従来の 脆弱性 管理アプローチで見落とされている最もリスクの高い サイバー・フィジカル・システムの38%、 Claroty の Team82 の調査結果

Claroty CPSネイティブのエクスポージャー管理ソリューションを導入し、重要なシステムに直面したリスクを明らかにし、優先順位を付ける

ニューヨークとサンフランシスコ – 2024年5月7日 – サイバー・フィジカル・システム（CPS）保護会社の Clarotyは本日、新しい専有データを発表しました。これは、最も危険なCPS資産の 38%が、脆弱性管理に対する従来のアプローチによって見過ごされ、攻撃者による悪用に熟した主要な盲点を照らしていることを示しています。 この盲点に対処するために、 Claroty は、完全な専用CPS エクスポージャー管理 ソリューションを導入し、最も差し迫った脅威を優先することで、攻撃対象領域を最小化する権限を組織に与えています。

組織は最もリスクの高いエクスポージャーのいくつかに対して盲目である

To understand the scope of exposure and the associated risk facing CPS environments, Claroty’s award-winning research group Team82 analyzed data from over 20 million operational technology (OT), connected medical devices (IoMT), IoT, and IT assets in CPS environments. この研究は、“高リスク”と定義され、安全でないインターネット接続を持ち、少なくとも1つの既知の脆弱性悪用 脆弱性 （KEV）を含む資産に焦点を当てました。 研究者は、“高リスク”を、耐用年数終了状態、安全でないプロトコルとの通信、既知の脆弱性、脆弱またはデフォルトのパスワード、PIIまたはPHIデータ、失敗の結果、その他いくつかのリスク要因の組み合わせに基づいて、悪用される 可能性 が高く影響が大きいと定義しました。

主な所見には以下のものがある：

• 20% of OT and IoMT have CVSSv3.1 scores of 9.0 or above – a metric representing the traditional approach to vulnerability management, relying solely on the Common Vulnerability Scoring System version 3.1¹. このボリュームは、特にパッチ適用のウィンドウが限られているCPSアセットで、ほとんどの組織が現実的に対処できないほど圧倒的でリソース集約的であり、改善の取り組みを開始する場所を示すものではありません。

• OTとIoMTの1.6%は、“高リスク”と定義され、安全でないインターネット接続を持ち、少なくとも1つのKEVを含む 。 これは、攻撃者がリモートからアクセスできる数万もの高リスクCPS資産を表し、野生で積極的に悪用された脆弱性を含んでいます。

• これらの超高リスクのOTおよびIoMTデバイスのうち、 38%はCVSSスコアが 9.0 以上ではありません 。つまり、従来の脆弱性管理手法には気づかれませんが、脅威アクターによる悪用には驚くべきほど熟達しており、組織にとって高リスクの盲点であることを示しています。

“送電網のようなシステムの制御や救命 患者ケア供給に使用される過露出資産に関連するリスクを測定する際に、ゼロより高い数値の意味を理解することが重要です”と、 Clarotyの Team82の研究担当副社長であるAmir Preminger氏は述べました。 組織は、環境内の時限爆弾に焦点をあてた エクスポージャー管理に対する全体的なアプローチを取る必要があります。なぜなら、たとえ 9.0+ のCVSS脆弱性すべてに対処するという不可能なタスクを何らかの形で習得したとしても、組織にとって最も危険な脅威のほぼ40%を見逃すことになるからです。

Team82’s 件の調査結果については、CPS Blind Spot レポートをご覧ください。

CPSネイティブエクスポージャー管理でギャップを埋める

Gartner^®によると、セキュリティ・リーダーは、サイバーセキュリティ・リスクを軽減するためのフレームワークとツールの改善を常に求めています。 これには、予防のみのアプローチから、検知と対応能力を備えた、 成熟した予防的な へのシフトが含まれます。 攻撃サーフェスを管理するための以前のアプローチは、もはやデジタル速度に追いついていません。組織がすべてを修復できない時代や、安全に延期できる脆弱性の修正を完全に確信できない時代です。 継続的な脅威への エクスポージャー管理 （CTEM）は、優先順位を継続的に改善するための実用的かつ効果的な体系的アプローチであり、これら2つの不可能な極端の間の緊密な流れを歩んでいる。 ^{2 ページ}

製造、ヘルスケア、その他の重要なインフラ組織の 変化 するニーズを満たすため、 Claroty は Gartner CTEMフレームワークに合致する Claroty 、完全な専用CPS エクスポージャー管理 ソリューションを導入します。 このソリューションにより、顧客は現在のCPSリスク体制を理解し、既存のリソースを割り当てて、より効率的かつ効果的に改善し、最終的には出発点に関係なく、CPSセキュリティの成熟への 取り組み のりを加速することができます。

主な機能は次のとおりです。 

• エクスポージャー管理プログラムにCPSデバイスを含める： 生産プロセスのさまざまな側面の相対的なビジネス価値を考慮したマルチデータ収集方法とカスタマイズされたリスク計算を活用します。 このアプローチは、従来のエンタープライズ・ソリューションの盲点となり得るセキュリティ領域と、セキュリティ制御の優先順位を決定する際の運用結果を考慮した両方のセキュリティ領域へのネットワーク スコープ設定 基盤となります。

• CPS Discovery & 脆弱性 Assessment: Claroty Edge および関連するSBOM、通信パスとプロトコルの使用状況の マッピング 、脆弱性の帰属、脅威の監視など、柔軟性の高いディスカバリ手法を使用して、すべてのCPS資産を特定およびプロファイルし、透明性の高い独自のリスクフレームワークに基づくリスクスコアを作成します。

• 重要なCPSプロセスの優先順位付けのサポート： 特定の攻撃ベクトルによって定義された定量化された結果と、悪用される 可能性 、悪用された場合の影響、適用された統制策の補償に基づいて、修正作業に優先順位を付ける実行可能な推奨事項を受け取ります。

• エクスポージャーシナリオの安全な検証： VEXファイルやアクティブスキャン技術などの追加の発見戦術を使用してエクスプロイト可能性を調査するか、OEMと相談してリスク評価を検証し、適切な修正技術を可能にすることで、脆弱性管理の枠を超えます。

• 改善とプログラム・モビライゼーションの合理化： 業界をリードするIT/OTサイバーセキュリティおよび 資産管理 ソリューションと統合して、既存の リスク管理 プロセスを合理化し、CPS エクスポージャー管理をモバイル化します。

“脆弱性に焦点を当てた見解だけでは、組織が最も重要なことに集中するのを助けず、安全性と可用性を危険にさらす可能性のある真のエクスポージャーを残す”と、 Clarotyの最高製品責任者であるGrant Geyer氏は述べました。 リスクを軽減するには、従来の脆弱性管理プログラムから、独自のCPS資産特性と複雑さ、独自の運用上および環境上の制約、組織のリスク許容度、およびCPSサイバーリスクプログラムの望ましい結果を考慮した、より焦点を絞った 動的 エクスポージャー管理 プログラムへの進化が必要です。

ClarotyのCPSネイティブ エクスポージャー管理 ソリューションの詳細については、 

• Visit Claroty at RSA Conference 2024, taking place May 6-9 in San Francisco

• 木曜日、ET 2024年5月30日 で開催されるウェビナー“Evolving CPS Cybersecurity: The Journey to Exposure Management”に登録 11:00 してください。

• CPS エクスポージャー管理 の概要 または Clarotyのブログを読む

について Claroty

Claroty は、産業、医療、商業、公共部門の環境、つまり拡張モノのインターネット（XIoT）環境全体でサイバー物理システムを保護する権限を組織に提供します。 同社の統合プラットフォームは、顧客の既存のインフラストラクチャと統合され、可視性、リスクと脆弱性の管理、脅威の検出、安全なリモートアクセスのための幅広い制御を提供します。 世界最大の投資会社と産業用オートメーションベンダーに支えられ、 Claroty は世界中の何千もの拠点で何百もの組織に展開されています。 本社はニューヨーク市にあり、ヨーロッパ、アジア太平洋、ラテンアメリカに拠点を置いています。 詳細については、 claroty.com。

¹ 共通 脆弱性スコアリングシステム v3.1：ユーザーガイド

² Gartner、継続的脅威暴露管理（CTEM）プログラムの実施、Jeremy D'Hoinne、Pete Shoard、Mitchell Schneider、 11 October 2023 GARTNERは、ガー Gartner・インクおよび/またはその関連会社の米国および海外における登録商標およびサービスマークであり、本書で許可を得て使用されています。 無断複写・転載を禁じます。