이 글은 산업 사이버 보안의 네 가지 필수 요소에 대한 심층적인 분석을 제공하는 4부작 블로그 시리즈의 두 번째 글입니다: 공개, 보호, 탐지, 연결. 이 시리즈의 목적은 보안 리더가 산업 환경에서 이러한 요구 사항을 충족하는 데 따른 고유한 과제와 이러한 과제를 일관성 있게 해결하기 위해 Claroty 이 투자한 시간과 리소스를 이해하는 데 도움을 주기 위한 것입니다.
-
이 시리즈의 첫 번째 편에서는 산업 환경에 대한 가시성을 확보하는 것이 왜 어려운 일이지만 매우 필요한지, 그리고 이러한 문제를 극복하기 위해 어떤 기능이 필요한지 심층적으로 살펴봤습니다. 산업 환경을 전체적으로 파악했다면 다음 단계는 해당 환경에 내재된 위험으로부터 보호하는 것입니다.
크게 보면 산업 사이버 보안 위험으로부터 보호하는 것은 3단계 프로세스로 이루어집니다:
복잡한 산업 환경에 대한 가시성을 확보하는 것은 충분히 어려운 일이지만, 위험을 식별하고 고유한 환경의 맥락에서 그 영향을 평가할 수 있는 기술이 없다면 이러한 가시성은 사이버 방어 전략을 수립하는 데 거의 도움이 되지 않을 수 있습니다.
아주 간단한 예로, 보안팀은 강력한 OT 전용 보호 조치 없이 조직의 산업 환경에 대한 원격 액세스를 허용하면 감당할 수 없는 엄청난 위험을 초래한다는 점을 이해해야 합니다. 하지만 안타깝게도 항상 그렇게 간단한 것은 아닙니다.
최근 몇 년 동안 사이버 보안 연구자와 실무자들 사이에서 ICS 취약성에 대한 관심이 높아지고 있지만, 특정 산업 환경에는 완화할 수 있는 것보다 더 많은 취약성이 있기 때문에 보안 결함으로 인한 위험을 관리하려면 보다 미묘한 평가가 필요합니다. 이러한 평가를 위한 첫 번째 요건은 세분화된 자산 인벤토리를 특정 자산 모델에 어떤 보안 결함이 존재하는지에 대한 포괄적인 데이터베이스와 일치시킬 수 있는 능력입니다.
정성적 위험 분석에서 위험 = 가능성 × 잠재적 영향. 특정 취약점으로 인한 위험을 이해하려면 공격자가 취약점을 악용할 가능성과 악용 시 중요 시스템에 액세스하거나 네트워크에 추가로 침투하거나 기타 운영을 방해할 수 있는 정도를 평가할 수 있어야 합니다.
Claroty 지속적인 위협 탐지(CTD)는 네트워크 위치, 다른 자산과의 통신, 열린 포트 수에 따른 취약한 자산의 위협 행위자 접근 가능성을 기반으로 가능성을 정량화하는 자산 위험 점수를 통해 사용자가 자산별로 위험을 파악할 수 있도록 지원합니다. 한편, 잠재적 영향력은 존재하는 취약성의 특성, 자산의 중요도, 정책, 기본 동작, 권한 및 프로토콜을 기반으로 자산이 다른 자산에 악성 콘텐츠를 전파할 수 있는 정도를 기준으로 측정됩니다.
Claroty의 위험 점수 기능은 사용자에게 개별 자산, 가상 구역 및 전체 산업 현장에 대한 미묘한 위험 평가를 제공합니다.
사용자가 산업 환경 내 위험을 전체적으로 이해할 수 있도록 Claroty 은 자산 수준 위험 점수 기능을 보완하여 가상 영역 내 모든 자산 또는 더 넓게는 전체 산업 현장의 위험을 평가할 수 있는 기능을 제공합니다.
위험 관리에는 본질적으로 절충안이 수반됩니다. 어떤 조직도 직면한 모든 위험을 완전히 완화하는 데 필요한 리소스, 대역폭 또는 허용 가능한 다운타임을 가지고 있지 않습니다. 특히 다운타임에 대한 낮은 관용과 패치의 자주 중단되는 특성이 상충되는 산업 기술 환경 내에서 위험을 관리할 때는 더욱 그렇습니다. 따라서 팀에서는 우선순위를 정할 필요가 없는 취약점(또는 기타 잠재적 보안 취약점)과 무기한 또는 유지 관리 기간에 패치가 허용될 때까지 보완 제어를 사용하여 완화해야 하는 취약점을 구분할 수 있어야 합니다.
이러한 우선순위를 효과적으로 설정하려면 의사 결정권자가 산업 환경에 대한 잠재적 공격이 어떻게 전개될 수 있는지 파악해야 합니다. Claroty CTD는 공격 벡터 매핑 기능을 통해 이러한 요구를 지원하며, 공격자가 특정 네트워크를 침해할 수 있는 다양한 경로를 따라 가능한 모든 유형의 통신을 시뮬레이션하고 Claroty 의 산업 사이버 보안 연구팀이 개발한 기준을 활용합니다. 잠재적인 공격이 어떻게 진행될 수 있는지를 시각적으로 표현하고 특정 공격 체인이 식별된 이유를 설명하는 상황별 세부 정보를 제공하는 Claroty 사용자는 보호해야 하는 환경에서 직접 수집한 상황별 인텔리전스를 기반으로 치료 우선순위를 정할 수 있습니다.
환경 내에 존재하는 위험을 파악하고 운영에 가장 중요한 위험 요소에 집중하기 위해 우선순위를 설정한 다음 단계는 이러한 위험을 완화하기 위한 적절한 조치를 취하는 것입니다. 대부분의 경우 공격 벡터 매핑을 통해 잠재적인 공격 패턴을 식별하는 프로세스는 패치가 적용될 때까지 트래픽을 추가로 확인하거나 기타 보완 제어해야 하는 취약한 통신 흐름에 집중할 수 있도록 지원함으로써 이러한 노력을 알리는 데 도움이 됩니다.
특정 취약점이나 공격 패턴을 해결하기 위해 특정 보완 제어를 구현하는 것 외에도, 또는 특정 상황에서 특정 보완 제어를 구현하는 대신에 점점 더 많은 산업 사이버 보안 실무자들이 IT 보안 원칙으로 널리 알려져 있지만 OT 맥락에서도 매우 효과적인 제로 트러스트 모델을 채택하고 있습니다. 제로 트러스트는 내부 또는 외부의 모든 사용자를 지속적으로 확인하고 인증해야 하며, 업무 수행에 필요한 승인된 자산, 애플리케이션 및 데이터에만 액세스할 수 있도록 합니다. 제로 트러스트 원칙을 채택하여 산업 환경을 보호함으로써 기업은 내부 또는 외부, 의도적이든 악의적이든 사용자가 산업 환경의 안전, 신뢰성, 가용성을 위협하는 행동을 취할 위험을 크게 줄일 수 있습니다.
Claroty xDome Secure Access는 SAML(보안 어설션 마크업 언어), 최소 권한 원칙, 비밀번호 보관, 강력한 역할 기반 액세스 제어 등의 기능과 원칙을 지원하여 기업이 효율적이고 사용자 친화적인 방식으로 제로 트러스트를 도입할 수 있도록 합니다. 이러한 기능의 조합으로 관리자는 인증 정책을 구현하고 시행할 때 완전한 재량권과 유연성을 확보하는 동시에 사용자에게는 업무 수행에 영향을 주지 않는 간소화된 경험을 제공할 수 있습니다.
IIoT 보안: IoT 디바이스 및 OS 보안을 위한 5가지 필수 단계
의료 기기 위험 관리: 환자 치료 보호
고급 이상 징후 및 위협 탐지로 병원 위험 관리 해결
