The FireEye Operational Technology Cyber Security Incident Ontology (OT-CSIO)
Stuxnetの発見以来、運用技術(Operation Technology:OT)に対する脅威の数は、情報技術(IT)ネットワークとの融合の増加や、OT情報、技術、ソフトウェア、および参照資料の可用性の増加などの要因によって、大幅に増加してきました。一方FireEyeでは、少数ではありますが、実際のOTに焦点を当てた攻撃のみを観察してきました。十分に文書化されたOT攻撃の標本数が限られていることと、マクロレベルの観点からの解析が不足していることは、情報に基づいたセキュリティ判断とリスク評価を行おうとする企業の防御チームとセキュリティ・リーダーにとって問題となっています。
この問題を解決するために、FireEye Intelligenceは、OT Cyber Security Incident Ontology(OT-CSIO)という概念的体系を開発しました。経営者とのコミュニケーションを支援して、リスクを評価するための指針を提供することが目的です。OT-CSIOは俯瞰的な解析に焦点を当てており、それぞれのインシデントのニュアンスについて詳細な知見を提供することには主眼を置いていません。
FireEyeの手法では、Purdueモデル(表7)に基づいて、標的設定(Target)、影響(Impact)、精巧度(Sophistication)、および影響を受けた装置のアーキテクチャ(Impacted Equipment)の4つのカテゴリーを評価しました。MITREのATT&CK Matrixのような他の手法とは異なり、FireEye IntelligenceのOT--CSIOでは、完全集約型攻撃ライフサイクルと最終的な影響のみを評価します。インシデントのそれぞれの段階で実施された戦術、技術、手順(TTP)については解説しません。表1では、4つのカテゴリーについて説明します。各クラスの詳細については、原文の付録1を参照してください。
表1:FireEye IntelligenceのOT-CSIOのカテゴリー
活動中のOT-CSIO
表2に、オントロジーに基づいて分類された、OTシステムに影響を与える実際の9つのインシデントを列挙します。オントロジーは、インシデントの最終的な影響のみを反映しており、攻撃ライフサイクル全体のすべての段階を考慮しているわけではありません。注記として、できる限り、公開済みのソースを引用していますが、FireEye Threat Intelligenceのお客様のみが利用できるインシデントに関するレポートもあります。
Incident |
Target |
Sophistication |
Impact |
Impacted Equipment |
(2000) |
ICS-targeted |
Medium |
Disruption |
Zone 3 |
(2011) |
ICS-targeted |
High |
Destruction |
Zones 1-2 |
(2012) |
ICS-targeted |
Low |
Destruction |
Zone 4-5 |
(2015) |
ICS-targeted |
Medium |
Disruption, Destruction |
Zone 2 |
(2016) |
ICS-targeted |
High |
Disruption |
Zones 0-3 |
(2017) |
Non-targeted |
Low |
Disruption |
Zone 2-3 |
TEMP.Isotope Reconnaissance Campaign (2017) |
ICS-targeted |
Low |
Data Theft |
Zones 2-4 |
(2017) |
ICS-targeted |
High |
Disruption (likely building destructive capability) |
Zone Safety, 1-5 |
Cryptomining Malware on European Water Utility (2018) |
Non-targeted |
Low |
Degradation |
Zone 2/3 |
Financially Motivated Threat Actor Accesses HMI While Searching for POS Systems (2019) |
Non-targeted |
Low |
Compromise |
Zone 2/3 |
Portable Executable File Infecting Malware Impacting Windows-based OT assets (2019) |
Non-targeted |
Low |
Degradation |
Zone 2-3 |
表2: OT-CSIOを使って分類されたサンプル
OT-CSIOマトリックスの使用方法
OT-CSIOマトリックスは、マクロレベルの観点から、OT脅威の評価について多くのメリットを提供します。それは、異なるタイプのインシデントを分類し、まだ文書化されていないが、組織にとってのリスクを表している可能性があるケースについて、さらなる分析が必要であることを示すからです。ここでは、このオントロジーの使用例をいくつか紹介します。
- 異なるタイプの攻撃を分類し、クロスケース分析を開発して、相違点と類似点を特定します。過去のインシデントに関する知識があれば、同様のシナリオを防御したり、組織によって評価されていない脅威について検討することができます。
- FireEye OT-CSIOマトリックスを活用して、さまざまなタイプの脅威、高度なテクニック、考えられる影響を視覚的に共有することで、経営幹部とのコミュニケーションを図ることができます。このツールにより、影響は大きくても頻度が低いイベントについて使用できるデータが限られていたとしても、リスクの伝達が容易になります。オントロジーは、テクニックの高度さと影響の分析に基づいて異なるタイプのインシデントのリスクを評価するための代替手段を提供します。テクニックの高度さと影響の増加は、一般的に高いリスクに相当します。
- ほかのケースのシナリオを作成し、まだ観察されていないが、将来関連する可能性がある脅威を予測します。これは、リスク評価に取り組んでいる間の支援情報として使用してください。
展望
FireEye IntelligenceのOT-CSIOは、複雑なインシデントを実用的な図に編集して、コミュニケーションと分析を容易にするものです。これらのイベントをカテゴリー分けすることは、脅威の動向全体の可視化、以前に文書化されたインシデントの知識の入手、まだ見つけられていない代替シナリオの検討に役立ちます。OTサイバー・セキュリティの分野はまだ発展途上であり、十分に文書化されたインシデント数がまだ少ないことから、カテゴリー分けすることによって、傾向を把握し、最終的にはセキュリティのギャップを特定するための機会になります。
本ブログは、米FireEyeが公開した「The FireEye OT-CSIO: An Ontology to Understand, Cross-Compare, and Assess Operational Technology Cyber Security Incidents」の要約版です。技術詳細を含むブログ全文は、英文記事をご参照ください。
日本語版:Reviewed by Toru Tanimura