IoT Challenges & NIST guidance for ICS
IoT Challenges -
Authentication
Encryption - cryptographic is typically expensive in terms of procesing power & memory requirement
Updates
ICS
PLC コンベアなど産業機械の制御→DCS ある1工場、プラント規模の制御→SCADA より前進、分散拠点なども含む;
SCADAの3つのコンポーネント
- endpoint: remote terminal unit (RTU)
- backend: data acquisition servers (DAS)
- user station: human-machine interface (HMI)
NIST SP 800-82 ICS Security
- Apply a risk management process
- Segment the network to place IDS/IPS at the subnet boundaries
- Disable unneeded ports
- Impelement least privilege
- Use encryption
- Patch management
- Monitor audit trails
System designにおけるいくつかのThreatsについて
- Maintenance hook - バックドア、デバッグモードのような入り口をあけておくこと。
→ホストベースのIDSなどで検知、ファイル暗号化による機密データの保護、あるいは監査機能による検知が対策
- TOC/TOU - 処理途中での攻撃:Asynchronous attackとも。
Race condition: 何らかの処理を間に実行させ、結果をコントロールしてしまう
TOC/TOU: 処理の間に入って、何らかの変更を加えて結果をコントロールしてしまう
→重要な処理は分けない。チェックあるいはロックの実装による対策。