By 그랜트 가이어
모든 사이버 보안 프로그램의 목표는 위험을 줄이는 것이지만, 사이버 물리 시스템(CPS)에 미치는 영향이 국가 안보, 경제 보안 및 공공 안전에 실제적인 영향을 미칠 수 있는 자산 집약적인 조직에서는 그 위험성이 더 높습니다. 지난 몇 년 동안 병원, 파이프라인, 수처리 시스템에 대한 수많은 랜섬웨어 공격만 살펴보아도 그 위험이 현실적이고, 현재적이며, 불길하다는 것을 알 수 있습니다.
문제의 핵심은 더 나은 환자 결과(연결된 의료 기기)와 비즈니스 결과(디지털 지원 프로세스 제어 네트워크)를 제공하는 동일한 CPS가 설계상 보안이 보장되지 않아 일반적으로 사이버 공격에 취약하다는 것입니다. 설상가상으로 보안 운영팀은 이러한 문제를 해결하기 위해 설계되지 않은 표준과 도구를 활용하고 있다는 것이 냉혹한 현실입니다.
중요한 인프라 자산 소유자와 운영자가 이러한 문제를 극복할 수 있는 보다 효과적인 역량을 갖출 수 있도록 지원하는 것이 바로 Claroty의 SaaS 기반 xDome 및 Medigate 플랫폼의 취약성 및 위험 관리(VRM) 모듈에 대한 최신 개선 사항의 동기입니다. 다음은 조직이 직면하고 있는 과제와 이번 출시를 통해 시장에 제공하는 솔루션에 대한 개요입니다.
포티넷의 2023 운영 기술 및 사이버 보안 현황 보고서에 따르면, 중요 인프라 부문의 CISO 중 95% 이상이 IT 환경 보안이라는 기존 책임에 더해 CPS 환경 보안을 담당하고 있거나 곧 담당하게 될 것으로 나타났습니다. 같은 보고서에서는 거의 모든 CISO가 이사회 멤버와 경영진에게 보고할 때 조직의 CPS 사이버 위험 태세를 정량화해야 한다고 언급했습니다.
안타깝게도 많은 사이버 위험 평가 솔루션의 단점으로 인해 이러한 책임이 더욱 복잡해졌습니다. 이러한 솔루션 중 상당수가 CPS 사이버 위험 점수를 제공하지만, 대부분 정확성과 실행 가능성이 부족합니다. 그 이유를 설명하기 위해 위험은 바람직하지 않은 일이 발생할 가능성과 영향에 대한 추정치라는 점을 고려하세요. CPS 보안의 맥락에서 위험도는 1) CPS가 침해될 가능성과 2) 침해가 발생할 경우 어떤 영향을 미칠 수 있는지를 반영합니다. 이러한 변수를 정확하게 평가하는 것이 필요합니다:
자산 가시성: 기존의 위험 관리 플랫폼은 어떤 사이버 물리적 시스템이 존재하고 비즈니스에 얼마나 중요한지에 대한 가시성을 제공하도록 구축되지 않았습니다. 검색에 필요한 방대한 프로토콜과 수집 메커니즘을 지원하지 않으면 도구가 자산과 관련 위험에 대해 제대로 파악하지 못합니다.
위험 요소 및 제어 가시성 보완: 각 CPS 환경에는 위험을 줄일 수 있는 잠재력이 있으므로 운영자는 완화되지 않은 위험에 집중할 수 있습니다. 세분화, 엔드포인트 보호, 액세스 제어 및 기타 보상 제어와 같은 조치는 존재하는 내재적 위험을 줄일 수 있습니다. 자동화를 활용하여 이러한 보상 제어에 대한 정보를 수집하고 이를 위험 계산에 활용하는 능력은 올바른 노출에 집중하는 데 필수적입니다. 대부분의 솔루션은 CPS 환경의 보상 제어 및 위험 요소를 완전히 고려하지 않기 때문에 솔루션이 제공하는 위험 점수가 너무 높아 보안 운영 팀이 이미 완화할 수 있는 문제까지 떠안게 될 가능성이 높습니다.
구성 가능한 리스크 프레임워크: 모든 CPS 환경과 모든 조직의 위험 허용 범위가 고유함에도 불구하고 대부분의 솔루션은 고객에게 중요한 사항에 따라 다양한 위험 요소에 가중치를 부여하는 방법을 사용자 지정할 수 있는 옵션을 거의 제공하지 않습니다. 이렇게 명백한 사실에도 불구하고 소프트웨어 공급업체는 기업이 원하는 위험 계산 방식에 맞게 구성하거나 조정할 수 없는 고정된 위험 계산을 개발하는 경우가 매우 흔합니다. 따라서 대부분의 조직은 위험 점수 산정 기능을 의미 있게 활용하여 CPS 위험 상태를 개선할 수 없습니다.
Claroty의 새롭게 강화된 VRM 기능은 이미 업계를 선도하는 CPS 가시성 및 검색 기능을 기반으로 CISO와 그 팀이 CPS 위험 상태를 효과적이고 효율적으로 이해하고 정량화할 수 있는 역량을 더욱 강화합니다:
새로운 위험 프레임워크는 위험을 증가시킬 수 있는 확장된 범위의 요인과 위험을 상쇄할 수 있는 보상 제어를 고려하기 때문에 그 어느 때보다 더 정확합니다. 이러한 기능은 즉시 사용할 수 있도록 사전 구성되어 제공되므로 CPS 보안을 처음 시작하는 고객도 CPS 위험 상태를 평가하고 자신 있게 개선 조치를 바로 취할 수 있습니다.
또한 프레임워크는 이전보다 훨씬 더 유연하고 사용자 정의할 수 있습니다. 이제 고객은 CPS 위험 점수에서 다양한 요소에 가중치를 부여하는 방식을 더욱 세부적으로 조정할 수 있으므로, 당사의 프레임워크는 특히 CPS 보안 여정이 더 진행 중이거나 CPS 위험 계산을 기존 GRC 프로세스와 더욱 밀접하게 연계하고자 하거나 단순히 CPS 위험 평가에서 요소에 가중치를 부여하는 방식을 더 잘 제어하고자 하는 고객에게 이상적입니다.
CPS 보호 노력을 더욱 복잡하게 만드는 것은 방대하고 관리하기 어려운 CPS 취약성 환경입니다. 2022년에 공개된 취약점 중 거의 70%가 CVSS v3 심각도 점수 '높음' 또는 '심각'을 받았지만, Claroty Team82의 XIoT 보안 현황 보고서에서 언급했듯이: 2022년 하반기 이후 8% 미만이 익스플로잇되었습니다.
이러한 차이에도 불구하고 기존의 통념과 표준 솔루션은 CVSS v3 심각도 점수만을 기준으로 취약점 해결의 우선순위를 정할 것을 계속 권장해 왔습니다. 그러나 2023년에 발표된 타사 연구 결과1에 따르면 이러한 권장 사항이 효율적이지도 효과적이지도 않다는 것이 입증되었습니다. 이 연구에 따르면 CVSS v3에 기반한 우선순위 지정:
평균 커버리지 비율은 82.4%입니다. 커버리지는 적극적으로 악용되는 취약점 중 우선순위가 지정된 부분입니다. 즉, CVSS v3 점수를 "높음" 또는 "심각"으로 설정한 평균 보안 팀은 환경에서 활발하게 악용되는 취약점 중 82.4%를 우선적으로 해결하고 17.6%를 간과한다는 의미입니다.
평균 효율성은 3.9%입니다. 효율성은 우선순위가 지정된 모든 취약점 중 악용되는 비율입니다. 즉, 동일한 보안 팀에서 우선순위를 지정한 모든 취약점 중 악용되는 취약점은 4% 미만이며, 96%에 가까운 수정 리소스가 악용되지 않는 취약점에 낭비된다는 뜻입니다.
Claroty의 새롭게 향상된 VRM 솔루션은 CISO와 그 팀이 다음과 같은 방법으로 CPS 환경에 영향을 미치는 취약점의 우선순위를 효과적이고 효율적으로 지정할 수 있도록 지원합니다:
이제 업계 최초로 알려진 익스플로잇 취약점(KEV) 카탈로그와 익스플로잇 예측 점수 시스템(EPSS)의 최신 현황 및 예상 익스플로잇 가능성 지표를 기반으로 모든 취약점을 보강하고 우선순위 그룹에 할당하는 VRM 제품을 제공합니다. KEV 카탈로그는 야생에서 악용된 모든 취약점을 추적함으로써 이미 무기화되고 있는 취약점에 대한 귀중한 인사이트를 제공합니다. 한편 EPSS는 데이터 과학 모델을 사용하여 향후 30일 이내에 악용될 가능성이 있는 취약점을 예측합니다.
두 소스의 최신 데이터 포인트를 결합하여 고객에게 자체 환경에 가장 큰 위험을 초래하는 취약점의 현재 상태와 단기적으로 발생할 가능성이 있는 상태에 대한 완전한 가시성을 제공할 수 있습니다. 결과적으로 고객은 더 효과적으로, 그리고 평균적으로, 11배 더 효율적으로 위협 행위자가 악용할 가능성이 가장 높은 취약점의 우선순위를 지정할 수 있습니다.
위의 다이어그램에서 볼 수 있듯이, 11배의 효율성 증가는 평균 EPSS v3의 효율성이 45.5%인 것과 3.9%인 CVSS v3를 비교하여 확인할 수 있습니다. 또한 최신 VRM 개선 사항을 통해 고객이 가장 중요한 자산을 보호하기 위한 최선의 결정을 내릴 수 있도록 지원하는 방법을 강조합니다.
각 취약성 우선순위 그룹 내의 CPS는 앞서 언급한 새로운 위험 점수 프레임워크에 의해 더욱 강화되었습니다. 이 기능에는 고객이 각 그룹 내에서 우선순위를 정해야 하는 CPS뿐만 아니라 기존 제어를 고려해야 하는지 여부, 패치 적용과 제어 보완이 위험에 미치는 영향의 정도, 각 환경의 각 CPS 및 취약점의 고유한 상황을 반영하는 추가적이고 심층적인 지침을 이해할 수 있도록 지원하는 위험 시뮬레이터가 포함되어 있습니다.
CISO와 그 팀은 CPS 사이버 리스크를 관리하는 데 있어 새로운 도전에 계속 직면하고 있으며, 저희는 이들의 고충을 덜어드리기 위해 최선을 다하고 있습니다. 무엇보다도 고객이 현재 어디에 있든, 앞으로 어디로 가고자 하든 CPS 위험 상태를 이해하고, 이를 개선하기 위해 기존 리소스를 더 잘 할당하고, CPS 보안 여정을 가속화할 수 있도록 역량을 강화하는 것을 목표로 하기 때문에 최신 VRM 개선 사항은 이를 입증하는 것입니다.
이 최신 릴리스에 대한 자세한 내용과 Claroty 에서 CPS 보안 여정을 지원하는 방법에 대해 알아보려면 xDome 또는 Medigate용 VRM 솔루션 개요를 확인하거나 보도 자료를 읽거나 간단히 데모를 요청하세요.
1. 제이콥스, 제이 외, "취약점 우선순위 지정 강화: 커뮤니티 기반 인사이트를 통한 데이터 기반 익스플로잇 예측", 2023년 6월, https://arxiv.org/pdf/2302.14172.pdf.
Claroty 및 AWS로 가장 시급한 사이버-물리적 시스템 보안 문제 해결
사이버-물리 시스템의 10가지 예시
소개합니다: 소개: Claroty 플랫폼 - 산업, 의료 및 기타 모든 중요 부문에서 CPS 확보
