운영 기술(OT) 네트워크에 대한 위협은 혁신적이면서도 놀라울 정도로 단순하며, 프로세스에 대한 우리의 강박을 악용하여 위험을 초래하는 경우가 많습니다. 이러한 위험을 식별하는 똑같이 정교한 방법을 사용하는 것이 네트워크 보호의 핵심입니다. 이 시리즈의 뒷부분에서 자세히 다룰 내용이기도 한 OT 네트워크에 대한 전체 가시성을 확보하는 것은 시작에 필수적입니다. 그러나 이러한 가시성을 확보한 후에는 이를 사용하여 위협을 신속하고 정확하게 식별하는 것과 관련된 많은 일반적인 과제가 있습니다.
특히, OT 네트워크에 영향을 미칠 수 있는 다양한 유형의 위협을 모두 탐지하려면 여러 가지 접근 방식과 여러 도구가 필요하며, 이 중 상당수는 기업 사이트의 각 OT 네트워크에 대해 개별적으로 구성해야 합니다. 특히 광범위한 지역에 걸쳐 수많은 사이트를 보유한 기업의 경우 이러한 조건은 위협 탐지뿐만 아니라 다른 OT 보안 이니셔티브에도 지장을 줄 수 있습니다.
이러한 문제를 인식하여 저희는 고객이 직면하는 광범위한 위협에 적합하고 빠르고 간편하게 배포할 수 있는 단일 도구로 Claroty CTD를 설계했습니다. 사이트별로 설정할 필요 없이 기본적으로 구성되는 CTD의 5가지 탐지 엔진은 각각 특정 용도로 사용되며 모든 종류의 위협에 대해 뚜렷한 이점을 제공합니다. 이러한 엔진은 다음과 같습니다:
이 엔진은 네트워크 자산 또는 영역 간 통신의 변화를 식별하여 제로데이 공격과 같이 이전에 알려지지 않은 위협을 정확히 찾아냅니다. 수십 년 동안 연결을 염두에 두고 설계되지 않았기 때문에 OT 자산의 프로토콜을 식별하고 이해하기가 매우 어렵고, 대부분 IP 주소조차 없다는 사실로 인해 발생하는 문제를 극복하기 위해 이 엔진을 개발했습니다. OT 프로토콜을 제대로 번역하지 못하면 대량의 오탐이 발생하거나 최악의 경우 자산을 전혀 식별할 수 없게 될 위험이 있습니다.
이상 징후 탐지 엔진은 이러한 독점적인 OT 프로토콜에 대한 철저한 이해와 네트워크의 모든 자산에 대한 기본 동작을 인벤토리화하고 설정하는 심층 패킷 검사(DPI) 기술에서 그 기능을 도출합니다. Claroty 또한 CTD는 자동화된 네트워크 세분화를 활용하여 기준 동작을 기반으로 자산의 가상 영역을 생성합니다. 이러한 가상 영역을 통해 CTD는 이전에 알려지지 않은 위협을 나타낼 수 있는 영역 간의 비정상적인 동작 사례를 즉시 식별하고 경고할 수 있습니다.
이 엔진은 공격자가 사용한 모든 알려진 기술을 식별하는 역할을 담당합니다. 여기에는 포트 스캐닝 및 중간자 공격과 같은 IT 보안 패턴과 태그/주소 스캐닝과 같은 OT 관련 보안 패턴이 포함됩니다.
이 엔진이 찾는 알려진 OT 관련 기법의 한 예로 HAVEX 공격이 있습니다. 이 특정 공격에는 정찰 단계의 일부로 OPC 스캐닝 모듈이 포함되어 있는데, 이 모듈은 종종 SCADA 장치와 연결된 포트를 통해 네트워크에서 산업 자산을 검색하는 데 사용되었습니다. 시스템에 침투한 공격자들은 추가 익스플로잇을 위해 OT 네트워크를 매핑할 수 있었습니다.
알려진 위협 경고는 IT 보안 소프트웨어 공급업체에서 흔히 볼 수 있는 기능이지만, 특히 구성 파일의 코드 섹션을 이해하는 데 있어서는 독점적인 OT 프로토콜 및 아티팩트에 대한 경고는 고유한 과제를 제기합니다. CTD에는 알려진 침해 지표(IoC)의 시그니처와 Claroty 의 자체 연구 개발 부서인 Team82의 독점적인 위협 시그니처 연구가 탑재되어 있습니다.
이 엔진은 SNORT 및 YARA 규칙으로 구동되며 위협 헌터와 사고 대응자에게 킬 체인 초기에 표적 공격을 탐지하고 방지하는 데 필요한 컨텍스트를 제공하는 역할을 합니다. Claroty 의 YARA 및 Snort 룰 엔진은 PLC에 다운로드된 코드 섹션에서도 작동할 수 있으며, 당사의 DPI 기술이 코드 섹션을 조합하여 위협을 확인할 수 있도록 지원합니다.
OT 환경에서 탐지하기 특히 어려운 위험은 공격자가 네트워크에 침투하여 공격을 실행할 수 있는 상황으로 표준 OT 루틴을 유인하는 경우입니다. 그러나 이러한 루틴은 일반적으로 표준이기 때문에 이상 징후 탐지 엔진만으로는 이러한 공격을 식별할 수 없습니다.
CTD의 운영 행동 엔진은 DPI 기술을 사용하여 진행 중인 작업을 둘러싼 컨텍스트와 세부 정보를 모니터링합니다. 작업을 코드 수준까지 분석하여 에셋의 구성에 대한 변경 사항을 파악할 수 있습니다.
예를 들어, 트리톤 멀웨어 감염은 다운로드한 구성에 사용자 지정 CRC 검사를 추가했으며, Claroty 운영 행동 엔진은 이 구성 다운로드에 대해 경고를 보냅니다. CTD는 DPI 기술을 통해 구성 변경의 코드 차이를 확인하여 이러한 유형의 공격을 정확히 찾아내고 완화 조치를 취할 수 있도록 경고를 보냅니다. 이 모니터링은 독점 프로토콜과 오픈 소스 프로토콜 모두에서 작업 주변부에 대한 인사이트를 확장하고 구성 다운로드/업로드, 변경 모드, 키 상태 변경, 펌웨어 업그레이드와 같은 복잡한 작업을 탐지합니다.
CTD의 마지막 탐지 엔진은 가장 유연하며 특정 사용자 정의 이벤트에 의존하여 경고를 전송합니다. 이러한 유형의 이벤트는 사용자에게 중요한 특정 작업 또는 네트워크의 특정 유형의 통신에 대해 범위를 벗어난 값인 경우가 많습니다.
예방적 유지보수를 예로 들면, 조직에서 예기치 않은 자산 다운타임에 앞서 패킷 동작의 변화를 관찰한 경우 이러한 유형의 동작에 대한 경고를 생성할 수 있습니다. 다음에 이러한 동작이 발생하면 해당 자산을 해결하기 위한 사전 조치를 취할 수 있습니다.
이러한 위협 탐지 엔진은 Claroty 플랫폼이 산업 사이버 보안에 대한 총체적인 접근 방식을 제공하는 몇 가지 방법 중 일부에 불과합니다. 산업 환경에서의 위협 탐지에 대해 더 자세히 알아보려면 CISO 시작 시리즈의 OT 환경에서의 위협 탐지 편을 확인하거나 데모를 요청하세요.
고급 이상 징후 및 위협 탐지로 병원 위험 관리 해결
외부 위협 탐지: 경보 이야기
탐지: 탐지: 산업 사이버 위협 모니터링, 식별 및 대응
