何が起きたか
Cloud Security Allianceは6月2日、CSAの以前の11項目のMythos CISO ブリーフィングをOT特化型フレームワークに翻訳したブログを公表しました。このブログでは、Claude Mythosが悪用までの時間を2.3年(2018年)から1日未満に短縮したこと、またCSAのIT中心の推奨事項の大部分は医薬品、化学、公共事業、製造業のOT環境が通常持たないCI/CDパイプライン、コードレベルアクセス、および体制的なセキュリティチームを前提としていることを指摘しています。CSAは、45~90日の短縮タイムテーブル全体で5つのOT特化型優先行動をマッピングしています。
なぜ重要か
Mythos脆弱性発見の波は、産業用プロトコルおよびレガシーOTシステムの脆弱性を含む悪用準備完了コードをすでに生成しており、複数年のパッチサイクルと変更管理ゲートを持つOT環境はIT速度に適応できません。CSAフレームワークは、IT/OT境界で権限が終わり、操業チームと安全チームに緊急に関与することの正当性が必要なCISO チームのための現実的で操業を考慮した対応計画を提供します。
必要な対応
OTまたは重要インフラクライアントを持つコンサルティングチームは、CSA OT Mythosフレームワークをただちにそれらのクライアントと共有すべきです。CISOチームは、5つのOT特化型優先項目を使用して、最も影響範囲の大きいOT資産のパッチ適用タイムラインの加速について、操業、安全、保守、およびコンプライアンスチームとの部門横断的な会話をトリガーすべきです。