산업용 사물 인터넷(IoT)의 공격 면이 확장됨에 따라 핑 스윕이나 수동 인벤토리와 같은 기존의 네트워크 기반 자산 검색 방법은 더 이상 쓸모없어지고 있습니다. 이러한 방법은 사이버-물리 시스템(CPS)에 대한 광범위한 가시성을 제공하지만 정확성이 부족하고 디바이스 간의 관계를 놓칠 수 있습니다.
자산 검색을 개선하는 것은 CPS 취약점을 해결하고자 하는 인터넷 기술(IT) 및 OT 리더들이 가장 중요하게 생각하는 부분입니다. 최근 설문조사에 따르면 최근 설문조사에 따르면 올해 초 사이버 공격이 발생했을 때 응답자의 약 1/3(32%)이 IT와 OT 시스템 모두에 영향을 받았다고 답했는데, 이는 작년의 21%에 비해 크게 증가한 수치입니다.
OT 자산 검색은 강력한 산업 사이버 보안 전략의 토대이며, 다른 모든 사이버 보안 제어의 토대가 됩니다. 이 글을 계속 읽으면서 OT 자산 검색의 작동 원리, 조직에서 이를 구현하는 것의 중요성, 자산 가시성을 높이는 명확한 방법을 더 잘 이해하세요.
운영 기술(OT)은 산업 공간에서 다양한 프로세스를 제어하고 모니터링하는 데 사용되는 하드웨어 및 소프트웨어 시스템을 말합니다. OT 자산 검색은 네트워크에서 이러한 각 장치와 시스템에 대한 가시성을 제공합니다.
기존 방식은 CPS에 대한 광범위한 가시성을 제공하지만 정확성이 부족하고 디바이스 간의 관계를 놓칩니다. 반면에 OT 자산 검색은 네트워크에서 중단 없이 OT 자산을 스캔하고 인벤토리를 생성하는 탐지 방법입니다. 이 수동 네트워크 검색은 OT 디바이스에서 IP 주소, 포트 번호, MAC 주소 및 기타 식별 정보를 정확히 찾아냅니다.
이러한 식별 및 탐지 시스템을 통해 자산 검색은 네트워크의 디바이스를 매핑하고 각 자산을 인벤토리화하여 사이버 보안 제어를 효과적으로 구현하고 적절한 OT 취약성 관리.
이미 IT 자산 검색을 위한 프로그램이 마련되어 있다고 가정해 보겠습니다. 이 경우, 이 프로그램이 OT 환경을 포괄하는지 또는 OT 자산 검색에 대한 접근 방식이 전혀 필요한지 궁금할 수 있습니다.
자산 검색에는 다음과 같은 뚜렷한 차이가 있다는 점에 유의하는 것이 중요합니다. OT 환경과 IT 환경. 예를 들어, IT 환경에는 다양한 자산이 포함되어 있지만 이러한 장치는 주요 공통점을 공유하며, 보통 2년마다 교체되고, 일반적으로 동일한 유형의 소프트웨어를 실행합니다. 심지어 같은 제조사와 모델일 수도 있습니다.
그러나 OT 측면의 디바이스는 다양한 용도로 사용되는 자산 시스템으로, 일반적으로 동일한 제조업체와 모델이 아니며 항상 동일한 소프트웨어에서 실행되는 것은 아닙니다. 조직은 이러한 자산을 자주 교체하지 않으며, 수십 년 동안 사용되어 오래된 소프트웨어를 실행하는 디바이스를 종종 찾을 수 있습니다.
이러한 이유로 OT 자산 검색에 대한 접근 방식은 IT 자산 검색과는 완전히 다른 접근 방식이 필요합니다. 하지만 OT 자산을 보호하는 데 조금 더 많은 노력이 필요할 수도 있지만, 그렇게 해야 하는 이유는 이보다 더 중요할 수 없습니다.
2023년에 OT 전문가 중 13%만이 소속 조직의 OT 보안 태세 '매우 성숙'하다고 답한 비율은 13%로 전년도의 21%에서 감소했습니다. 또한 사이버 보안 공격이 발생했을 때 32%의 OT 리더는 해당 공격이 IT 시스템과 OT 시스템 모두에 영향을 미쳤다고 답했습니다. 조직은 점점 더 다음 사항에 투자해야 할 필요성을 인식하고 있습니다. IIoT 보안 투자할 필요성을 점점 더 많이 인식하고 있습니다.
네트워크에서 OT 디바이스를 보호하는 방법을 이해하려면 모든 자산에 대한 완벽한 가시성이 필요합니다. 하지만 자산 검색이 OT 환경에서 디바이스를 보호하는 데 중요한 이유는 이러한 지식만 있는 것은 아닙니다.
첫째, OT 자산은 비즈니스 연속성에 매우 중요하다는 점을 항상 기억해야 합니다. 다운타임은 조직 기능에 필수적인 운영의 심각한 중단으로 이어질 수 있으며, 잠재적으로 돌이킬 수 없는 재정적 손실을 초래할 수 있습니다.
2021년 5월, 미국에서 가장 큰 연료 파이프라인을 운영하는 콜로니얼 파이프라인은 OT 자산을 표적으로 삼은 랜섬웨어 공격의 희생양이 되어 며칠 동안 운영에 차질을 빚었습니다. 이 공격으로 인해 회사는 재정적 손실을 입었고 미국 일부 지역에서는 연료 부족, 공황 구매, 가격 급등으로 이어졌습니다.
멀웨어 주입, 랜섬웨어 공격, 내부자 위협과 같은 악의적인 공격은 운영을 방해할 뿐만 아니라 직원, 고객, 환자에게 돌이킬 수 없는 건강 및 안전 위험을 초래할 수 있습니다. 예를 들어 의료 기관에 대한 공격은 오진, 잘못된 치료 또는 응급 상황 대응 지연과 같은 의료 오류로 이어질 수 있습니다. 효과적인 의료 기기 위험 관리를 구현하기 위한 첫 번째 단계는 OT 자산을 이해하는 것입니다. 의료 기기 위험 관리.
OT 자산 가시성의 주요 목표는 다음과 같습니다:
가시성 - 네트워크의 모든 자산을 매핑하고 인벤토리화하세요. 보이지 않는 것은 보호할 수 없습니다.
보안 - 멀웨어를 비롯한 악의적인 위협으로부터 OT 자산을 보호합니다, 랜섬웨어및 안전하지 않은 원격 액세스를 포함한 악의적인 위협으로부터 자산을 보호합니다.
운영 효율성 - 운영 중단을 방지하고 다운타임을 최소화하여 효율성을 유지합니다.
규정 준수 - 안전한 환경과 원활한 운영을 보장하기 위해 NIS2, NERC-CIP, SOCI와 같은 규정은 물론 기타 여러 산업별 규정을 엄격하게 준수합니다.
이제 OT 환경의 이해관계, 자산 검색의 목표, OT 전용 전략 구현의 중요성을 이해했으니 이제 완벽한 가시성을 확보하기 위한 5가지 중요한 단계를 살펴보겠습니다.
자산 검색의 가장 중요한 기능 중 하나는 네트워크의 각 디바이스를 식별하는 것입니다. 하지만 이것이 실무적으로 정확히 무엇을 의미할까요? 디바이스를 식별할 때 자산 검색은 기본적인 세부 정보뿐만 아니라 자산에 대해 알고자 하는 모든 것을 심층적으로 살펴봐야 합니다. 여기에는 모델, 펌웨어 버전, 구성 정보가 포함됩니다.
이 정보를 통해 조직은 정확한 자산 인벤토리를 기반으로 네트워크의 모든 자산을 완벽하게 파악하고 관리하여 환경을 보호할 수 있습니다.
자산 검색의 가시성은 OT 디바이스의 정확한 인벤토리를 유지하는 것뿐만 아니라 네트워크 내 사용자 활동, 자산의 통신 방식, 연결 경로, 전체 환경 내에서의 위치를 이해하는 것을 포함합니다. 이러한 다차원적 가시성은 완전한 운영 복원력을 확보하고 위협을 더 잘 탐지하기 위한 '정상' 행동 기준선을 이해하는 데 필수적입니다.
3D 네트워크 토폴로지를 도입하려면 첨단 기술을 활용하여 상호 연결된 디바이스와 통신 경로에 대한 심층적인 인사이트를 제공하는 Claroty 과 같은 타사 솔루션에 투자해야 합니다.
수동 모니터링은 일반적으로 OT 자산 인벤토리 및 매핑을 위해 가장 먼저 떠오르는 기술입니다. 사이버 보안 도구는 산업 네트워크에서 데이터를 복사하여 수동적인 단방향 전송 방식으로 처리합니다. 이 시스템은 산업 운영에 거의 또는 전혀 영향을 미치지 않기 때문에 선호됩니다.
네트워크의 더 복잡한 계층에 대한 가시성을 제공할 수 있는 또 다른 기술은 액티브 쿼리입니다. 능동 쿼리는 일반적인 트래픽을 방해하지 않는 방식으로 작동하며 경우에 따라 수동 모니터링보다 더 심층적으로 분석할 수 있습니다. 능동 쿼리는 각각 허용하도록 설계된 정확한 프로토콜로 디바이스와 통신함으로써 가장 세분화된 데이터를 추출할 수 있습니다. 이러한 방법을 혼합하여 사용하면 OT 환경을 더욱 세밀하게 파악할 수 있습니다.
어떤 이유로든 수동 모니터링이나 능동 쿼리를 통해 OT 자산을 식별할 수 없는 경우, Claroty의 AppDB 는 검색을 개선하기 위해 사용할 수 있는 다음 기술입니다. Claroty애플리케이션 설명 데이터베이스의 줄임말인 AppDB는 OT 환경의 산업용 프로토콜, 디바이스, 애플리케이션에 대한 매우 상세한 정보를 포함하는 독점적인 데이터베이스입니다. 자산, 통신 프로토콜, 동작 패턴에 대한 훨씬 더 포괄적인 보기를 제공하여 가시성과 보안을 한층 더 강화합니다.
AppDB 검색 방법은 OT 자산에 대한 백업 구성 파일을 파싱하여 삽입합니다. 이 방법은 디바이스를 연결하지 않고도 자산을 검색하고 정확한 가시성을 제공하므로 디바이스를 추적하여 네트워크에 연결할 필요가 없습니다. 이 방법은 디바이스가 시스템에서 연결이 끊어졌거나 에어 갭이 있을 때 유용할 수 있습니다.
네트워크 세분화 는 OT 환경을 점유하는 사이버 위협으로부터 보호하고 일반적인 상황에서 특정 자산 그룹이 서로 통신할 수 있도록 합니다.
네트워크 지형을 더 잘 이해하면 퍼듀 모델에 따라 세분화할 수 있는 기회를 더 쉽게 파악할 수 있습니다. 이 모델은 산업 제어 시스템을 기능과 중요도에 따라 별개의 보안 영역으로 분류합니다. 이 모델은 세분화를 용이하게 하는 계층적 아키텍처를 구축하여 네트워크 보안, 성능 및 관리를 개선할 수 있도록 지원합니다.
현지화된 보안 제어를 구현하세요, 웹 애플리케이션 방화벽및 엄격한 액세스 요구 사항을 구현하여 네트워크 세그먼트 전반의 보안을 강화하고 모니터링을 용이하게 하세요. 비즈니스 요구사항과 과제를 반영하여 세분화 정책을 평가하고 업데이트하세요.
OT 디바이스 보호는 자산 검색과 포괄적인 가시성 확보에서 시작됩니다. 이는 산업 운영을 보호하고 비즈니스 연속성을 보장하며 적보다 앞서 나가기 위한 첫 번째 단계입니다. 하지만 이러한 조치의 강도는 사이버 보안 파트너의 역량에 따라 달라집니다.
Claroty 는 모든 것을 경험한 전문가들이 제공하는 가장 완벽한 OT 사이버 보안 솔루션을 제공합니다. 전문가와 협력하여 이러한 조치를 OT 환경에 가장 효과적으로 적용하고 필수 자산 검색 절차를 도입할 수 있는 방법을 알아보세요. 데모 요청하기 데모를 요청하세요.
자산 가시성을 개선하는 7가지 방법
기능 스포트라이트: OT 활동 이벤트 알림
산업 환경 보안을 위한 모범 사례: 포괄적인 가시성 구축
