織に提供し、産業用制御システムの管理におけるプロアクティブな防御態勢をサポートする。
テクニック
MITRE ATT&CK for ICSフレームワークのテクニックは、攻撃者が戦術的目標を達成するための方法を詳述しています。これらのテクニックは、ハードウェアの脆弱性の悪用から、産業環境に合わせたソーシャルエンジニアリングの戦術まで、攻撃者のプレイブックに関する詳細な洞察を提供します。
このフレームワークでは、これらのテクニックを対応する戦術の下に体系的に列挙しており、防御者はこれらの作戦を予測し、軽減するために必要な知識を身につけることができます。これらのテクニックを検討することで、セキュリティチームはICSセキュリティ管理の微妙な要求に合わせた、より強固な防御メカニズムを実装することができる。
サブテクニック
MITRE ATT&CK for ICS マトリックスのサブテクニックは、より広範なテクニックを洗練させ、攻撃者の潜在的な行動についてさらに詳細なレイヤーを提供します。これらのサブテクニックは、一般的な手法の中で採用される具体的な戦術を反映し、攻撃者が特定の手法の枠組みの中で取り得るステップをより明確に可視化する。
この詳細な内訳は、組織がセキュリティ対策とフォレンジック能力を微調整するのに役立ちます。サブテクニックを理解することで、防御者は攻撃の段階をよりよく追跡することができ、迅速な対応と産業制御システム環境に特化したより効果的な緩和戦略を支援します。
MITREマトリックスについての詳しい解説をお読みください。
MITRE ATT&CK ICS戦術
初期アクセス
MITRE ATT&CK for ICS フレームワークにおける初期アクセスとは、攻撃者が産業用制御システムに侵入するために使用する様々な方法を指す。これらの方法は、要人をターゲットにしたスピアフィッシングキャンペーンから、一般向けのアプリケーションを悪用するものまで多岐にわたります。これらのベクターを理解することは、ICSの脅威に対する防御の第一線を実施する上で極めて重要である。
いったん侵入されると、攻撃者は最初のアクセスを活用して、破壊工作やスパイ活動など、より破壊的な活動の種を蒔くことができる。防御者は、このようなリスクを軽減するために、厳格なアクセス制御を採用し、通常とは異なるアクセスパターンや認証の試行を監視する必要があります。
実行
MITRE ATT&CK for ICSマトリックスにおける実行戦術は、悪意のある行為者がICS環境内でコードまたは制御システムコマンドを実行する方法を記述しています。一般的な実行方法には、スクリプトベースの実行や、検知を回避するためのネイティブシステムツールの活用などがあります。防御者は、インシデント対応と封じ込め対策を洗練させるために、これらの戦術を把握する必要があります。
実行の試みを特定し、中断することで、攻撃者の攻撃チェーンの前進を防ぐことができるため、ICS資産上でのプロセス作成とコマンド実行の監視が重要になります。タイムリーな介入は、攻撃者の目的を阻止し、重要な産業運営の完全性を維持することができます。
永続性
における粘り強い戦術MITREのフレームワーク攻撃者が最初のアクセスを確立した後、ICS 環境内での足場をどのように維持するかを詳しく説明する。その手口は、デバイスの設定を変更したり、不正な目的のために正当な機能を利用したりすることが多い。このような手口を認識することで、防御者は異常をより的確に検知し、密かに行われる保守性に対してシステムを強化することができます。
永続的な脅威を排除するには、ICSアーキテクチャとシステム運用を十分に理解する必要があり、検知後の綿密な掃討が求められます。永続的なメカニズムを効果的に根絶することで、産業用システムの長期的な保護を確保し、周期的な侵害を回避することができます。
権限昇格
ICSの文脈では、特権の拡大戦術は、攻撃者がシステムやプロセスに対する制御を拡大する方法を説明する。多くの場合、ソフトウェア設定やセキュリティポリシーの弱点を突いて、より高いシステム特権を獲得します。このような攻撃を阻止するためには、徹底したパッチ管理と最小特権の原則が不可欠です。
特権の昇格に対する防御には、継続的な構成レビューと厳格なアクセス制御の遵守が必要であり、外部攻撃者と悪意のある内部関係者の両方による悪用の可能性を制限します。セキュアなアーキテクチャを組み合わせることで、権限昇格の機会を大幅に減らし、重要なICSコンポーネントを保護することができます。
回避
回避戦術は、攻撃者がICS内での検知を回避するために使用する方法に焦点を当てる。これには、ログの改ざん、悪意のあるトラフィックを正当なものとして偽装すること、暗号化を使用してコマンドと制御トラフィックを不明瞭にすることなどが含まれる。セキュリティ・モニタリング・ツールの有効性を維持するためには、これらの手口に対する認識と準備が不可欠です。
回避の試みに対抗するために、ICSオペレータは、改ざんの微妙な兆候や難読化の洗練された戦略を発見できる高度な検出メカニズムを必要としています。進化する回避技術に対応するためには、侵入検知システムやネットワーク監視ソリューションの定期的なアップデートが必要です。
ディスカバリー
MITRE ATT&CK for ICS のディスカバリー戦術は、攻撃者がどのようにシステム環境とそのコンポーネントに関する情報を収集するかを概説している。この情報収集は、ネットワーク経路のスキャンから、重要なデバイスの特定、制御プロセスの理解まで多岐にわたります。ディスカバリー活動に対する正確な検知と対応は、先手を打った防御にとって極めて重要である。
ネットワーク・トラフィックを監視し、偵察の兆候がないかログを監査することで、セキュリティ・チームは、発見された情報を悪用される前に、攻撃者を足止めできる可能性がある。通常のアクティビティとコンフィギュレーションのベースラインを確立することで、より広範な攻撃が進行していることを示す可能性のある逸脱を迅速に発見することができます。
横の動き
横方向への移動には、攻撃者がICSネットワーク内のさまざまなシステムや領域を通過することを可能にする戦術が含まれる。このような戦術は、確立された足場や盗んだ認証情報を活用して、他のシステムやネットワークセグメントにアクセスし、制御する可能性があります。このような動きに対する警戒は、侵害を最初の侵入ポイント内に封じ込めるために不可欠である。
効果的なネットワーク・セグメンテーション、徹底したアクセス・コントロール、リアルタイムのトラフィック解析は、横方向の動きを抑制する上で極めて重要である。攻撃者がシステム間を自由に移動する能力を制限することで、防御者は攻撃の全体的な影響を大幅に軽減することができます。
コレクション
フレームワークの収集戦術は、攻撃者が ICS 環境からデータを収集するために使用するテクニックを記述する。運用計画、制御ロジックのコンフィギュレーション、ユーザーアクションなどの情報は、すべて収集の対象となり得る。不正な収集から機密データを保護することは、運用のセキュリティと完全性を維持するために極めて重要です。
データの静止時および転送時の暗号化、厳格なアクセス制御の実施、データアクセスログの定期的な監査は、不正なデータ収集を防御するための効果的な戦略です。これらの対策により、たとえ攻撃者がネットワークに侵入したとしても、重要なデータは流出から保護されます。
指揮統制
コマンド&コントロール(C2)戦術は、攻撃者がICSネットワーク内の侵害されたシステムと通信するために使用する方法に焦点を当てている。これには、従来のインターネットベースの手法や、独自プロトコルのような個別のチャネルが含まれる。攻撃者がさらに有害な活動を実行する能力を妨害するためには、これらのチャネルを緩和することが極めて重要です。
堅牢なファイアウォールを導入し、ネットワークをセグメント化し、定期的にトラフィック分析を実施することで、C2通信を遮断・隔離することができます。さらに、最新の脅威インテリジェンスを維持することで、既知の悪意のあるインフラに基づくC2活動の兆候を認識し、継続的な脅威に対する防御態勢を強化することができます。
反応抑制機能
対応機能を阻害するために、攻撃者はICSオペレータがインシデントを特定し、対応する能力を妨害することを狙うかもしれない。その手口には、アラートシステムを無効にしたり、ログデータを破壊したりすることが含まれる。このような改ざんに対してシステムが回復力を持つようにすることは、危機的状況において状況認識と運用の即応性を維持するための鍵である。
アラートメカニズムの冗長性とログデータの厳密な完全性チェックは、こうした手口から身を守るのに役立つ。また、インシデント対応プロトコルの潜在的な混乱を認識できるように要員を訓練することで、新たな脅威を効果的に管理・緩和する組織能力を強化することができる。
工程管理を損なう
プロセス制御の妨害には、ICSの運用技術を直接妨害する手口が含まれる。攻撃者は、制御ロジックを変更したり、デバイスの設定を操作したりして、生産プロセスに有害な影響を与える可能性があります。無許可の改変を検出し、迅速に対応することは、運用の中断と安全リスクを最小限に抑えるために最も重要です。
重要な制御コンポーネントの監視を強化し、厳格な変更管理プロトコルを導入することで、不正な改変を抑止することができる。ベースライン運転データの包括的な認識を醸成することで、オペレーターは、根本的な悪意ある活動を示す可能性のある逸脱を迅速に特定し、是正することができる。
インパクト
影響戦術とは、ICS環境において、攻撃がプラントの安全性、生産品質、または運用の継続性にどの程度影響するかを測定するものである。これらの戦術は、長期間の停止や物理的な損害さえも引き起こす可能性があります。様々な攻撃ベクターによる潜在的な影響を理解することは、より効果的に貴重な資産を保護するための緩和策の優先順位付けに役立ちます。
レジリエンス・プランニングと影響評価プロトコルを ICS セキュリティ戦略に組み込むことで、攻撃発生時に修復リソースをタイムリーに動員することができる。また、最悪のシナリオに対処できるようにスタッフを定期的に訓練することで、インシデント発生時の準備態勢と迅速な復旧を確保し、施設の運営への長期的な影響を最小限に抑えることができる。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、MITRE ATT&CK for ICSフレームワークをよりよく活用するためのヒントを紹介します:
リアルタイムの可視性とロギングに注目
産業用制御システムには、包括的なロギングとリアルタイムの可視性が欠けていることがよくあります。ICS デバイスを継続的に監視し、ログを中央の SIEM に集約して、悪意のある活動をリアルタイムで検出して対応できるようにします。
既知のTTPに対するICS固有の脅威のマッピング
ATT&CKフレームワークのICS固有のテクニックを使用して、脅威行為者が貴社の産業用システムをどのように狙うかをマッピングします。貴社の運用技術(OT)と重要インフラに特有の脅威に焦点を当て、防御が現実の攻撃パターンに合致していることを確認する。
ネットワークをセグメント化して横の動きを制限
特に ICS 環境では、横方向の移動が壊滅的な打撃を与える可能性があるため、ネットワークのセグメンテーションを実施する。ファイアウォールと DMZ を使用して、重要なシステムを隔離し、OT ネットワークと IT ネットワーク間のアクセスを制御する。
異常検知で OT の異常動作を監視する
ICS環境は予測可能なパターンを示すことが多いため、異常検知は重要なツールとなります。機器間の異常な通信や予期しないコマンドの実行など、正常な動作からの逸脱を侵害の早期指標として特定するために、動作ベースの監視を導入します。
実行制御メカニズムを使用して不正なアクションを緩和する
強力な実行制御ポリシーを実施することで、スクリプトの実行やシステムコマンドを制限します。承認されたソフトウェアを許可リストに追加したり、資格情報を厳重に管理したりすることで、攻撃者による悪意のあるコードの実行やプロセス制御の変更を防ぐことができます。
6 一般的なMITRE ATT&CK ICSテクニック
MITRE ATT&CK ICSフレームワークには、全部で83の技法が掲載されている。ここでは、一般的なテクニックをいくつか紹介する(残りのテクニックについては、関連するICSテクニックを参照)。
1.スピアフィッシングの添付ファイル
スピアフィッシングの添付ファイルは、MITRE ATT&CK for ICS フレームワークの中で一般的な攻撃ベクトルとして機能している。これらの悪意のある添付ファイルは、通常、合法的に見えるように調整された電子メールで、標的とされた産業関係者に送信される。教育と意識向上トレーニングは、従業員が疑わしい電子メールを認識し報告できるようにすることで、このようなフィッシングの試みによってもたらされるリスクを大幅に軽減することができる。
電子メールゲートウェイや高度なマルウェア解析ツールなどのセキュリティソリューションも、有害な添付ファイルがエンドユーザーに届く前にフィルタリングする上で重要な役割を果たします。これらのシステムをネットワーク全体にクリエイティブに導入することで、強固な境界防御が確立され、スピアフィッシング詐欺に対する全体的なセキュリティ態勢が強化される。
2.公開アプリケーションを悪用する
公開アプリケーションを悪用することで、攻撃者はリモートからICSコンポーネントに初期アクセスしたり、影響力を行使したりすることができます。インターネット上で利用可能なアプリケーションの脆弱性を特定し、タイムリーなパッチを導入することは、この種の攻撃を防御する上で極めて重要なステップです。
定期的な侵入テストと脆弱性評価により、敵に悪用される前に弱点が認識され、対処されるようにする。ウェブアプリケーションファイアウォール(WAF)の使用を含む包括的なアプリケーションセキュリティは、広範な悪用技術に対する保護を強化し、重要なICSインターフェースの完全性と可用性を維持する。
3.外部リモートサービス
外部のリモートサービスは、適切にセキュリティ保護されていない場合、ICSネットワークへの新たなゲートウェイを攻撃者に提供する可能性がある。リモート・アクセス・ポイントのセキュリティを確保するには、厳格な認証メカニズムと厳格なアクセス・コントロールが必要であり、さらにこれらのベクターの異常な活動を注意深く監視することが必要です。
多要素認証によるVPNの使用と、すべてのリモートアクセスセッションの厳格な監査を組み合わせることで、重要な露出ポイントを保護することができます。このような対策は、リモートサービスの機能を悪用しようとする外部からの不正なアクセスに対して、セキュリティ境界を維持する上で極めて重要である。
4.サービス拒否
MITRE ATT&CK for ICSの枠組みにおけるサービス拒否(DoS)戦術は、トラフィックの洪水でシステムを圧倒したり、リソースの枯渇によってシステムをクラッシュさせたりすることで、サービスの可用性を混乱させるように設計されたテクニックを包含する。このような攻撃は、ICSにおいて特に壊滅的な被害をもたらす。なぜなら、このような攻撃はオペレーションを停止させ、オペレーションと安全性に重大な問題を引き起こす可能性があるからである。
防御側は、レート制限の導入、堅牢なネットワークインフラの維持、悪意のあるトラフィックを認識しフィルタリングできる侵入防御システムの導入などにより、DoS攻撃を軽減することができます。さらに、重要なシステム・コンポーネントを冗長化し、ネットワーク・リソースのストレス・テストを定期的に実施することで、サービスがこのような攻撃に耐え、あるいは攻撃から迅速に回復できるようにすることができます。
5.ルートキット
ルートキットは、攻撃者がシステム・ソフトウェアを深く(多くの場合検出不可能に)制御することを可能にし、持続的なアクセスと操作を可能にするため、ICS環境における深刻な脅威となります。これらの悪意のあるツールは、オペレーティングシステムの機能を変更したり、プロセス、ファイル、ログを隠したり、データを傍受したりすることができます。
ルートキットを防御するために、組織は、ルートキット検出ツールを利用し、セキュアブートメカニズムを採用し、そのような脅威を検出して除去できる最新のアンチウイルスソフトウェアを維持する必要がある。また、定期的なシステム監査と異常なシステム動作の監視も、ルートキット感染の特定と対応に極めて重要である。
6.安全性の喪失
安全性の喪失は、物理的な安全対策を弱体化させることを目的として、攻撃者がICS環境内で展開する可能性のある重大な影響戦術である。プラントの操業と人員に対する深刻な物理的脅威から保護するためには、改ざんされない強固な安全・緊急管理システムを維持することが不可欠です。
定期的な安全監査と安全システム・コンポーネントの継続的な監視を組み合わせることで、安全対策を台無しにしようとする試みを確実に検出し、迅速に対処することができる。安全システムがセキュリティ・プロトコルと統合されていることを確認することで、このような脅威のリスクを最小限に抑え、大惨事につながる事態を防ぐことができる。
ICSセキュリティのベストプラクティスMITRE ATT&CK
MITREの調査に基づき、ICS配備のセキュリティを向上させるためのベストプラクティスを紹介します。
脅威の主体をTTPにマッピングする
脅威行為者を戦術、技術、手順(TTP)にマッピングすることで、攻撃パターンや潜在的な行為者の動機に関する具体的な洞察を得ることができます。このプロアクティブなアプローチは、最も関連性の高い脅威にリソースを集中させることで、個別の防御策をサポートします。
脅威インテリジェンスプラットフォームを活用し、MITRE ATT&CK for ICS のようなフレームワークを採用することで、敵の行動を体系的に分析し、分類することができます。このような構造化されたマッピングは、戦略的な防御態勢を促し、既知の脅威行為者の手法に直接対抗するセキュリティ対策を整える。
脅威モデルの定期的なアップデート
脅威モデルを定期的に更新することで、セキュリティ対策が ICS 環境における脅威の進化に対応できるようになります。攻撃者は継続的にアプローチを改良しているため、これらの変化を反映するために組織の脅威モデルを適応させることは、効果的な防御のために極めて重要です。
ダイナミックで適応可能な脅威モデルを作成するには、技術的なアップデートだけでなく、敵の戦術や業界特有の脆弱性に関する新しい情報を統合する必要がある。
定期的な改訂は、現在の脅威の状況と防御戦略の整合性を維持し、新たな課題に対するセキュリティ対策の持続的な有効性を確保するのに役立つ。
ファイアウォールとDMZの使用
ファイアウォールと非武装地帯(DMZ)は、ICSネットワークを外部の脅威から保護する上で、依然として基本的なコンポーネントである。適切に設定されたファイアウォールは、不正アクセスに対するバリアとして機能し、DMZは、セキュリティ侵害の範囲を制限できる管理された領域を提供します。
このようなネットワークを戦略的に導入するには、ICSネットワークをセグメント化してアクセスポイントを最小化し、通信経路を必要なサービスのみに制限する必要がある。ファイアウォールの定期的な監査とルールセットの更新は、新たな脅威に対応すると同時に、保護対策が不用意に正当なネットワーク運用をブロックしないようにするために不可欠である。
異常検知の実装
異常検知システムは、ICS環境における通常のオペレーションや動作からの逸脱を認識することで、潜在的な脅威を特定する上で重要な役割を果たします。高度な機械学習アルゴリズムは、セキュリティ侵害やシステムの誤動作を示す可能性のある微妙な異常をピンポイントで特定するのに役立ちます。
継続的な改善とAI技術の統合に重点を置くことで、異常検知は既知の脅威だけでなく、ゼロデイ・エクスプロイトや新種の攻撃ベクトルも先取りして特定し、対処する能力を大幅に高めることができる。
具体的なプレイブックを作成する
さまざまな脅威シナリオに対応する特定のプレイブックを開発することで、セキュリティインシデントへの標準化された効率的な対応が可能になります。これらのプレイブックは、ICSシステム特有の環境やニーズに合わせて、さまざまなタイプの侵害に対処するためのステップ・バイ・ステップのプロセスを概説している。
プレイブックは、脅威の最初の検出と検証から、封じ込め、根絶、事後処理、復旧の段階までをカバーする包括的なものでなければならない。これらのプレイブックを定期的に訓練することで、ICSセキュリティチームは迅速かつ効果的に対応し、攻撃の潜在的な影響を最小限に抑えることができる。
セキュア・バイ・デザイン原則の採用
当初からセキュアバイデザインの原則を採用することは、本質的なセキュリティリスクから ICS を強化するための基本である。固有のセキュリティを考慮したシステムを設計することで、潜在的な脅威の経路を予測し、必要なセーフガードをシステムアーキテクチャに組み込むことができる。
このプロアクティブなアプローチは、技術的な対策にとどまらず、セキュリティを根本から強化するガバナンスポリシーや運用手順にも及ぶ。設計、展開、運用の各段階を通じてこれらの原則を統合することで、組織は新たな脅威に耐える態勢を整えた強靭な ICS インフラストラクチャを確立することができる。
ソーシャル・エンジニアリング防衛
ソーシャル・エンジニアリングは、セキュリティ・チェーンの弱点である要員を直接標的にするため、ICSにおいて依然として重要な脅威である。強固な防御を構築するには、ソーシャル・エンジニアリング攻撃の性質と方法について従業員を教育する包括的なトレーニング・プログラムが必要である。
定期的なテストとリフレッシュメントコースを実施することで、従業員はソーシャルエンジニアリングのリスクに常に注意を払うことができるようになり、また、明確でわかりやすい報告手順により、不正行為が疑われる場合に断固とした行動をとることができるようになります。十分な知識を持った従業員は、この永続的な脅威に対する重要な防御となり、組織全体のセキュリティ体制を強化する。
Exabeamプラットフォームの機能:SIEM、UEBA、SOAR、内部脅威、コンプライアンス、TDIR
Exabeam Fusion Enterprise Edition Incident Responderは、AIと自動化をセキュリティ・オペレーション・ワークフローに適用することで、サイバー脅威と戦うための総合的なアプローチを実現し、最も効果的な脅威の検知、調査、対応(TDIR)を提供します:
- AIによる検知は、ユーザーやエンティティの正常な行動を学習し、コンテキストを考慮したリスクスコアリングで脅威の優先順位をつけることで、リスクの高い脅威をピンポイントで検知します。
- 自動化された調査により、セキュリティ・オペレーションが簡素化され、異種データを相関させて脅威のタイムラインを作成することができます。
- プレイブックは、ワークフローを文書化し、アクティビティを標準化することで、調査と対応を迅速化します。
- 可視化は、最も戦略的な成果とデータおよび検出のギャップを埋めるためのフレームワークに対してカバレッジをマッピングします。
これらの機能により、Exabeamはセキュリティ・オペレーション・チームがより迅速、正確かつ一貫性のあるTDIRを実現できるよう支援します。
詳細はこちらExabeam Fusion SIEM.
その他のMITRE ATT&CK説明者