CISO 시리즈: 가시성이 OT 취약성 관리의 기본이 되는 이유

운영 기술(OT) 환경을 보호하는 데 있어서는 1온스의 예방이 1파운드의 치료보다 중요합니다. 위협을 탐지하고 해결하는 기능은 포괄적인 사이버 방어 전략의 기본이지만, 보안팀은 공격자가 조직의 OT 네트워크에 침입할 수 있는 기회를 애초에 제거하기 위해 노력해야 합니다. 취약성 관리를 시작하세요.

위험을 줄이려면 팀은 일반적인 취약성 및 노출(CVE)을 효과적이고 효율적으로 식별하고 우선순위를 정하여 해결할 수 있어야 합니다. 그러나 사이버 보안의 다른 많은 핵심 측면과 마찬가지로 취약성 관리는 수많은 요인으로 인해 OT 환경을 다룰 때 고유하게 까다로운 문제입니다. 취약성 관리는 OT 보안의 가장 미묘하고 까다로운 측면 중 하나이므로 가장 기본적인 요소인 가시성부터 살펴봅시다.

환경 내 모든 OT 자산 식별하기

OT 가시성 없이는 OT 취약성 관리가 불가능합니다. 팀이 우선순위를 정할 취약점을 평가하기 전에 먼저 OT 환경 내에 어떤 CVE가 존재하는지 파악해야 합니다. 그리고 어떤 CVE가 존재하는지 파악하기 위해서는 OT 네트워크의 모든 자산에 대한 포괄적이고 상세한 최신 인벤토리가 필요합니다.

CISO 스타터 시리즈의 이전 편에서 자세히 설명했듯이, 보안팀은 여러 가지 이유로 OT 자산에 대한 의미 있는 가시성을 확보하는 데 어려움을 겪는 경우가 많습니다. 자산 인벤토리 및 취약성 관리와 관련하여 특히 문제가 되는 것은 다음과 같은 문제입니다:

1. 기업에서는 수십 개, 심지어 수백 개의 물리적 사이트에 걸쳐 여러 공급업체의 기존 자산과 신규 자산을 혼합하여 운영하는 것이 일반적입니다.

2. OT 자산은 공급업체별 독점 프로토콜을 사용하여 통신하므로 특수 목적의 특수 기술을 통해서만 식별하고 인벤토리를 구축할 수 있습니다.

3. OT 인벤토리 솔루션이라고 광고하는 많은 제품은 사실 기본적인 속성만 식별할 수 있는 매우 초보적인 수준입니다. 하지만 OT 환경 내에 어떤 취약점이 존재하는지 파악하기 위해서는 자산의 정확한 모델, 펌웨어 버전, 구성 등 보다 세분화된 속성에 대한 가시성이 필요합니다.

Claroty 는 수년간 업계에서 가장 광범위하고 심층적인 OT 프로토콜을 선별하여 사용자가 가장 복잡하고 특이한 환경에서도 모든 단일 자산에 대한 세분화된 데이터를 식별하고 수집할 수 있도록 해왔습니다. 새롭게 개선된 지속적인 위협 탐지(CTD) 4.1은 OT 자산 인벤토리 대시보드의 도입으로 환경에 대한 상세한 실시간 보기를 제공합니다. 이 새로운 대시보드를 통해 팀은 자산별 분석의 추가 오버레이를 통해 미시적 수준에서 환경을 이해할 수 있으며, 사용자 지정 가능한 단일 창 보기를 제공하여 자산 인벤토리를 간소화할 수 있습니다.

자산과 CVE 일치시키기

OT 자산에 대한 상세하고 정확한 인벤토리는 취약점을 식별하기 위한 전제 조건이지만, 이는 퍼즐의 절반에 불과합니다. 환경의 취약점을 정확히 찾아내려면 OT 자산과 어떤 자산에 어떤 CVE가 존재하는지 나타내는 데이터베이스를 일치시킬 수 있어야 합니다. 이러한 취약성 데이터베이스는 모든 CVE를 정확하게 식별하기 위해 방대한 자산 모델, 펌웨어 버전 및 구성을 포괄적으로 다루어야 합니다. 또한 많은 OT 자산의 유효 수명이 수십 년에 달할 수 있으므로 아직 사용 중인 오래된 기술의 광범위한 백로그도 고려해야 합니다.

상상할 수 있듯이, 정말 포괄적인 취약성 데이터베이스를 수집하는 것은 결코 쉬운 일이 아닙니다. 문제를 더욱 복잡하게 만드는 것은 대부분의 OT에는 명확한 형태의 공통 플랫폼 열거(CPE)가 없다는 점입니다. 애플리케이션, 운영 체제, 하드웨어 디바이스의 클래스를 설명하고 식별하는 표준화된 방법이 없기 때문에 OT 자산을 CVE와 일치시키는 프로세스는 시간이 많이 걸리고 부정확하며 비효율적인 경우가 많습니다. 또한 국가 취약성 데이터베이스(NVD)는 일반적으로 한 달에 수백 개의 새로운 CVE를 발표하기 때문에 가장 정교한 보안 팀도 쉽게 압도적이고 끝없는 따라잡기 게임에 휘말릴 수 있습니다.

이러한 일반적인 문제를 해결하기 위해 Claroty 에서는 취약한 프로토콜, 구성, 외부 연결 및 기타 CVE에 대한 광범위한 데이터베이스를 개발했습니다. Claroty 은 고객의 자산을 취약성 데이터베이스에 자동으로 매핑함으로써 고객이 정확하고 쉽고 효율적으로 OT 보안 결함을 식별할 수 있도록 지원합니다.

Claroty CTD 4.1은 오탐과 지루한 수동 작업을 없애고 미묘하고 정확하게 일치하는 CVE를 탐지합니다. 또한 Claroty 연구팀의 최신 취약점 발견과 NVD의 최신 CVE가 제공되는 즉시 취약점 데이터베이스에 추가되므로 이전에 알려지지 않은 보안 결함이 OT 환경에 존재할 경우 자동으로 알림을 받을 수 있으므로 안심할 수 있습니다.

Claroty 플랫폼과 새로운 기능에 대해 자세히 알아보려면 데모를 요청하세요.