사이버 보안 프레임워크를 따르면 중요 인프라 조직에 사이버 보안 위험을 관리하기 위한 포괄적인 접근 방식을 제공할 수 있습니다. 일반적으로 사이버 보안은 업계 모범 사례, 표준 및 가이드라인을 중심으로 이루어지며, 조직에 사이버 물리 시스템(CPS)을 보호하기 위한 일련의 입증된 방법을 제공합니다. 사이버 물리 시스템(CPS) - 운영 기술(OT) 자산, 건물 관리 시스템(BMS), 연결된 의료 기기 및 기타 중요 자산을 포함합니다. 사이버 보안 프레임워크에 의해 확립된 공통 언어와 검증된 조치는 이해관계자 간의 일관성과 상호 운용성을 촉진하는 데 핵심적인 역할을 합니다. 협업과 커뮤니케이션을 촉진함으로써 조직은 내부 및 외부 파트너와 사이버 보안 관련 정보를 공유하여 이점을 얻을 수 있습니다.
신뢰를 구축하고, 모범 사례를 따르고, 규제 요건을 충족하고, 사이버 및 운영 복원력을 보장하는 것은 강력하고 효과적인 보안 프로그램을 구축할 때 사이버 보안 프레임워크가 제공하는 필수적인 단계입니다. 이 블로그에서는 미국에서 가장 널리 인정받고 채택된 사이버 보안 프레임워크와 이를 통해 진화하는 디지털 환경에서 조직을 보호할 수 있는 방법에 대해 설명합니다.
미국 국립표준기술연구소(NIST)에서 개발한 사이버보안 프레임워크(CSF)는 사이버보안 태세를 관리하고 개선하기 위한 유연한 위험 기반 접근 방식을 위한 지침, 모범 사례 및 표준을 조직에 제공합니다. NIST CSF는 미국 정부의"중요 인프라 사이버 보안 개선"이라는 제목의 행정 명령에 따라 만들어졌으며, 미국의 모든 민간 부문 조직이 정보 보안 및 사이버 보안 위험 관리를 구현할 수 있는 출발점을 제공합니다. 미국 정부 기관 및 미국 정부와 거래하는 모든 조직에 대해서만 NIST CSF를 의무적으로 채택해야 하지만, 이는 미국의 모든 산업에서 가장 널리 채택된 보안 프레임워크 중 하나이며, 모든 조직이 확장된 사물 인터넷(XIoT) 에서 중요 인프라를 보호하고 빠르게 진화하는 사이버 보안 위협에 효과적으로 대응할 수 있는 능력을 향상시키는 사이버 보안의 구조화된 접근 방식 역할을 합니다.
미국 정부 기관 및 미국 정부와 비즈니스를 수행하는 모든 조직은 NIST CSF 가이드라인을 의무적으로 준수해야 합니다. 또한 규제 기관 및 규정 준수 기관에서 자체 사이버 보안 요구 사항 및 프레임워크에 참조하는 경우가 많습니다. 예를 들어, 의료정보 이동 및 책임에 관한 법률(HIPAA) 및 연방 정보 보안 현대화법(FISMA)과 같은 규제 프레임워크가 있습니다. 또한 공급망 파트너는 공급망 전반에서 일관된 수준의 사이버 보안을 보장하기 위해 공급업체, 벤더 및 비즈니스 파트너에게 NIST CSF를 채택하고 준수하도록 요구할 수도 있습니다. 이처럼 광범위한 이해관계자에게 광범위한 영향과 이점을 제공하기 때문에 궁극적으로 사이버 보안 태세에 대해 우려하는 모든 조직(공공 및 민간)에서 NIST CSF를 채택해야 합니다.
NIST 프레임워크의 핵심 구조는 보안 프로토콜과 모범 사례에 대한 일반적인 개요를 제공하는 다섯 가지 기능으로 세분화됩니다. NIST 프레임워크에 따르면 이러한 기능은 "동적인 사이버 보안 위험을 해결하는 운영 문화를 형성하기 위해 동시적이고 지속적으로 수행"하도록 되어 있으며, 절차적 단계로 의도된 것이 아닙니다. 이 프레임워크에는 조직 내 특정 부서 또는 프로세스에 대한 보다 구체적인 실행 계획을 제공하는 범주 및 하위 범주도 포함되어 있습니다. 5가지 NIST 기능 및 범주는 다음과 같습니다:
식별: 식별: 이 기능은 XIoT 전반의 모든 중요 자산에 대한 포괄적인 가시성을 확보하는 것을 수반합니다. 보이지 않는 것은 보호할 수 없으므로 사이버 보안팀은 가장 중요한 자산이 무엇이고 어떻게 소통하는지 완벽하게 이해해야 합니다. 식별 기능에는 자산 관리, 비즈니스 환경, 거버넌스, 위험 평가, 위험 관리 전략, 공급망 위험 관리와 같은 범주가 포함됩니다.
보호: 두 번째 기능인 보호는 중요한 서비스의 제공과 민감한 정보의 보호를 보장하는 안전 장치에 중점을 둡니다. 중요한 자산과 기능이 식별되면 조직은 그에 따라 사이버 보안 노력의 우선순위를 정할 수 있습니다. 보호 기능에 포함된 범주는 ID 관리 및 액세스 제어, 인식 및 교육, 데이터 보안, 정보 보호 프로세스 및 절차, 유지 관리 및 보호 기술입니다.
탐지: 탐지 기능은 사이버 이벤트가 발생했을 때 이를 지속적으로 모니터링하고 식별하기 위해 조직에서 필요한 관련 조치를 간략하게 설명합니다. 이 기능의 카테고리에는 이상 징후 탐지, 보안 모니터링 및 인시던트 대응 계획이 포함됩니다.
대응: 대응 기능은 조직이 탐지된 사이버 보안 사고에 대응하여 적절한 조치를 취하고 있는지 확인합니다. 이 기능의 구체적인 범주에는 사고 대응 계획, 커뮤니케이션, 분석, 완화 및 개선이 포함됩니다.
복구: 마지막 기능에는 사이버 사고 발생 시 사이버 복원력과 비즈니스 연속성을 보장하기 위해 구현되는 복구 활동이 포함됩니다. 복구 기능 범주에는 복구 계획, 개선 사항 및 교훈이 포함됩니다.
NIST CSF의 다섯 가지 기능은 조직이 사이버 보안 위험을 평가하고 관리할 수 있는 공통 언어와 구조화된 방법론을 제공합니다. 하지만 직접 시작하는 것은 부담스러울 수 있습니다. 이 프레임워크에 맞추기 위해 조직은 광범위한 보안 제어 기능을 갖춘 CPS 보안 공급업체를 평가하여 OT 환경의 위험을 보호하고 줄이는 데 도움을 줄 수 있는 업체를 선정해야 합니다. Claroty 플랫폼에는 온프레미스 솔루션인 지속적 위협 탐지(CTD), SaaS 솔루션인 xDome, NIST CSF의 다섯 가지 기능 각각에서 권장하는 제어 기능으로 OT 환경을 보호하는 데 도움이 되는 솔루션인 xDome 보안 액세스( Claroty 솔루션은 다음과 같은 방식으로 NIST CSF 기능에 부합합니다:
Claroty 플랫폼은 다음과 같은 식별 컨트롤을 지원합니다:
자산 관리: CTD 또는 xDome은 CPS 자산의 검색 및 인벤토리를 제공하고, 공통 자산 데이터베이스와 통합하여 기존 자산 인벤토리를 보강할 수 있도록 지원합니다. 또한 xDome은 디바이스 자동 작업을 제공하여 사용자가 특정 자산 속성이나 변경 사항을 중심으로 워크플로를 자동으로 설계할 수 있도록 지원합니다.
거버넌스: CTD, xDome 및 SRA는 각각 사이버 보안 및 리스크 거버넌스에 정보를 제공하는 광범위한 리스크 모니터링 프로세스의 핵심 구성 요소를 제공합니다.
위험 평가: CTD 또는 xDome은 디바이스, 네트워크 세그먼트 및 서브넷, 통신, 관찰된 위협, 취약성, 전반적인 위험 및 보안 위생 등 여러 수준에서 OT 환경의 위험을 지속적으로 평가합니다.
위험 관리 전략: CTD 또는 xDome은 OT 환경의 위험에 대한 높은 수준의 이해를 제공하여 위험 관리에 대한 전략적 논의를 주도합니다.
공급망 위험 관리: CTD 또는 xDome은 모든 타사 활동, 구성요소, 프로세스 및 해당 위험을 식별합니다. SRA는 공급망 위험 관리의 일환으로 타사 원격 액세스에 대한 가시성을 제공하고, 타사 활동에 대한 감사를 가능하게 하며, 긴급 상황에 대한 복구 절차를 지원합니다.
Claroty 플랫폼은 다음과 같은 보호 컨트롤을 지원합니다:
ID 관리 및 액세스 제어: SRA는 최소 권한 및 제로 트러스트 보안 원칙에 따라 세분화된 역할 및 정책 기반 관리 제어를 시행하여 OT 원격 액세스를 관리하고 엄격하게 제어합니다. CTD 또는 xDome은 통신 감사 및 플랫 네트워크에 대한 가상 세분화를 통해 세분화를 지원합니다.
데이터 보안: CTD 또는 xDome은 세분화 및 네트워크 흐름 매핑을 통해 데이터 보안을 강화할 뿐만 아니라 자산 구성 및 기타 OT 프로세스에 대한 변경 알림을 통해 데이터 보안을 강화합니다.
정보 보호 프로세스 및 절차: CTD 또는 xDome은 변경 모니터링 및 가상 세분화와 같은 기능으로 이를 지원합니다. SRA는 관리 액세스를 관리하여 변경 제어 프로세스를 구축하는 데 기여합니다.
유지 관리: CTD 또는 xDome은 산업 시스템의 유지 관리 활동을 모니터링하고 감사하며, SRA는 시스템 유지 관리 활동을 위한 다양한 제어 기능을 제공합니다.
보호 기술: 모니터링, 위험 및 취약성 관리, 정책 영역을 통해 CTD 또는 xDome이 이를 지원합니다. 또한 CTD는 SRA와 결합하여 산업 시스템의 구성 변경 로깅을 생성합니다.
Claroty 플랫폼은 다음과 같은 감지 컨트롤을 지원합니다:
이상 징후 및 이벤트: CTD 또는 xDome은 네트워크 운영, 데이터 흐름, 구성 및 펌웨어 변경 등에 대한 기준선을 설정하고 편차를 식별합니다.
보안 지속적 모니터링: CTD, xDome 및 SRA는 각 산업 시스템에 대한 활동과 원격 액세스를 모니터링하여 비정상적인 통신 및 무단 활동을 표시합니다. 대응 속도를 높이기 위해 CTD 또는 xDome의 지속적인 위험 점수는 팀이 우선순위를 효과적으로 설정하는 데 도움이 됩니다.
탐지 프로세스: CTD 또는 xDome은 이벤트를 감지하여 이를 지원하며, 이벤트를 통합, 컨텍스트화 및 사용자 인터페이스, 시스로그 및 API를 통해 통신하여 유지 관리가 용이하도록 합니다.
Claroty 플랫폼은 다음과 같은 응답 컨트롤을 지원합니다:
대응 계획: CTD 또는 xDome은 조사자가 일반적인 전술 및 기법에 대한 완화 조치를 이해하는 데 도움이 되도록 MITRE ATT&CK for ICS 프레임워크에 매핑되는 자세한 경보 인사이트를 통해 보다 효율적인 대응 계획을 알려줍니다.
커뮤니케이션: CTD 또는 xDome의 오픈 API 및 이벤트 피드를 기반으로 하는 Claroty 클라우드는 OT 위협 인텔리전스를 안전하게 공유할 수 있는 메커니즘을 제공합니다.
분석: CTD 또는 xDome은 분석을 용이하게 하기 위해 OT 환경의 모든 이벤트 및 관련 자산과 관련된 전체 포렌식 정보 및 인사이트를 제공합니다.
완화: SRA는 손상된 타사 자산으로 인한 잠재적 피해를 제한합니다. CTD 또는 xDome은 위험 기반 결정을 내릴 수 있는 OT 공통 취약성 및 노출(CVE)에 대한 완전한 문서를 제공하며, 방화벽 통합을 통해 손상을 제한하기 위한 규칙의 동적 삽입을 지원합니다.
개선 사항: CTD의 이벤트 포렌식, 프로세스 값, 기준선 예외 또는 xDome의 이벤트 포렌식 및 기준선 예상치는 복구 및 전략 계획에 대한 구체적인 조정을 알려줄 수 있습니다. 또한 Claroty 플랫폼의 위협 시그니처 라이브러리, 외부 데이터 세트 및 독점 연구는 새로운 취약점이 발견되면 지속적으로 업데이트됩니다.
Claroty 플랫폼은 다음과 같은 복구 컨트롤을 지원합니다:
복구 계획: 중요 시스템에 대한 CTD 또는 xDome의 변경 정보는 영향을 받는 시스템을 프로덕션에 다시 투입할 수 있는지 여부를 평가할 수 있는 기능을 제공합니다.
개선: 네트워크 세분화, 중요 시스템 취약성 및 공격 벡터 분석을 통해 이를 지원합니다.
커뮤니케이션: Claroty 클라우드는 복구에 중요한 정보를 안전하고 효율적으로 배포하기 위해 CTD 또는 xDome을 통해 정보를 공유할 수 있도록 지원합니다.
Claroty 솔루션은 모든 중요 인프라 부문의 조직이 NIST 사이버 보안 프레임워크를 준수할 뿐만 아니라 규제 요건, 업계 가이드라인 및 기타 보안 표준을 준수할 수 있도록 특별히 설계되었습니다. 조직이 NIST CSF에 부합할 수 있도록 도와주는 CPS 솔루션 제공업체를 찾으면 사이버 보안 태세 강화, 위험 관리 전략 개선, 업계 모범 사례에 대한 적절한 지침 등의 이점을 누릴 수 있습니다. 궁극적으로 NIST CSF는 빠르게 진화하는 위협 환경에서 중요 자산을 보호하고 사이버 위협에 대응할 수 있는 능력을 보장합니다.
NIST 사이버 보안 프레임워크 2.0을 사이버 보안 전략에 통합하는 방법
NIST의 최신 SP 800-82r3 개정안 살펴보기
NIST 프레임워크 구현 성과로 인정받은 물 부문
