산업 네트워크의 적절한 세분화는 보안 운영 센터(SOC) 담당자에게는 운영상 치명적인 침해와 사소한 골칫거리의 차이를 만들 수 있습니다. Claroty 거의 모든 다른 보안 제공업체와 마찬가지로, 이 관행이 강력한 산업 사이버 보안 태세의 가장 중요한 요소 중 하나라는 데 동의합니다. 이를 위해 Claroty 지속적인 위협 탐지(CTD)에는 많은 시간과 비용이 소요되는 물리적 네트워크 세분화 프로세스 없이 평평하고 개방적인 네트워크 문제를 해결하는 데 도움이 되는 고유한 기능이 포함되어 있습니다. 이 기능을 가상 영역이라고 합니다.
물리적 네트워크 세분화 개념은 새로운 것이 아니며, 일반적으로 이러한 프로젝트와 관련된 노력과 비용이 사이버 보안 회사의 책임이 아닌 경우 사이버 보안 회사가 그 이점을 선전하기 쉽습니다. 네트워크의 실제 모습과 작동 방식을 파악한 후에는 모니터링 대상인 특정 네트워크와 그 안의 산업 자산에 대한 상세한 아키텍처 지식이 필요한 또 다른 주요 과제인 어떤 경로가 중요한지 이해하는 것이 중요합니다. 그 다음에는 일반적으로 스위치, 라우터, 액세스 포인트와 같은 네트워크용 추가 하드웨어에 투자합니다.
Claroty의 산업 네트워크에 대한 가시성은 자산 검색을 넘어 네트워크 통신을 매핑하여 행동 기준선을 제공합니다. 이러한 기준선은 Claroty 의 여러 위협 탐지 엔진, 공격 벡터 매핑 및 Claroty 플랫폼의 다른 측면을 구동하는 것 외에도 네트워크를 정상적인 상황에서 서로 통신하는 자산의 논리적 그룹인 가상 영역으로 가상 세분화하는 데에도 사용됩니다.
각 가상 영역을 특징짓는 행동 패턴은 이러한 자산의 통신 방식에 대한 세분화된 규칙 및 정책 세트를 만드는 데 사용됩니다. 예를 들어, 시스템이 PLC 그룹과 HMI 그룹 간의 통신을 포착하면 사용 중인 통신 프로토콜이나 두 자산 간에 읽기 전용 작업만 수행한다는 사실 등을 식별합니다. 이러한 자산 간의 통신 패턴이 변경되면 시스템 내에서 경고가 발생합니다.
Claroty 가상 영역 계층화된 토폴로지 보기
위에서 간략히 언급했듯이 물리적 세분화는 기업에서 물리적 네트워크의 명확하고 정확한 지도를 유지해야 하기 때문에 많은 시간과 비용이 소요되는 작업일 수 있습니다. 또한 배선 및 연결과 같은 새로운 인프라를 구축하고 방화벽과 같은 새로운 시스템을 구현해야 합니다. 이러한 문제는 내부에서 더 악화될 수 있습니다. 많은 조직이 네트워크 유지 관리를 소홀히 하거나 장비 구입, 부실한 문서화, 타사 유지 관리 설계를 통해 의도치 않게 네트워크의 블랙박스 부분을 만들었습니다.
이러한 어려움에도 불구하고 세분화는 공격자가 단일 진입 지점에서 네트워크에 자유롭게 액세스하는 것을 방지하여 치명적인 네트워크 침해에 대한 귀중한 방어 수단을 제공합니다. 운영 측면에서 세분화를 통해 조직은 외부에 노출된 자산의 여러 계층 뒤에 퍼듀 모델 레벨 0(물리적 프로세스) 액세스를 배치하여 잠재적인 스필오버 이벤트로부터 중요한 프로세스를 보호할 수 있습니다.
세분화가 없는 경우의 위험은 물리적 세분화 노력의 어려움에 직면할 수 있는 대안이 필요합니다. Claroty 가상 영역이 제공합니다:
없는 곳에 세분화: 가상 영역은 세분화의 보안 이점을 달성할 수 있는 비용 효율적인 대안입니다. 가상 영역은 향후 물리적 세분화를 위한 청사진으로도 사용할 수 있습니다.
영역 간 행동 기준선으로 향상된 알림: 평소에는 통신하지 않던 그룹 간 자산이 통신하기 시작하면 보안 담당자에게 잠재적인 위협을 알리는 알림이 전송됩니다.
기존 방화벽 및 NAC 도구와 통합: 방화벽 또는 네트워크 액세스 제어(NAC) 도구와 통합하여 가상 영역은 네트워크 내의 모든 실제 및 중요 통신을 자동으로 식별합니다. 이 정보는 조직의 OT 네트워크를 세분화하는 마이크로 세분화 규칙을 만드는 데 사용할 수 있습니다.
네트워킹 세분화를 위한 첫걸음은 많은 비용과 시간이 소요되는 노력일 필요는 없으며, 이를 통해 향후 추가적인 세분화 노력을 위한 사례를 구축하는 데 도움이 될 수 있습니다.
