IT セキュリティの測定と改善は現在、多くの企業に到達し、推進されています。 一方、OT セキュリティの問題は、多くの企業にとって未だに閉ざされた本です。 OTORIO は、IT と OT のセキュリティを同等に促進する方法と、脆弱性の管理とスコアリングがこれに果たす役割について説明します。
特定の施設、プロセス、または生産施設全体に対して最も効果的なリスク削減を達成する、最も効率的なリスク削減対策は何ですか? ただし、リスク低減策が実施され、許容可能な残留リスクが残っている場合でも、やるべきことはまだあります。 これは、リスク軽減プロセスにより、新たに導入された「許容可能な」残留リスクの一部である追加のハザードとギャップが明らかになるためです。
これは、運用および OT セキュリティ チームが、組織にできるだけ多くの損害を与えるために攻撃者が悪用する可能性が最も高い脆弱性に常に焦点を当てることができるようにするための継続的なプロセスです。 このリスク評価ループを繰り返すことによってのみ、組織は限られた量のリソースでビジネス レジリエンスを達成できます。
状況評価の目的
評価プロセスの主な目標は、適切な優先順位で脆弱性に対処することです。 この投稿では、脆弱性の性質、評価方法、および OT デジタル セキュリティへの適用について考察します。
米国国立標準技術研究所 (NIST) は、脆弱性を次のように定義しています。 このコンテキストでの脆弱性の修正には、通常、コードの変更が含まれますが、仕様の変更または仕様の廃止 (影響を受けるプロトコルまたは機能を完全に削除するなど) が含まれる場合もあります。 」
アセットインベントリとOT脆弱性の関係
アセットの正確で状況に応じた詳細なインベントリを作成することは、効果的な OT 脆弱性分析プロセスを開発するための最初のステップです。 インベントリには、ソフトウェアとバージョンの日付、デバイス接続、ステータス、および管理情報 (所有者、運用上の役割、機能など) を含める必要があります。 現在の正確なインベントリは、資産の健全性のさまざまな側面を反映しています。
初期インベントリの後、脆弱性を対応する資産にリンクできます。 このマッピングは、自動化されたプロセスを通じて行う必要があります。特に、アセットが多数ある場合はそうです。 これには、半構造化された脆弱性データをネットワーク上の資産に関連付けることができるアルゴリズムを作成して使用する必要があります。
NIST の Common Vulnerabilities and Exposures (CVE) データベースには現在、約 170.000 の既知の IT および OT 脆弱性が含まれており、重要な情報源となっています。 この数と新しい脆弱性の絶え間ない導入は、それらの特定を自動化する規模と必要性を強調しています。
脆弱性定義のソース
脆弱性を評価する際には、脆弱性インデックスを使用して各脆弱性の重大度を数値化します。 脆弱性を評価する標準的な方法は、NIST の Common Vulnerability Scoring System (CVSS) です。これは、脆弱性が悪用される可能性と、それが機密性、整合性、および可用性に及ぼす影響を評価する業界標準です。 これらの XNUMX つの要素 (「機密性、完全性、および可用性」の意味で「CIA」とも呼ばれます) も、脅威の潜在的な深刻度を測定する変数です。
ただし、一般的な脆弱性を考慮するだけでは、特定の資産の脆弱性を判断するには不十分です。 もう XNUMX つの決定要因は、会社の内部ポリシーです。 たとえば、中程度の強度のパスワードが脆弱性を構成することをそのようなポリシーが規定している場合、資産の脆弱性を計算するときにそれを考慮する必要があります。 企業固有の脆弱性は、実践者が脆弱性を評価する際の要因としてポリシーを考慮することができる主な方法です。
業界標準とベスト プラクティスも、リスクの一因となる脆弱性の重要な原因です。 業界標準の例としては、ヨーロッパの ISA/IEC 62443 や北米の NERC CIP があります。 ベスト プラクティスに従わないと、許容されるセグメンテーション構成、EDR エージェントの不足、ネットワーク内の IT エリアと OT エリア間の不当な通信などの問題が発生する可能性があります。 これらは全体的な脆弱性データベースに入力する必要があり、業界標準やベスト プラクティスの進化に応じて、対象分野の専門家が変更できます。
脆弱性の評価
実践者は、CVSS システムを使用して企業固有の脆弱性を評価し、一般的な脆弱性と同じスケールに配置する必要があります。 脆弱性データベースは、実践者が会社のポリシーに基づいて脆弱性評価に影響を与えることができるように、十分に柔軟でなければなりません。
どの資産状態も脆弱性を表す可能性があるため、すべての資産状態に企業ポリシーを適用するアルゴリズムを展開することをお勧めします。 したがって、セキュリティ状況について正しい決定を下すための基礎は、すべての脆弱性が標準的な方法に従って評価される脆弱性データベースを一貫して使用することです。 これにより、組織はリスクに基づいて軽減策に優先順位を付けることができます。
Fazit
脆弱性は XNUMX つのリスク コンポーネントの XNUMX つであり、セキュリティ体制を分析する際の重要な要素です。 主な課題は、修復アクションの優先順位を決定するために資産に適用できる脆弱性データベースを構築および維持することです。
脆弱性を評価する最善の方法は、CVSS システムに準拠することです。 その結果、組織は業界標準を維持しながら、すべての一般的な脆弱性を再評価する必要がなくなります。 このプロセスの範囲と規模のため、自動化する必要があります。 このようにして、組織はセキュリティ体制の一貫したスケーラブルな評価を定期的に実施できるため、経時的に評価を比較し、セキュリティ体制の傾向を特定することができます。
詳細は Sophos.com をご覧ください
おとりおについて
OTORIO は、次世代の OT セキュリティおよびデジタル リスク管理ソリューションを開発および販売しています。 同社は、政府の主要なサイバーセキュリティ専門家の経験と最先端のデジタルリスク管理技術を組み合わせて、重要なインフラストラクチャと製造業に最高レベルの保護を提供します。