산업 제어 시스템(ICS) 및 감독 제어 및 데이터 수집(SCADA) 시스템 내의 디지털 연결은 취약성 및 위협 환경을 극적으로 재편했습니다. 이러한 수준의 연결성으로 인해 기존의 취약성 관리 전략과 위험 감소 워크플로로는 실용적이지도, 충분하지도 않다는 것이 분명해졌습니다. 따라서 보안팀은 기존의 IT 방식에서 벗어나 취약성을 식별, 평가, 맥락화하는 포괄적이고 환경을 고려한 전략을 사용해야 합니다.
ICS 및 SCADA 시스템에 영향을 미치는 취약점은 효율적이고 효과적으로 관리하기가 점점 더 어려워지고 있습니다. 이는 다음과 같은 문제 때문입니다:
자산 가시성 사각지대: ICS 및 SCADA 시스템은 많은 경우 독점 프로토콜을 사용하여 기존 IT 도구에서 기존 IT 도구. 이러한 자산에 대한 가시성이 없으면 조직은 우선순위 지정 및 문제 해결 결정을 방해하는 심각한 컨텍스트 격차를 경험할 수 있습니다. 따라서 자산에 대한 포괄적인 검색 세부 정보뿐만 아니라 커뮤니케이션, 아키텍처 및 프로덕션 종속성과 관련된 시스템 컨텍스트도 확보하는 것이 필수적입니다.
취약점 우선순위 지정의 과제: 전통적으로 조직은 공통 취약점 점수 시스템(CVSS) 을 위험 평가를 위한 주요 수단으로 활용해 왔습니다. CVSS 점수는 일반적으로 환경에서 발견된 취약점의 심각도를 계산하고 취약점 수정 활동의 우선순위를 정하는 데 사용됩니다. CVSS는 위험을 평가하는 데 가장 많이 사용되는 도구 중 하나이지만 위험의 척도가 아니므로 보안 팀이 점수를 해석하고 적용하는 방식에 따라 잘못 사용될 수 있습니다.
Claroty에 따르면 Team82의 XIoT 현황 보고서에 따르면 2022년에 공개된 취약점 중 거의 70%가 CVSS v3 심각도 점수 '높음' 또는 '심각'을 받았지만 악용된 사례는 8% 미만입니다. 이러한 불일치는 CVSS 점수에 따라 우선적으로 해결하도록 권장하는 기존의 통념과 솔루션에 대한 우려를 불러일으킵니다.
표준 솔루션의 한계: ICS 및 SCADA 시스템은 고유하게 취약하며 표준 취약성 스캐너에서 생성되는 트래픽을 견딜 수 없습니다. 사용할 경우 운영을 중단하거나 완전히 비활성화할 수 있습니다.
또한 CVSS v3 심각도에 따라 취약점의 우선순위를 정하도록 권장하는 동일한 솔루션과 가이드라인은 일반적으로 ICS/SCADA 환경에서는 불가능한 방법인 패치를 통해 취약점을 완화할 것을 권장합니다. 취약점을 패치하려면 일반적으로 다운타임이 필요한데, 대부분의 OT 환경은 기반이 되는 프로세스 때문에 이를 견딜 수 없습니다. 따라서 취약성이나 위험에 관계없이 유지 관리 기간이 거의 발생하지 않습니다.
위에 나열한 복잡성과 어려움으로 인해, OT 취약성 관리 는 적절한 전략 없이는 달성하기 어려울 수 있습니다. 중요 인프라 조직은 다음 모범 사례에 따라 고유한 환경에서 취약성 관리에 대처할 수 있도록 준비해야 합니다:
자산 검색: 전체 스펙트럼의 자산 가시성이 없으면 효과적인 ICS 및 SCADA 사이버 보안 취약성 관리를 포함한 효과적인 제어를 구현하는 것은 불가능합니다. 취약점의 우선순위를 효과적으로 지정하고 관리하려면 자산 유형, 모델, 디바이스 제조업체, IP 주소, 디바이스 위치와 같은 자산 검색 세부 정보가 중요합니다. 이러한 정보가 없으면 위험 관리 도구는 취약성을 정확하게 매핑하거나 위험 요소를 특정 자산에 귀속시키거나 한 걸음 더 나아가 중요도와 우선순위에 따라 자산을 그룹화할 수 없습니다. 매우 유연한 여러 검색 방법을 갖춘 OT 보안 도구를 활용하면 조직은 각자의 요구 사항에 가장 적합한 방식으로 완전한 가시성을 확보할 수 있습니다.
취약점 식별: 표준 솔루션과 기존의 통념은 취약점 우선순위를 악용 가능성이 아닌 CVSS v3 심각도 점수를 기준으로 지정하기 때문에, 이미 과중한 업무 부담을 안고 있는 ICS/SCADA 취약점 관리 담당자가 악용되거나 악용되지 않을 취약점에 우선적으로 리소스를 소비하는 것이 일반화되어 있습니다. 리소스 낭비를 방지하기 위해 조직은 최신 현재 및 예상 익스플로잇 가능성 지표를 기반으로 익스플로잇되고 있거나 익스플로잇될 가능성이 가장 높은 취약점에 쉽게 집중할 수 있는 솔루션을 구현해야 합니다.
취약점 우선순위 지정: 다음으로, 조직은 어떤 취약점이 활발하게 악용되고 있는지(또는 악용될 가능성이 가장 높은지)를 기준으로 ICS/SCADA 환경에서 가장 중요한 취약점의 우선순위를 정하는 것이 중요합니다. 고급 취약성 관리 솔루션은 취약성에 대한 심각도 점수를 제공할 뿐만 아니라 악용 가능성 및 자산 중요도에 따라 취약성과 영향을 받는 장치를 모두 그룹화하여 위험 우선순위를 정하는 데 있어 추측을 배제합니다.
워크플로우 성숙 및 확장: 모범 사례로, 전용 OT 워크플로 또는 기존 IT 티켓팅 오케스트레이션 및/또는 관련 도구를 사용하여 ICS/SCADA 취약성 관리 전술을 확장 가능한 워크플로로 성숙시키는 것이 중요합니다. 고급 OT 사이버 보안 플랫폼의 도움으로 조직은 CMDB, 오케스트레이션, 티켓팅, SIEM 및 관련 소스와 원활하게 통합하여 기존 IT 취약성 관리 워크플로우를 OT 환경으로 쉽게 확장할 수 있습니다.
위험 태세 최적화: 최적화된 위험 관리 프로그램에서 조직은 전략적 ICS/SCADA 인사이트와 위험 권장 사항을 활용하여 사전 예방적 완화를 추진하고, 원하는 경우 기존 IT 엔드포인트 보안 솔루션을 OT의 호환 가능한 디바이스로 확장하여 위험 태세를 더욱 강화할 수 있습니다. 위험 태세를 더욱 최적화하기 위해 조직은 다음 요소에 대해 위험 프로그램을 측정할 수 있습니다:
a. 공급업체, 모델, 펌웨어 버전에 따라 알려진 CVE와 정확한 자산을 정확하게 일치시킬 수 있습니다.
b. 알려진 위험을 식별하고 분석하여 공격자가 네트워크를 침해할 가능성이 가장 높은 시나리오를 계산할 수 있습니다.
c. 네트워크에 미치는 고유한 위험에 따라 취약성을 평가하고 점수를 매길 수 있습니다.
디지털 연결이 증가하고 성공적인 공격 노출 관리 을 위한 새로운 장벽이 생겨나면서, 조직은 프로그램을 구축할 때 위의 전략을 고려하는 것이 중요합니다. 공격 노출 관리 프로그램을 구축할 때 위의 전략을 고려하는 것이 중요합니다. 모든 CPS 환경은 고유하며 맞춤형 접근 방식이 필요하다는 점을 이해해야 합니다. 이러한 접근 방식이 성공적으로 구현되면 조직은 위험 상태를 이해하고, 가장 중요한 취약점의 우선순위를 정하며, 신중하고 안전하며 CPS 환경의 위험을 줄이는 데 진정으로 영향을 미치는 완화 조치를 적용할 수 있게 됩니다.
의료 기기 취약점 관리를 위한 종합 가이드
OT 취약성 관리를 위한 궁극적인 가이드
설명: 익스플로잇 예측 점수 시스템(EPSS) 설명
