何が起きたか
Cloud Security Allianceは6月2日、CSAの以前の11段階のMythos CISO説明資料をOT固有のフレームワークに翻訳したブログを公開しました。このブログは、Claude Mythosが悪用までの時間を2.3年(2018年)から1日未満に圧縮したこと、およびCSAのIT中心の推奨事項の大部分がCI/CDパイプライン、コードレベルアクセス、および医薬品、化学、ユーティリティ、製造業のOT環境では一般的に欠けている専任のセキュリティチームを想定していることを示しています。CSAは圧縮された45~90日のタイムライン全体にわたって5つのOT固有の優先行動をマッピングしています。
なぜ重要か
Mythos脆弱性発見の波は、産業用プロトコルおよびレガシーOTシステムの脆弱性を含む悪用可能なコードをすでに生成しており、複数年のパッチサイクルと変更管理ゲートを持つOT環境はITスピードで適応することができません。CSAフレームワークは、権限がIT/OT境界で終わり、運用チームと安全チームを緊急に関与させるための正当性が必要なCISOチームのための現実的な運用認識型対応計画を提供しています。
必要な対応
OTまたは重要インフラストラクチャクライアントを持つコンサルティングチームは、CSA OT Mythosフレームワークをそれらのクライアントに直ちに共有する必要があります。CISOチームは、5つのOT固有の優先事項を使用して、最も影響範囲が大きいOT資産の加速されたパッチ適用タイムラインについて、運用、安全、保守、およびコンプライアンスチームとのクロスファンクショナルな会話をトリガーする必要があります。