製造業がランサムウェアからIIoTリソースを保護しなければならない理由

ランサムウェアは新しいセキュリティ脅威ではありません。1989年に初めて登場し、フロッピーディスクを介して配布されました。

しかし、現代の理想的な犯罪ビジネスモデルとして、身代金と引き換えに産業環境の重要な資源を乗っ取るという、劇的な第二の人生が始まりました。

産業インフラを人質にするためには、キーボードの方が銃よりも効果的です。デジタル資産のセキュリティ保護が、製造部門や重要インフラ部門においてサイバーセキュリティの優先事項として具体的に取り上げられるようになるまでは、この問題はさらに悪化の一途をたどっています。

最近のランサムウェア攻撃の多くは、製造部門や重要インフラ部門を対象としており、これらの部門は従来、物理的資産の作成に重点を置いていました。

しかし、ほとんどの製造業界は、コンピューティングプラットフォームとリモートアクセスソリューションの多くをクラウドに急速に移行しており、産業用制御システムや工場のセンサーをクラウドからの攻撃ベクトルにさらしています。

ランサムウェア攻撃による製造コストは毎年数百万ドル

製造部門は従来、デジタル犯罪の影響をほとんど受けていないと考えられてきました。しかし、彼らは間違っています。

21 パーセント ランサムウェア攻撃のうち製造業が対象で、このセクターが支払う身代金の額は業界平均で最も高く、 20億3600万ドル 2021年に。

必要なのは、やる気のあるハッカーが製造元のハッカーを侵害することだけです クラウドセキュリティ 産業環境や工場環境の奥深くに配備された重要なコントローラーやセンサー（IIoTデバイス）にツールやリモートアクセスし、それらを無効にします。これにより、デジタル侵入による非常に現実的な物理的リスクが発生し、被害者は身代金を支払うか、無効になった操作による影響に対処するかを選択せざるを得なくなります。

ほとんどの被害者は、身代金を支払う方が安価であり、製造組織に何百万ドルもの費用がかかっていると判断しています。

ランサムウェアは、金銭的利益をほぼ確実に保証するものであるため、現代のサイバー犯罪者にとってあまりにも魅力的なターゲットです。 サービスとしてのランサムウェア ダークウェブ上にも存在し、サポート契約やヘルプデスクを完備し、意欲的なサイバー犯罪者が次の被害者を選ぶのを支援しています。

また、ランサムウェアの展開は、サイバー犯罪者の産業環境への侵入の最終段階であることがよくあります。攻撃者はまず、無効化の対象となる重要な資産を探し出し、知的財産を暴露します。そして、対象となる被害者が身代金の対価を設定するためにどのようなサイバーセキュリティ保険の補償範囲が必要かを調べます。この情報が抽出されたら、最後のステップは支払いと引き換えにインフラを人質に取ることであり、被害者の大多数は支払いを選択しています。これはサイバー犯罪者の夢の実現です。

製造業へのランサムウェア攻撃には現実世界のリスクが伴う

製造部門は長い間、ほとんどサイバー犯罪の範囲外であると認識されてきました。たとえば、工場から成る産業チェーンがエネルギー、鉄鋼、食料を生産したり、鉱業を行ったりする場合、サイバー犯罪のリスクはどの程度でしょうか。

実際には、サイバー犯罪のリスクは高いです。

2015年、ドイツの製鉄所がこのような事態を経験したことが報告されました 主張した サイバー攻撃による物理的被害の最初の例となるでしょう。サイバー犯罪者は、自社のITネットワークに接続された工場内の重要な制御システムの一部にリモートアクセスしましたが、これらは無効化されていました。これにより、重要なセンサーが工場内の熱レベルを監視できなくなり、これらのセンサーによって自動的に停止されないため、高炉が深刻な損傷を受けました。

現実世界は突然、純粋にデジタルなリスクにさらされるようになり、それ以来、サイバー犯罪者はこの事実に気付かないようになりました。

身代金の支払い:どのようなリスクがありますか?

攻撃中に身代金を支払うことを選択すると、被害者にそれなりのリスクが伴います。

サイバー保険料の増加

サイバー保険会社は、ランサムウェアが再発見される前はほとんど発生していなかったランサムウェア攻撃への対価を支払った結果、深刻な収益損失に直面しています。

通信事業者は現在、マルウェアがネットワーク内を移動することをより困難にする方法として、何らかの形のセグメンテーションをネットワークに実装するようクライアントに求めています。顧客がこれに同意すれば、毎月の保険料は下がる可能性がありますが、サイバー保険料は依然として下がっています。 大幅に増加した 過去数年間。

今や潜在的な被害者にとって最大の経済的利益となるのは、単に保険に頼るのではなく、積極的なサイバーセキュリティを真剣に受け止めることです。

不利な法的影響

2つ目のリスクは、多くのランサムウェア集団が、いわゆる米国政府のブラックリストに載っている国に拠点を置いているという事実です。 OFAC 制裁リスト （外国資産管理局）。

これは、米国が国家安全保障のために経済制裁と貿易制裁を課した外国の独裁政権、麻薬密売人、テロ組織、および武器商人のリストです。リストに載っている人々と取引をすることは、米国内の誰にとっても犯罪です。

制裁対象国のランサムウェア集団が米国を拠点とする製造資産を人質に取り、その組織が身代金を支払うことを決定した場合、組織はその集団との取引について刑事責任を負うリスクがあります。

身代金を支払うという金銭的に安いと思われる方法を選択すると、被害者は意図しない犯罪や法的に不利な結果に遭いやすくなります。

産業資産をサイバー犯罪から守る：東西の水平移動を阻止

ランサムウェアはどこかから発生しますが、それは一般的にサイバーアーキテクチャ全体のIT側からのものです。あらゆる種類のランサムウェアには共通点が1つあります。それは、すべて移動を好むということです。

ワークロードがハイジャックされると、ランサムウェアはそのワークロードで開いているポートを探して、次のワークロードに水平的に移行するためのベクトルとして使用し、そこからファブリックの産業側に目的のターゲットに向かって移動します。

ほとんどのセキュリティツールは南北の境界に配置され、データセンターやクラウドへのマルウェアの侵入を防ぎますが、ランサムウェアは、東西の水平伝播を大規模に制御することが未解決のまま残っている問題であるという事実を利用しています。

南北の境界に導入されている最善のセキュリティツールの大半は、避けられないセキュリティ侵害や、それに続く信頼できるネットワーク内での東西へのラテラル拡散に対する保護をほとんど提供していません。

ゼロトラストセグメンテーションはランサムウェアの拡散を阻止します

ゼロトラストでは、マイクロセグメンテーション (別名) を有効にする必要があります ゼロトラストセグメンテーション、規模を問わず、コンピューティング環境のすべてのワークロードを対象とし、すべてのワークロード間で最小権限のアクセスモデルを実装します。

そのマイクロセグメンテーションソリューションでは、すべてのワークロードを独自の信頼境界として定義し、基盤となるネットワークやクラウドファブリック内のアプライアンスに頼らずに定義する必要があります。 ワークロードセグメンテーション 他のすべての形態のセグメンテーションにはできるだけ依存しないようにする必要があります。

ザの 最小権限アクセスモデル すべてのワークロード間では、すべてのワークロード間のすべてのポートがデフォルトで拒否されます。ワークロード間で SSH や RDP を横方向にやり取りする必要が正当に存在することはほとんどありません。管理者がこれらのワークロードをリモートで管理するために使用するため、最新のオペレーティングシステムではすべてこれらのポートが有効になっていますが、アクセスはほとんどの場合、特定の集中管理ホストに制限されています。これらのポートはデフォルトですべてのポートを遮断する必要があります。そうすれば、許可された管理ホストにのみアクセスを許可する例外を定義できます。

すべてのワークロードを他のすべてのワークロードからセグメント化し、それらの間のすべてのポートを横方向にシャットダウンするということは、 ランサムウェア ITネットワークを通って、そこからネットワークの産業運営側に横方向に伝播する方法はありません。

ランサムウェアは、それがどれほど強力であっても、境界セキュリティソリューションを侵害する可能性があり、一度侵入されると、最初に見つかったワークロードをハイジャックします。ゼロトラストセグメンテーションでは、最初にハイジャックされたワークロードを分離できます。ワークロード間ですべてのポートが無効になり、ランサムウェアがネットワークの奥深くまで侵入する経路がなくなります。

ゼロトラストセグメンテーションは、侵害がITインフラストラクチャ全体に広がるのを防ぎます。そしてひいては、コアアーキテクチャの奥深くに位置する産業用システムを保護します。

ゼロトラストセグメンテーションは、産業インフラシステムの可視性を提供します

ゼロトラストセグメンテーションのもう1つの側面は、ネットワークの産業側とIT側の両方に導入されているすべてのシステム間のトラフィックを可視化することです。たとえば、センサーと制御システム間のトラフィックの依存関係や動作は、オンプレミスとクラウドの両方の IT ネットワーク内のシステム間のトラフィックと同様に明確に表示する必要があります。

Illumioは両方の完全な可視性を実現します。

管理対象ワークロード-仮想適用ノード (VEN) をデプロイしてアプリケーションのテレメトリを直接収集できるワークロード

アンマネージドワークロード-産業用コアネットワーク内に配置されたコントローラ、センサー、IoTカメラなどのIoTデバイスなど、VENを導入できないデバイス

Illumioは、Netflow、sFlow、IPFIX、Flowlinkなどのプロトコルを介してネットワークスイッチやロードバランサーからテレメトリを収集することで、IoTデバイスからの可視化を可能にします。これらすべてのシステム間のすべてのトラフィックは、IllumioのPCE（ポリシーコントロールエンジン）のすべての管理対象ワークロードとともに表示されます。

ポリシーは、管理対象ワークロードと管理対象外ワークロードの両方で同じ方法でPCEで定義されます。ネットワークアドレスではなくラベルを使用してワークロードを識別します。管理対象外のワークロードのポリシーはスイッチに送られ、アクセス制御リスト (ACL) に変換されます。スイッチはこれを使用して、スイッチポート間や iRules にポリシーを適用できます。その後、ロードバランサーはこの情報を使用してポリシーを適用できます。

Illumioは、デジタルデバイス間の死角を端から端まで取り除きます。これにより、ゼロトラストの完全な視覚化とラベルベースのポリシーモデルを、産業用制御システムと IT ファブリック全体に実装できます。

ゼロトラストセグメンテーションでIIoTシステムのランサムウェア保護を実現

Illumio Zero Trust Segmentationは、あらゆる産業環境を保護し、ワークロード間の水平伝播をすべて制御し、ランサムウェアの拡散に必要な攻撃ベクトルを排除します。

規模の大小を問わず、ランサムウェアの影響を受けない産業環境はありません。産業アーキテクチャ内に導入された OT システムや IIoT システムを、次のターゲットを探している日和見的なランサムウェア集団にさらされたままにしておく必要はありません。

Illumioは、ランサムウェア攻撃の影響から重要な産業用IIoT環境全体を保護できるため、ランサムウェアの最新の被害者として企業が将来の新聞に掲載されるのを防ぐことができます。

ゼロトラストセグメンテーションによるランサムウェアの封じ込めについて詳しく知りたいですか？当社のサイトをご覧ください ランサムウェアの封じ込め ページ。