기능 집중 조명: ICS 자산 검색 방법

산업 사이버 보안 공급업체는 종종 자산 검색이 마치 상품화된 기능인 것처럼 이야기합니다. Claroty 에게는 집의 벽돌이 벽지만큼이나 구조적으로 중요하다고 말하는 것과 같습니다. 이 글에서는 Claroty 의 세 가지 자산 검색 방법과 각 방법의 고유한 특징, 그리고 이들이 함께 작동하는 방식에 대해 자세히 살펴보고자 합니다.

산업용 사이버 보안 솔루션이 네트워크 자산과 그 통신 패턴을 드러내는 방식은 애초에 가시성이 필요한 이유에 대해 간과되는 경우가 많습니다. 저희는 산업 환경에서 완전한 가시성이 위험 관리의 기본이 되는 이유와 이를 달성하기 위한 장벽에 대해 광범위하게 글을 작성했습니다. 간단히 요약하면, 산업 환경에 대한 완전한 가시성이 없으면 조직에 존재할 수 있는 취약성, 위협 및 그에 따른 위험을 측정하고 이해할 수 있는 기준이나 벤치마크가 없다는 것입니다.

산업 환경에 대한 완전한 가시성을 확보하는 과정은 종종 독점적인 통신 프로토콜을 사용하는 구식 장비 세트부터 복잡하고 본질적으로 안전하지 않은 네트워크 구성에 이르기까지 다양한 요인으로 인해 어려운 경우가 많습니다. 이러한 조건으로 인해 기업은 산업 네트워크에 실제로 무엇이 연결되어 있는지에 대한 인사이트가 거의 없는 현실에서 보안 태세를 강화하기 위한 첫 번째 단계로 종합적인 가시성을 확보해야 합니다. Claroty 은 산업 네트워크를 밝히기 위해 특별히 설계되었으며, 자산 검색을 위한 3가지 방법으로 시작됩니다: 수동 모니터링, 능동 쿼리, AppDB 파싱.

자산 검색의 세 가지 측면

위에서 언급한 이유 때문에 산업 네트워크를 가장 포괄적으로 파악하기 위해서는 다양한 검색 기술을 사용하는 것이 중요합니다. 수년간의 연구 개발 노력과 여러 산업 자동화 공급업체와의 긴밀한 관계를 통해 Claroty 은 업계 최대 규모의 산업용 프로토콜 라이브러리를 지속적으로 지원할 수 있습니다. 이러한 프로토콜 커버리지에 힘입어 다음 세 가지 자산 검색 방법을 통해 잘 알려졌지만 제대로 이해되지 않았거나 이전에는 보이지 않던 자산을 100% 찾아내고 맥락을 파악할 수 있습니다. 그 결과 고객은 항상 최신 상태로 유지되는 중앙 집중식 OT, IoT, IIoT 자산 인벤토리와 해당 자산의 행동 기준선을 확보할 수 있습니다.

• 패시브: 이 형태의 자산 검색은 ICS 공급업체에서 흔히 볼 수 있으며 일반적으로 기업이 네트워크를 매핑하기 위해 가장 먼저 사용하는 검색 형태입니다. 이는 네트워크에 거의 또는 전혀 영향을 주지 않으면서 대량의 네트워크 가시성을 확보할 수 있는 안전하고 간단한 방법이기 때문입니다. 수동 데이터 모니터링은 산업 네트워크의 스위치를 SPAN, 미러 또는 모니터 포트로 재구성하여 데이터를 복사하고 Claroty 로 전송하여 처리하는 방식으로 작동합니다. 이러한 단방향 데이터 전송은 Claroty 이 펌웨어 버전, 모델 번호, 랙 슬롯 데이터, 구성 파일 등 네트워크 자산에 대한 풍부한 정보를 수집하는 동안 산업 환경에 부정적인 영향을 미치지 않도록 보장합니다. 또한 패시브 모니터링을 통해 Claroty 자산 내에 존재하는 위험 및 취약성(예: CVE)을 식별하거나 잠재적인 오류 또는 악의적인 동작의 징후를 파악할 수 있습니다.

• 활성: 더 깊고 복잡한 환경 계층과 같이 네트워크의 보다 구체적인 부분을 타겟팅하기 위해 기업에서는 액티브 쿼리를 사용할 수 있습니다. 액티브 쿼리를 사용하면 시스템이 디바이스에서 직접 그리고 디바이스가 허용하도록 설계된 프로토콜로 데이터를 식별하고 추출할 수 있습니다. 예를 들어 Claroty 의 시스템은 엔지니어링 워크스테이션에서 오는 것과 동일한 통신 메시지로 PLC에 정보를 요청할 수 있습니다. 이 방법을 활용하면 불필요한 트래픽으로 네트워크를 방해하지 않기 때문에 Claroty 의 쿼리가 정확하고 완전히 안전하며 중단되지 않도록 보장하는 데 도움이 됩니다.

• AppDB: 이 고유하고 비침입적인 자산 검색 방법을 사용하면 Claroty 에서 PLC와 같은 산업용 디바이스의 백업 구성 파일을 직접 수집하고 구문 분석할 수 있습니다. AppDB는 에어 갭이 있거나 직접 연결할 수 없거나 패시브 또는 액티브 기술을 통해 검색할 수 없는 자산이 포함된 네트워크 부분에 이상적입니다. 이러한 자산에 대한 백업 구성 파일을 수집함으로써 Claroty 네트워크에 대한 즉각적인 가시성을 제공할 수 있으며 여러 네트워크를 동시에 모니터링하면서 연결할 필요가 없습니다.

왜 세 가지 기법이 다를까요?

대부분의 네트워크 자산은 수동 모니터링을 배포한 후 몇 분 내에 발견할 수 있지만, 이러한 자산의 통신 빈도에 따라 행동 패턴을 완전히 파악하는 데 몇 주가 걸릴 수 있습니다. 세 가지 자산 검색 기술을 모두 활용하면 이 시간을 획기적으로 단축하는 동시에 산업 환경을 보다 포괄적으로 파악할 수 있습니다.

예를 들어, 수동 데이터 수집 실행을 시작하면 현재 네트워크 트래픽만을 기반으로 몇 분 안에 네트워크에 있는 대부분의 자산을 감지할 수 있습니다. 하지만 네트워크에는 주 단위로만 통신하는 자산과 보안을 위해 에어 갭이 있는 자산이 있을 수 있습니다. 바로 이 부분에서 Claroty 자산 검색의 다양한 기술이 빛을 발합니다.

통신을 자주 하지 않는 자산의 경우, 비정상적인 행동을 감지할 수 있는 기준을 만들기 위해 수동적으로 행동 패턴을 평가하는 것이 어려울 수 있습니다. 이를 파악하면 해당 자산에 적극적인 쿼리를 제출하여 자산에서 직접 정보를 추출함으로써 다음 통신을 기다리는 긴 기다림을 미리 방지할 수 있습니다. 에어 갭이 있는 자산의 경우, 기업의 백업 및 복원 시스템에서 Claroty 으로 데이터를 전송하여 이러한 장치를 식별하고 해당 데이터를 자산 데이터베이스에 추가할 수 있도록 합니다.

이 세 가지 방법을 모두 함께 사용하면 풍부한 에셋 정보, 동작 기준선, 패치되지 않은 CVE 및 구성 파일로 구성된 최신 에셋 데이터베이스를 빠르고 포괄적으로 생성하고 유지할 수 있습니다.