.png)
Illumio가 랜섬웨어 및 기타 보안 공격으로부터 OT 네트워크를 보호하는 방법
운영 기술 (OT) 네트워크는 센서, 모터, 분산 제어 시스템 (DCS), PLC (프로그래머블 로직 컨트롤러), 원격 단말 장치 (RTU), 감시 제어 및 데이터 수집 (SCADA) 시스템, 히스토리언 애플리케이션 및 데이터베이스, 엔지니어링 키오스크 및 기타 유형의 서버를 포함한 특수 목적 장치를 연결하여 공장, 발전소, 전력망, 광산 시설, 의료 시설, 식품 제조업체 및 기타 현장에서 운영을 촉진합니다. 이를 위해서는 신뢰할 수 있는 실시간 자동화가 필요합니다.
이러한 장치는 업무상 중요한 서비스를 제공합니다.따라서 사이버 범죄자 및 기타 공격자의 귀중한 표적이 됩니다.
물론 피싱 공격, 무차별 대입 공격, 악의적인 내부자 등 어디에서든 위협이 발생할 수 있습니다.또한 특정 모델의 OT 장치를 공격하도록 특별히 설계된 맬웨어의 공격을 받은 OT 장치에서 발생할 수도 있습니다.
때때로 OT 장치는 IT 네트워크와 “에어 갭”된 네트워크에서 실행됩니다. 즉, IT 네트워크에 대한 보안 공격이 OT 운영에 도달하지 못하도록 하기 위해 IT 네트워크에 물리적으로 연결하지 않고도 작동합니다.그러나 단일 시설 내에서도 일부 OT 장치 및 네트워크는 에어갭 (Air-Gapping) 상태일 수도 있고 그렇지 않을 수도 있습니다.심지어 공장 관리자도 어떤 네트워크가 에어갭 (Air-Gapped) 인지 아닌지 구분할 수 있는 가시성이 반드시 있는 것은 아닙니다.
에어갭 디바이스를 아예 사용하지 않는 이유를 찾는 기업이 점점 더 많아지고 있습니다.예를 들어 식품 제조업체는 웹 애플리케이션과 소비자의 선택을 통해 공장 현장의 특정 재료 제조를 직접 이끌고 싶어할 수 있습니다.이와 같은 비즈니스 사용 사례로 인해 사이버 공격에 대한 방어 수단으로서 에어갭 (Air-Gapping) 의 효과가 날로 떨어지고 있습니다.
물리적 에어 갭이 없는 경우 OT 환경은 IT 장치가 실행되는 네트워크에 연결됩니다.이러한 연결은 위험을 초래합니다.갑자기 인터넷을 통한 공격이 OT 장치에 도달할 수 있습니다.
OT 환경에서 워크로드를 분류하는 방법론 중 하나는 OT 및 IT 네트워크에서 워크로드를 분리하고 분배하기 위한 신뢰할 수 있는 모델인 Purdue Reference Model을 기반으로 합니다.미국 정부의 사이버 보안 및 인프라 보안국 (CISA) 권장 사항 OT 환경을 갖춘 기업은 퍼듀 모델의 다양한 수준에서 논리적 분류를 기반으로 네트워크를 분할합니다.
그러나 이러한 유형의 세분화는 쉬운 일이 아닙니다.OT 네트워크는 플랫 네트워크입니다. 즉, 모든 디바이스가 동일한 컨트롤 플레인과 주소 공간에서 실행됩니다.이를 세분화하려면 수익 창출 환경에서 서비스와 디바이스를 종료하고 세그멘테이션을 구현하도록 네트워크를 재구성해야 합니다.이는 비용과 시간이 많이 드는 작업입니다.많은 기업에서 IT 팀이 수익 창출 활동을 방해하지 않으면서 OT 서비스를 종료할 기회를 기다리는 동안 비즈니스 크리티컬 OT 디바이스를 종료한다는 아이디어는 완전히 거부되거나 끝없이 연기됩니다.
IT 디바이스와 OT 디바이스를 어느 정도 구분하기 위해 일부 시설에서는 OT 디바이스에 전용 VLAN (가상 LAN) 을 구성합니다.하지만 이 접근 방식에는 단점도 있습니다.첫째, VLAN을 대규모로 관리하기가 어렵습니다.둘째, VLAN에 디바이스를 설치해도 공격자가 VLAN 구성에서 변경되지 않은 포트와 프로토콜을 활용하여 동일한 VLAN에서 디바이스 간에 이동하는 것을 막을 수 없습니다.요점: 공격자가 기기에 대한 액세스 권한을 얻더라도 VLAN 컨트롤이 공격자가 다른 표적에 접근하는 것을 반드시 막지는 못합니다.
비즈니스 및 IT 리더가 공격자가 OT와 IT 장치 간에 자유롭게 이동하는 것을 방지하려면 다음 세 가지 중요한 사항이 필요합니다.
- 가시성: 리더는 IT 및 OT 장치의 활동 및 구성 세부 정보를 파악할 수 있어야 합니다. 그래야 어떤 통신 경로가 열려 있는지 파악하고 가능한 방법을 만들 수 있습니다. 측면 이동 공격자에 의해.
- 정책 정의: 리더에게는 네트워크를 세분화하고 분리해야 하는 모든 장치 (IT 또는 OT) 를 구분하기 위한 구성 정책을 정의하기 위한 마이크로 세분화 정책 엔진이 필요합니다.이러한 세그멘테이션 정책은 방화벽 규칙보다 높은 수준에서 작동합니다.이를 통해 리더는 정책을 적용하는 특정 제품의 특정 방화벽 규칙에 얽매이지 않고 모범 사례를 정의할 수 있습니다.
- 정책 적용: 또한 리더는 IT 및 OT 디바이스를 재구성하고 재시작하기 위해 비즈니스 크리티컬 IT 및 OT 네트워크를 종료할 필요 없이 이러한 정책을 적용해야 합니다.또한 예상대로 작동하는 OT 디바이스를 교체하지 않고도 이러한 정책을 적용할 수 있는 방법이 필요합니다.또한 IT 또는 OT 장치의 성능을 저하시킬 수 있는 특수 용도의 소프트웨어 애플리케이션을 설치할 필요도 없습니다.
멀웨어와 기타 유형의 사이버 공격으로부터 OT와 IT 디바이스를 보호하기 위해 비즈니스 및 IT 리더는 네트워크에 대한 가시성을 높이고 모든 유형의 디바이스에 대한 공격이 네트워크 전체로 확산되지 않도록 네트워크를 빠르고 쉽게 마이크로 세분화할 수 있는 방법이 필요합니다.
점점 더 많은 기업이 IT와 OT의 세계를 통합해야 할 타당한 비즈니스 이유를 찾고 있어 에어 갭 (Air-Gapping) 과 같은 구형 장치가 쓸모없게 됨에 따라 이러한 가시성과 제어에 대한 필요성이 더욱 절실해지고 있습니다.
IT 네트워크와 OT 네트워크가 융합되는 경우
이러한 다양한 종류의 네트워크와 장치를 연결하는 이유는 무엇일까요?고객과 파트너에 대한 민첩한 대응이 필요한 급변하는 시장에서는 일상적인 운영을 지원하는 OT 네트워크와 비즈니스 시스템을 연결하는 것이 합리적입니다.
영업, 마케팅 및 주문 처리 프로세스를 IT 네트워크에서 관리하는 경우 이러한 프로세스는 OT 네트워크로 제어되는 제조 및 물류 시스템의 최신 정보를 활용할 수 있습니다.비즈니스 프로세스로 인해 수요가 증가하면 위에서 인용한 식품 제조 사례에서처럼 OT 네트워크로 직접 주문을 보내 완료할 수 있습니다.
또한 IT 네트워크를 통해서만 액세스할 수 있는 클라우드 애플리케이션과 클라우드 스토리지를 활용하면 효율성과 비용 절감 측면에서 이점이 있습니다.또한 원격 인력이 점점 더 보편화됨에 따라 일부 기업은 원격 직원이 IT 네트워크와 클라우드 애플리케이션을 사용하여 OT 장치를 모니터링, 제어 및 보호할 수 있도록 하고자 합니다.
NSA (국가 안보국) 와 CISA가 지적한 바와 같이 보안 경고 2020년에 발행된 “기업이 원격 운영 및 모니터링을 늘리고, 분산된 인력을 수용하고, 계측 및 제어, OT 자산 관리/유지 관리, 경우에 따라 프로세스 운영 및 유지 보수와 같은 주요 기술 영역의 아웃소싱을 확대함에 따라 인터넷 액세스 가능한 OT 자산은 미국 16개 CI 부문에서 더욱 널리 사용되고 있습니다.”
IT/OT 융합으로 인한 새로운 위험
이러한 네트워크를 연결하는 것은 비즈니스에 도움이 되지만 보안에는 위험합니다.NSA와 CISA는 다음과 같은 사이버 범죄자들의 전술을 관찰했습니다.
- 스피어 피싱은 IT 네트워크에 액세스하여 OT 네트워크에 도달하기 위한 것입니다.
- 상용 랜섬웨어를 배포하여 두 네트워크의 데이터를 암호화합니다.
- 알려진 포트와 프로토콜을 사용하여 수정된 제어 로직을 OT 장치에 다운로드합니다.
안타깝게도 공격자는 OT 네트워크 및 장치에 대한 유용한 정보를 쉽게 발견할 수 있습니다.또한 다음과 같은 일반적인 공격 프레임워크를 사용할 수 있습니다. 코어 임팩트 네트워크와 디바이스를 조사하고 알려진 취약점에 대해 침투를 실행합니다.
다음과 같은 경우에 2016년 우크라이나 전력망 공격, 공격자는 SCADA 시스템을 제어하기 위해 명시적으로 설계된 멀웨어를 사용하기도 합니다.보안 연구원들은 해당 공격에 사용된 맞춤형 멀웨어가 다른 표적과 함께 재사용하기 위한 것으로 보인다고 지적했습니다.
Illumio가 IT와 OT 네트워크를 모두 보호하는 방법
Illumio는 IT 및 OT 네트워크에서 보안 팀이 놓쳤던 가시성을 제공하고 랜섬웨어 및 기타 보안 공격으로부터 네트워크를 보호하는 데 도움이 됩니다.Illumio는 특수 어플라이언스나 시간이 많이 걸리는 재구성 프로젝트 없이 활성 트래픽 패턴을 신속하게 발견 및 보고하고 이전에는 쉽게 간과할 수 있었던 연결성을 찾아냅니다.이러한 가시성은 OT 환경을 “블랙박스”에서 이해하고 모니터링하고 보호할 수 있는 네트워크로 변화시킵니다.
Illumio는 이러한 네트워크를 보호하기 위해 디바이스에 이미 내장된 방화벽을 사용하여 네트워크 전반의 측면 이동 가능성을 최소화하는 트래픽 정책을 적용하는 마이크로 세그멘테이션을 적용합니다.래터럴 무브먼트는 네트워크 전체에 멀웨어나 권한 없는 사용자를 이동시켜 고부가가치 자산을 발견하거나 파괴적인 공격에 대비하여 랜섬웨어와 같은 멀웨어를 설치하는 것을 말합니다.보안팀은 IT 및 OT 장치의 불필요한 포트와 주소를 폐쇄하여 측면 이동이 발생하지 않도록 방지할 수 있습니다.단일 디바이스 또는 소규모 디바이스 그룹이 손상되더라도 공격자는 꼼짝 못하게 되어 네트워크를 통해 더 멀리 이동할 수 없게 됩니다.
보안 팀이 이러한 방화벽을 수동으로 구성하려고 하면 시간이 많이 걸릴 수 있습니다.또한 비즈니스에 중요한 OT 네트워크를 종료해야 할 가능성이 높으며, 네트워크를 종료하고 다시 시작하는 프로세스의 일부로 IP 주소 및 네트워크 라우팅 구성을 변경해야 하는 경우 해당 네트워크를 종료하면 더 많은 작업이 발생할 수도 있습니다.
Illumio는 보안 팀과 IT 리더가 OT 및 IT 장치의 네트워크 통신에 대한 정책을 정의하는 데 사용할 수 있는 도구를 제공하여 이 작업을 간소화하고 자동화합니다.정책을 정의하면 신속하게 장치에 배포하고 적용할 수 있습니다.하루 만에 크고 복잡한 엔터프라이즈 네트워크도 모니터링이 훨씬 쉬워지고 훨씬 더 안전해질 수 있습니다.네트워크를 종료하거나 네트워크 방화벽이나 라우팅 테이블을 재구성하지 않고도 이 작업을 수행할 수 있습니다.
퍼듀 모델 측면에서 Illumio는 OT 환경을 위한 레벨 3, 4, DMZ 이상에 대한 마이크로 세분화 및 보안을 제공합니다.Illumio는 각 레벨 내에서 측면 이동을 방지합니다.또한 공격자가 이러한 레벨을 OT 환경으로 옮기는 것을 방지합니다.
Illumio는 다음과 같은 방식으로 OT 환경을 운영하는 회사를 지원합니다.
IT 및 OT 네트워크에 대한 즉각적인 가시성
Illumio를 사용하면 장치가 서로 통신하는 방식을 쉽게 찾을 수 있습니다.어떤 사용자가 어떤 애플리케이션과 서비스에 액세스하고 있나요?어떤 포트가 열려 있나요?사용 중인 프로토콜은 무엇입니까?이러한 세부 정보를 수집하는 것은 잠재적 측면 이동으로 인한 위험을 이해하고 이러한 움직임이 발생하지 않도록 하기 위한 정책을 수립하는 첫 번째 단계입니다.
IT 및 OT 네트워크를 위한 마이크로세그멘테이션
Illumio는 네트워크에 대한 위험 기반 가시성을 제공하므로 기업은 비즈니스에 필요한 합법적인 트래픽만 네트워크를 통과할 수 있도록 허용하는 정책을 정의, 작성, 배포 및 적용할 수 있습니다.Illumio는 보안팀이 호스트 기반 방화벽을 사용하여 랜섬웨어의 기반이 되는 포트와 프로토콜을 쉽게 차단할 수 있도록 지원합니다. 랜섬웨어 확산 방지.또한 Illumio는 감염된 장치를 네트워크의 나머지 부분으로부터 신속하게 구분하여 랜섬웨어 감염을 억제할 수 있습니다.자동화된 격리를 통해 기업은 감염된 장치가 원격 위치에 있는 경우에도 랜섬웨어가 확산되는 것을 방지할 수 있습니다.
OT 네트워크를 위한 마이크로세그멘테이션
Illumio는 OT 네트워크에도 이와 동일한 위험 기반 가시성과 세분화를 제공합니다.예를 들어 OT 팀은 Illumio를 사용하여 Purdue 모델에서 권장하는 대로 OT VLAN을 분할하여 IT와 OT 네트워크 계층 간에 논리적 DMZ를 설정하고 특정 OT 장치가 신뢰할 수 있는 다른 특정 OT 장치와만 통신하도록 허용할 수 있습니다.이를 통해 VLAN만으로 사용할 수 있는 보다 세분화된 세분화가 가능합니다.또한 마이크로 세분화 정책을 통해 Illumio를 통해 제공되는 지속적으로 업데이트되는 위협 인텔리전스 및 취약성 평가를 활용할 수 있습니다.
Illumio가 OT 장치를 대상으로 하는 새로운 유형의 위협을 탐지하면 기업은 정책을 조정하고 장치를 빠르고 쉽게 업데이트하여 이러한 유형의 공격이 네트워크에 도달하지 못하도록 방지할 수 있습니다.또한 공격이 탐지되면 Illumio를 자동으로 차단할 수 있으므로 조직은 기술자를 원격 사이트로 파견하여 영향을 받는 장치의 연결을 수동으로 끊는 수고를 덜 수 있습니다.Illumio의 자동화된 격리 기능은 랜섬웨어가 확산될 수 있는 충분한 시간을 주는 “트럭 롤 (Truck Roll)” 응답 대신, 몇 분 안에 신속하게 공격을 “박스 인 (box in)”하여 랜섬웨어나 다른 유형의 멀웨어로 인한 피해를 최소화하고 OT 디바이스를 정상적으로 작동시킬 수 있습니다.
IT와 OT 네트워크 간의 가교 보안
Illumio는 IT 네트워크를 보호함으로써 사이버 공격이 IT 네트워크를 사용하여 OT 네트워크에 도달하는 것을 방지합니다.Illumio는 IT 네트워크를 횡단하여 OT 대상을 찾도록 설계된 공격을 차단합니다.또한 Illumio는 OT 네트워크의 의심스러운 트래픽이 IT 장치에 도달하는 것을 차단할 수 있습니다.
자세히 알아보려면:
