후원 기능 인터넷 연결은 구식 산업 환경을 포함하여 모든 것을 변화시켰습니다. 기업이 운영을 현대화하면서 더 많은 기계를 웹에 연결하고 있습니다. 이는 분명하고 현재의 보안 문제를 야기하는 상황이며 업계는 이를 처리하기 위한 새로운 접근 방식이 필요합니다.
산업용 사물인터넷(IIoT) 도입이 가속화되고 있습니다. 리써치 Inmarsat의 조사에 따르면 조사 대상 조직의 77%가 최소 하나의 IIoT 프로젝트를 완전히 배치했으며 그 중 41%가 2020년 2021분기에서 XNUMX년 사이에 완료했습니다.
동일한 연구는 또한 보안이 IIoT 배포를 시작하는 회사의 주요 관심사라고 경고했으며, 응답자의 54%는 보안이 데이터를 효과적으로 사용하는 데 방해가 된다고 불평했습니다. 절반은 또한 외부 사이버 공격의 위험을 문제로 언급했습니다.
IIoT 솔루션은 IT와 OT(운영 기술)의 융합에 중추적인 역할을 합니다. 종종 산업 제어 시스템(ICS)인 OT 플랫폼은 기업이 제조 생산에 동력을 공급하는 프레스 및 컨베이어 벨트 또는 도시의 물을 계속 흐르게 하는 밸브와 펌프와 같은 물리적 장치를 관리하는 데 도움이 됩니다.
그렇게 함으로써 그들은 분석 목적에 유용한 엄청난 양의 데이터를 생성합니다. 그러나 해당 정보를 적절한 엔터프라이즈 도구로 가져오는 것은 IT와 OT 사이의 격차를 좁히는 것을 의미합니다.
운영자는 또한 이러한 OT 시스템에 원격으로 액세스할 수 있기를 원합니다. 기존 IT 응용 프로그램에 이러한 장치를 제어할 수 있는 기능을 제공한다는 것은 IT 시스템에 정의된 동일한 백엔드 프로세스와 연결할 수 있음을 의미합니다. 또한 기술자가 운영 변경을 위해 수 킬로미터를 왕복할 수 없거나 원하지 않는 경우 원격 액세스를 지원하면 시간과 비용을 절약할 수 있습니다.
사회적 거리두기와 여행 제한으로 기술자들이 현장 방문을 전혀 할 수 없었던 COVID-19 위기 동안 원격 액세스에 대한 이러한 필요성은 더욱 높아졌습니다. Inmarsat은 예를 들어 팬데믹이 가속화된 IIoT 채택의 근본 원인임을 발견했으며, 84%는 팬데믹에 대한 직접적인 대응으로 프로젝트를 가속화하거나 가속화할 것이라고 보고했습니다.
따라서 많은 사람들에게 IT와 OT의 융합은 단순히 편리한 것 이상입니다. 필수입니다. 그러나 이는 보안 팀에게 완벽한 폭풍우를 일으키기도 했습니다. 외부에서 액세스할 수 있는 ICS 시스템은 해커의 공격 표면을 증가시킵니다.
실행 중인 ICS 공격
때로는 IT/OT 융합이 시설의 PC에 원격 액세스 소프트웨어를 설치하는 것처럼 간단할 수 있습니다. 그게 설정이야. 수 해커는 2021년 플로리다주 올즈마에 있는 시립 상수도 공장에 원격 액세스 도구를 설치하여 액세스 제어 시스템에 접근한 후 지역 주민들을 수산화나트륨으로 독살시키려고 시도했습니다. 공격자가 해킹한 PC는 공장의 OT 장비에 액세스할 수 있었습니다. 마을 보안관은 보이지 않는 침입자가 직원 중 한 명 앞에서 마우스 커서를 끌고 왔다고 보고했습니다.
해커가 무고한 플로리다 사람들을 독살시키려는 원인이 무엇인지는 분명하지 않지만 일부 공격에는 재정적 동기가 있습니다. 한 가지 예는 EKANS 랜섬웨어 공격입니다. 혼다를 치다 2020년 XNUMX월 영국, 미국 및 터키 전역에서 제조 운영을 중단합니다.
공격자들은 EKANS 랜섬웨어를 사용하여 회사의 내부 서버를 표적으로 삼았고, 이로 인해 공장이 크게 중단되었습니다. 에서 분석 사이버 보안 회사인 Darktrace는 EKANS가 새로운 유형의 랜섬웨어라고 설명했습니다. OT 네트워크를 표적으로 하는 랜섬웨어 시스템은 일반적으로 IT 장비를 먼저 공격한 다음 선회하는 방식으로 공격합니다. EKANS는 ICS 인프라를 직접 대상으로 한다는 점에서 상대적으로 드뭅니다. 킬 체인에서 최대 64개의 특정 ICS 시스템을 대상으로 할 수 있습니다.
전문가들은 다른 ICS 공격이 국가에서 후원하는 것으로 보고 있습니다. 2017년 처음으로 석유화학 공장을 노린 Triton 악성코드는 여전히 위협 FBI에 따르면 공격은 국가가 지원하는 러시아 그룹에 기인합니다. 국에 따르면 이 악성코드는 물리적 손상, 환경적 영향 및 인명 손실을 허용하기 때문에 특히 유해합니다.
표준 보안 솔루션은 여기에서 작동하지 않습니다.
전통적인 사이버 보안 접근 방식은 이러한 OT 취약점을 해결하는 데 효과적이지 않습니다. 기업은 맬웨어 방지를 포함한 엔드포인트 보안 도구를 사용하여 PC를 보호할 수 있습니다. 하지만 엔드포인트가 프로그래머블 로직 컨트롤러, AI 지원 비디오 카메라 또는 전구라면 어떻게 될까요? 이러한 장치에는 내부 프로세스를 확인할 수 있는 소프트웨어 에이전트를 실행할 수 있는 능력이 없는 경우가 많습니다. 일부에는 CPU 또는 데이터 저장 시설이 없을 수 있습니다.
IIoT 장치에 온보드 보안 에이전트를 지원하는 처리 대역폭과 전력 기능이 있더라도 사용하는 맞춤형 운영 체제는 일반 솔루션을 지원하지 않을 것입니다. IIoT 환경은 종종 다양한 공급업체의 여러 유형의 장치를 사용하여 다양한 비표준 시스템 포트폴리오를 생성합니다.
그런 다음 규모와 분포의 문제가 있습니다. 네트워크에서 수천 대의 표준 PC를 처리하는 데 익숙한 관리자와 보안 전문가는 센서가 수십만 개가 될 수 있는 IIoT 환경을 매우 다양하게 찾을 수 있습니다. 또한 특히 에지 컴퓨팅 환경이 주목을 받으면서 넓은 영역에 퍼질 수 있습니다. 그들은 전력을 절약하기 위해 좀 더 원격 환경에서 네트워크에 대한 연결을 제한할 수 있습니다.
기존 ICS 보호 프레임워크 평가
기존 IT 보안 구성이 이러한 문제를 처리할 수 없다면 OT 중심의 대안이 가능할까요? 이동 표준 모델은 Purdue 사이버 보안 모델입니다. Purdue University에서 만들어지고 International Society of Automation에서 ISA 99 표준의 일부로 채택한 이 표준은 IT 및 ICS 환경을 설명하는 여러 수준을 정의합니다.
레벨 XNUMX은 작업을 완료하는 선반, 산업용 프레스, 밸브 및 펌프와 같은 물리적 기계를 다룹니다. 다음 단계에는 이러한 기계를 조작하는 지능형 장치가 포함됩니다. 이들은 물리적 기계와 이를 구동하는 액추에이터의 정보를 전달하는 센서입니다. 그런 다음 프로그래머블 로직 컨트롤러와 같은 기계를 감독하는 SCADA(감독 제어 및 데이터 수집) 시스템을 찾습니다.
이러한 장치는 산업 워크플로를 실행하는 다음 단계의 제조 운영 관리 시스템에 연결됩니다. 이 기계는 플랜트가 최적의 상태로 계속 작동하도록 하고 운영 데이터를 기록합니다.
Purdue 모델의 상위 레벨에는 IT 영역에 완전히 자리 잡은 엔터프라이즈 시스템이 있습니다. 여기의 첫 번째 수준에는 생산 물류를 처리하는 전사적 자원 관리와 같은 생산별 애플리케이션이 포함됩니다. 그런 다음 최상위 수준에는 비즈니스 보고 및 의사 결정을 추진하기 위해 ICS 시스템에서 데이터를 수집하는 IT 네트워크가 있습니다.
네트워크 외부에 아무 말도 하지 않는 옛날에는 관리자가 경계를 따라 네트워크를 분할할 수 있었기 때문에 이 접근 방식을 사용하여 ICS 환경을 관리하는 것이 더 쉬웠습니다.
DMZ(Demilitarized Zone) 레이어는 이러한 유형의 세분화를 지원하기 위해 의도적으로 추가되었으며 두 엔터프라이즈 레이어와 스택 아래의 ICS 레이어 사이에 위치합니다. 방화벽과 같은 보안 장비를 사용하여 기업과 ICS 도메인 사이의 에어 갭 역할을 하여 이들 사이의 트래픽을 제어합니다.
그러나 ISA가 최근에 도입했기 때문에 모든 IT/OT 환경에 이 계층이 있는 것은 아닙니다. 도전에 직면하는 사람들조차도.
오늘날의 운영 환경은 Purdue 모델이 처음으로 진화하고 우리가 알고 있는 클라우드가 존재하지 않았던 1990년대의 운영 환경과 다릅니다. 엔지니어는 온프레미스 관리 작업 또는 SCADA 시스템에 직접 로그인하기를 원합니다. 공급업체는 인터넷에서 직접 고객 사이트의 지능형 장치를 모니터링할 수 있습니다. 일부 회사는 Severn Trent Water와 같이 전체 SCADA 레이어를 클라우드로 포크리프트하기를 갈망합니다. 결정된 2020년에 할.
타사에서 관리하는 ICSaaS(ICS as a Service)의 진화는 IT/OT 융합과 씨름하는 보안 팀의 물을 더욱 흐리게 했습니다. 이러한 모든 요소는 환경에 여러 구멍을 열고 이전의 세분화 노력을 우회할 위험이 있습니다.
얽힌 엉망진창을 모두 잘라내고
대신 일부 기업은 세분화를 넘어 모험을 하는 새로운 접근 방식을 채택하고 있습니다. 빠르게 사라지는 네트워크 경계에 의존하지 않고 장치 수준에서 실시간으로 트래픽을 검사합니다. 이것은 초기에 Open Group의 Jericho Forum이 제안한 원래의 경계 해제 제안과 크게 다르지 않지만, 당시에는 네트워크의 다양한 지점에서 트래픽을 분석하는 것이 어려웠습니다. 오늘날, 수비수들은 AI의 출현 덕분에 더 잘 감시할 수 있습니다.
다크트레이스는 적용 산업 면역 시스템 내에서 이러한 개념 중 일부. 네트워크 세그먼트의 경계에서 알려진 악성 서명을 관찰하는 대신 클라우드에서 호스팅되는 해당 환경의 모든 부분을 포함하여 IT 및 OT 환경의 모든 곳에서 정상적인 것을 학습하는 것으로 시작합니다.
진화하는 정규성 기준선을 설정하면 서비스는 모든 트래픽에서 정상 범위를 벗어나는 활동을 분석합니다. 관리자와 보안 분석가에게 이러한 문제에 대해 경고할 수 있습니다. 한 한 유럽 제조 고객의 경우.
서비스도 자율적입니다. 고객이 스위치를 뒤집을 만큼 자신의 결정을 신뢰하면 면역 시스템은 단순한 경고에서 비례 조치를 취하는 것으로 이동할 수 있습니다. 이는 특정 형태의 트래픽을 차단하거나, 장치의 정상적인 동작을 강제하거나, 심각한 경우 OT/ICS 계층의 장비를 포함하여 시스템을 완전히 격리하는 것을 의미할 수 있습니다.
Darktrace의 경영진은 알려진 정상적인 행동에 대한 실시간 평가와 결합된 지속적이고 유비쿼터스한 트래픽 분석의 보다 세분화된 모델로의 전환이 증가하는 ICS 사이버 공격을 저지하는 데 도움이 되기를 희망합니다. 또한 회사가 원격 액세스 및 클라우드 기반 ICS 이니셔티브를 지원하여 더욱 민첩해질 수 있기를 바랍니다. 미래에는 조명을 계속 켜두기 위해 누군가가 조명을 끄는 위험을 감수할 필요가 없습니다.
Darktrace 후원
