여러분의 비즈니스에 보안 및 SW품질 기술을 더해 사이버공격으로 부터 자산을 보호하고 SW의 품질과 신뢰성을 확보합니다.

Recent Posts
COPYRIGHT ⓒ 2020 SOFTFLOW. ALL RIGHTS RESERVED.
 

산업제어시스템의 가시성 확보 방법

산업제어시스템의 가시성 확보 방법

산업제어시스템의 가시성 확보 방법

 

Claroty는 산업제어시스템에 대한 마이크로 세그멘테이션(Micro-Segmentation) 기술을 활용하여 네트워크 구성을 시각적으로 보여주며 자산이 가지고 있는 취약점을 파악하고 보안위협을 식별하여 운영자에게 알림을 전달하는 기술을 제공합니다. 이번 블로그에서는 Claroty가 산업제어시스템의 네트워크에 연결된 자산을 식별하기 위해 데이터를 수집하는 방법을 설명하며, 이 후 블로그에서 Use Case를 통해 Claroty가 제공하는 기능들을 현업에서 적용할 수 있는 방안을 설명할 계획입니다. 그럼 아래 글을 통해 산업제어시스템에서의 Claroty가 자산을 식별하는 방법을 파악해 보시죠

산업제어시스템의 가시성 확보 필요성

Claroty 플랫폼에 새로운 데이터 수집 기능을 활용하여 사이버 공격으로부터 OT(Operational Technology) 환경을 보호하고 플랜트 중단 시간을 줄이며 기타 핵심 보안 프로세스를 간소화하는 데 효과적인 기술을 설명합니다. 다중 스펙트럼 데이터 수집(Multispectral Data Acquisition)이라고 부르는 기술로써 OT 네트워크에 그 기술을 적용할 수 있습니다.

<OT 네트워크에 대한 Extreme Visibility>

업계의 일부 사람들은 OT 네트워크 자산을 모니터링하는 데 Extreme Visibility 기술의 필요성에 의문을 가질 수 있습니다. 예를 들어 장치 이름, IP 주소 및 MAC 주소 정도의 정보를 관리하는 것으로 충분하다고 생각할 수 있습니다. 결론을 말하자면 충분하지 않습니다. 현재 우리 앞에 발생하는 사이버 공격의 수준과 비교하면 충분하지 않으며 아래에서 그 이유를 설명합니다.

Extreme Visibility는 OT 네트워크에서 연결된 모든 자산을 식별하고 자산이 수행하는 역할을 파악할 수 있습니다. 또한, 각 자산에 대한 세부 설정정보, 응용 프로그램(OSI 7계층) 수준까지 네트워크에서의 통신방법을 파악할 수 있습니다. Extreme Visibility는 중요한 산업 프로세스를 보호하기 위한 기본 요소이며 확실한 비즈니스 가치를 제공합니다. 기존에 IT산업에서 활용하는 네트워크 세그먼테이션과 Extreme Visibility는 뚜렷한 차이가 있습니다. 요약하면, Extreme Visibility는 보안위협의 위험을 줄이고 중요한 네트워크를 관리하고 보호하는 인력과 산업 프로세스를 관리하고 모니터링 하는 운영 인력의 업무 효율성을 극대화할 수 있습니다.

“볼 수 없는 것은 보호할 수 없다”는 표현이 있습니다. Extreme Visibility는 네트워크 자산을 단순히 보여주는 것을 넘어 더 많이 파악하고 이해할수록 의심스러운 행동을 탐지하고 자산을 보호할 수 있는 능력이 뛰어납니다. 아래 Extreme Visibility 기술이 위험 감소 ROI(Return on investment) 및 TCO(Total Cost of Ownership) 개선으로 이어지는 방식의 몇 가지 예를 설명합니다.

1. 공장 가동 중단 시간 감소

알려진 또는 알려지지 않은 위협을 모두 탐지하여 사이버 보안 팀이 생산 프로세스에 영향을 미칠 수 있는 위협이 발생하기 전에 공격을 막아 가동 중지 시간에 따른 금전적 손해를 최소화할 수 있습니다. OT 자산, 네트워크 흐름 및 응용 프로그램 수준 자동화 시스템 통신에 대한 완벽한 가시성을 통해 OT 환경을 완벽하게 이해할 수 있으며 정확한 비정상 기반 위협 탐지기술로 훨씬 빠른 위협탐지와 사고 대응을 할 수 있습니다.

2. 시간 소모적인 보안 프로세스를 간소화하여 효율성 증대

위협 및 운영 시스템에 미치는 영향에 대한 경고(알람)는 더 빠르고 더 우수한 위협선별을 가능하게 하고 사건조사 역량을 향상시키며 IT팀과 OT팀 간의 협업을 향상시킵니다. 이를 통해 조사 비용 절감, 위협 완화 및 플랜트/운영 중단 시간 감소 등의 효과를 거둘 수 있습니다.

자동화 장비의 펌웨어 정보 또는 워크스테이션의 소프트웨어 버전과 패치버전 정보를 활용한 IT 및 OT 자산에 대한 CVE 매칭은 보안위협 및 비용을 감소시킬 수 있습니다. 보안팀은 특정 환경의 특정 자산의 취약점을 파악하며 패치 및 기타 완화 활동의 우선순위를 지정할 수 있습니다. 또한 Extreme Visibility로 Claroty는 CVE 매칭 이상의 데이터를 제공합니다. 잘못된 설정 및 공격자가 공격에 활용할 수 있는 경로에 대한 세부 데이터를 제공합니다. 중요한 네트워크 구성 취약점을 사전 예방 및 해결하고 공격 경로를 차단하여 보안위협을 줄일 수 있습니다.

<OT네트워크를 구성하는 장비의 CVE 매칭 및 설정 정보>

다중 스펙트럼 데이터 수집으로 가시성 확보

Active (쿼리 기반) 데이터 및 App DB 데이터를 수집할 수 있습니다. 이 기능을 통해 OT 시스템 변경 시 기타 타사 응용 프로그램이 생성하는 설정 파일의 데이터를 자동으로 수집하고 구문 분석할 수 있습니다. Multispectral은 패시브, 액티브 및 앱 DB를 수집하여 하나의 통합 플랫폼에서 데이터를 제공합니다. 이러한 새로운 기능은 Claroty의 산업 제어 네트워크에 대한 최상의 가시성을 제공합니다.

최신 릴리스에서 Claroty Platform 및 Continuous Threat Detection 제품은 이제 다음을 지원합니다.

1. 패시브 : OT 네트워크의 지속적인 실시간 모니터링

• 네트워크 통신 및 자산 세부 정보를 I/O 수준까지 네트워크 탐색.

• OT 네트워크에 100 % 안전함을 현장 적용하여 확인

2. 액티브 : OT 및 IT 자산에 대한 정확하고 주기적인 질의

• 자산 구성에 대한 가시성을 높이기 위해 ICS(Industrial Control System) 및 비 ICS 자산을 안전하게 쿼리

• 알림 및 취약점에 대한 강화된 문맥 제공

3. App DB : OT 자산 데이터의 오프라인 수집

• PLC/RTU 프로젝트 및 기타 구성 파일 및 바이너리 수집 및 구문 분석

• 100 % 자산 식별 및 향상된 구성 세부 정보 확보

<공격이 가능한 취약한 경로를 식별하여 리포트>

액티브 및 앱 DB 데이터를 수집하여 가시성 확보

패시브 탐색이 대부분의 산업 환경에서 가장 좋은 네트워크 가시화의 출발점이라고 생각합니다. 그리고 현재 안정화된 버전의 액티브 기술을 제공하기까지 Claroty는 2년 넘는 기간동안 운영환경에서 데이터 수집을 수행했습니다. 규모가 큰 고객 및 기타 산업 플랜트는 쿼리 기반 자산 데이터 수집 기능을 상당 기간 운영시스템에 적용했습니다.

Claroty는 OT 및 사이버 보안 전문가가 활동하는 회사로써 ICS 네트워크에 IT 중심의 보안 기술을 적용하는 경우 사이버 보안 제품에 문제 발생 시 OT환경의 시스템 중단을 유발할 수 있음을 확인했습니다. 그렇기 때문에 패시브 방식으로 자산을 식별하는 방식으로 OT 네트워크를 보호하는 것에 집중했습니다. 대부분의 기업들은 그들의 산업환경에 액티브 식별 기술을 적용하는 것에 부담을 느꼈습니다.

그리하여 패시브 기술에 집중적으로 투자하여 업계의 어느 누구보다 더 넓고 깊게 기술을 확보했습니다. 하지만 Rockwell Automation, Schneider Electric, Siemens 등 수많은 고객사의 PoC 및 몇 가지 Use Case를 통해 패시브 이외의 접근 방식이 필요성을 파악했습니다. 그에 따라 ICS 환경에서 정보 수집을 위해 다른 안전한 데이터 수집을 위한 기술을 확보하는 것이 중요했습니다. 자동화 자산 소유자 및 공급 업체와 협력하여 다음 단계로 나아가는 기술인 액티브 기능을 일반적으로 사용할 수 있도록 필요한 안전 기능을 갖추었습니다.

안전한 산업제어시스템 데이터 획득

과거 액티브 기술이 OT 네트워크에서 해를 입힐 수 있는 두 가지 경우가 있습니다. 첫째, 지나치게 광범위한 주소 범위로 엔드 포인트를 탐색하거나 여러 개의 동시 쿼리로 산업 네트워크 부하를 높게 했습니다. 또한 스캔이 네트워크 부하를 높게 만들지 않더라도 자산 간 다양한 통신이 특정 시간안에 응답하는 것으로 구현되어 있어 OT 네트워크의 트래픽에 영향을 미칠 수 있습니다.

둘째, 잘못된 유형의 쿼리를 특정 OT 장치(예 : PLC – Programmable Logic Circuit 또는 RTU – Remote Terminal Unit)로 보내면 장치가 종료되거나 통신이 중지될 수 있습니다. Windows 및 Linux의 엔드 포인트와 신형 컨트롤러는 문제없이 WMI 또는 SNNP 쿼리에 응답할 수 있습니다. 구형 컨트롤러 및 기타 OT 장치가 원시 프로토콜의 올바른 쿼리에 응답할 수는 있지만 지원되지 않는 OT 또는 IT 프로토콜의 쿼리에 대한 응답이 잘못된 경우 예기치 않은 방식으로 실패할 수 있습니다.

따라서 안전한 액티브 탐색을 수행하기 위해서는 이러한 요소들을 고려해야합니다. 그래서, 고객 및 자동화 벤더 파트너와 협력하여 시스템에 안전한 액티브 탐색을 설계했습니다. 네트워크 부하문제를 피하기 위해 시스템은 동시 쿼리 수를 제한하는 기능을 포함하여 다양한 방법을 제공합니다.

잘못된 프로토콜 문제에 대해 패시브/액티브 접근법을 결합했습니다. 패시브 수집을 활용하여 엔드 포인트가 지원하는 프로토콜 및 펌웨어 버전을 파악 후 적절한 “안전한” 쿼리를 전송합니다. 이 패시브/액티브 접근법은 노후화된 ICS 장치에 특히 중요합니다.

Claroty의 패시브 기능은 ICS 네트워크의 자산에 대한 데이터를 제공하며 많은 환경에서 패시브 탐색 기술만으로도 충분한 Extreme Visibility를 확보할 수 있습니다. 그러나 일부 Use Case는 더 낮은 수준의 세부 사항을 필요로 하며, 이러한 유형의 경우 패시브 탐색은 모든 자산을 탐색할 수 없습니다. 패시브 기술은 Windows 또는 Linux 시스템의 패치, 설치된 소프트웨어 패키지 또는 바이러스 정의 파일의 버전과 같은 일부 엔드 포인트 설정 데이터를 파악할 수 없습니다.

또한 장치가 네트워크에서 통신하지 않거나 매우 드물게 통신하는 경우도 있으므로 패시브 방식으로 이러한 노드에 대한 데이터를 수집할 수 없습니다. 장치가 다른 네트워크 세그멘트에 있거나 고객이 SPAN 또는 미러 기능이 없는 스위치를 사용하는 경우 장치에 대한 접근권한이 확보할 수 없습니다. 이러한 경우에 멀티 스펙트럼 데이터 수집을 사용하면 데이터를 풍부하게 수집할 수 있습니다.

마지막으로 매우 중요한 것은 일부 플랜트 또는 운영 환경이 패시브 DPI를 효율적으로 배치할 수 없다는 것입니다. 일부 플랜트는 아직 SPAN/미러를 지원하는 최신 스위칭 인프라를 갖추고 있지 않으나 내부 환경을 변경하고 구성하는데 많은 시간이 소요될 수 있습니다. 이러한 경우에 액티브 및 앱 DB를 활용하는 것이 효율적이며 배포 시간을 크게 단축할 수 있습니다.

 

관련 제품 링크: https://www.claroty.com/

Q&A: info@softflow.io

 

댓글이 없습니다.

댓글남기기