OT 보안의 중요성과 NDR이 어떻게 도움이 될 수 있는지
OT는 얼마나 중요한가?
OT는 세상을 돌아가게 합니다. 이 기술 범주에는 산업 제어 시스템과 원격 단말 장치(RTU)가 포함됩니다. 원격 단말 장치는 공장, 창고 및 기타 산업 시설에서 생산물을 모니터링하고 제어할 수 있도록 하는 자동화 시스템입니다.
OT의 간단한 예를 들어보겠습니다. 일반적인 식기세척기를 분해해 보겠습니다. 전면의 입력 버튼을 누르면 작은 CPU가 선택한 프로그램과 문이 제대로 닫혔는지 확인합니다. 그러면 작은 컨트롤러가 입력과 출력의 순환을 시작합니다. 급수 밸브를 열고 닫고, 온수기를 작동시키고, 분무기에 물을 펌핑합니다. 이러한 각 과정은 마이크로프로세서 덕분에 적절한 시기에 실행됩니다. 이것이 바로 프로그래머블 로직 컨트롤러(PLC)의 기본적인 작동 방식입니다. 입력을 등록하고, 로직을 실행하고, 출력을 켜거나 끕니다.
1960년대 중반 처음 등장했을 때 PLC는 몇 안 되는 OT(운영기술) 형태 중 하나였습니다. 거의 항상 에어갭(공극) 구조로 되어 있었고, 모든 입력과 출력은 다른 장치와 독립적으로 존재했습니다. 이러한 궁극적인 보안 조치 덕분에 OT는 엄청난 성장을 이룰 수 있었습니다. 초기의 틈새 시장용 PLC에서 제조업체들은 이 기술의 잠재적 이점을 더 넓은 범위에서 빠르게 인지했습니다. 처음에는 이러한 PLC가 대형 제어판을 통해 통합적으로 제어되었기 때문에 지속적인 인력 감독이 필요했습니다. 모든 제어가 물리적으로 한 곳에 있었지만, 각 제어 루프는 여전히 제어판에서 자체 버튼이나 스위치를 필요로 했습니다. 90년대를 거치며 분산 제어 시스템(DCS)의 발전으로 이러한 컨트롤러는 알고리즘으로 제어되고 그래픽 디스플레이를 통해 상호 작용하는 입력/출력 랙 네트워크로 대체될 수 있었습니다. 최근에는 SCADA(감시 제어 및 데이터 수집) 시스템을 통해 디지털 컨트롤러가 지리적으로 떨어져 있는 자산도 관리할 수 있게 되었습니다.
OT 보안은 오래되었습니다
OT는 여전히 구식 접근 방식을 벗어나고 있습니다. 오늘날 IT는 기밀성, 무결성, 가용성을 중심으로 구축되었지만 OT는 일반적으로 다른 모든 것보다 실시간 제어와 가용성을 우선시했습니다. 이는 OT가 오프그리드였던 수십 년 동안 효과가 있었지만, OT의 대부분은 2010년대 초반부터 온라인 연결의 혜택을 누리고 있습니다. OT도 모호함으로 인해 보호를 받았지만, 사이버 동력 공격의 출현과 중요 인프라 내에서 OT의 중요한 배치는 경각심을 불러일으킬 것입니다.
2021년 플로리다의 한 수처리 시설 통제실에 근무하는 직원 뭔가 이상한 것을 알아챘다: 마우스가 화면 주위를 불규칙하게 움직이고 있었습니다. TeamViewer를 통해 연결된 원격 기술 지원 팀이라고 생각한 그의 우려는 쥐가 처리 공장의 제어 장치를 탐색하기 시작하고 물에 펌핑되는 수산화나트륨의 양을 100ppm에서 11,100ppm으로 변경하려고 시도했을 때에만 나타났습니다. ppm. 이것은 물이 인체 조직을 부식시키게 만들 것입니다.
궁극적으로는 성공하지 못했지만, 이 공격은 OT의 중요성과 관련되지 않은 IT 시스템 내의 취약점이 어떻게 치명적인 결과를 초래하는 연쇄 반응을 일으킬 수 있는지를 강조합니다.
NDR이 오늘날의 위협으로부터 OT를 보호하는 방법
보안의 초석은 가시성입니다. 마찬가지로 OT 보안은 자산 인벤토리 관행에서 엄청난 이점을 얻습니다. 이를 통해 가장 우려되는 영역을 우선시할 수 있습니다. 제어실의 코끼리는 종종 OT 기술 스택을 구성하는 레거시 장치의 엄청난 수입니다. 이를 교체하는 것이 경제적이지 않다면 세분화하세요.
경계 중심 보안은 지난 몇 년 동안 좋지 않은 평판을 얻었지만, 세분화는 여전히 고위험 OT 장치를 보호하는 데 중요한 역할을 합니다. 이것이 바로 원자력규제위원회(NRC)가 사이트는 5개의 중요도 기반 보안 영역에서 자산을 분리해야 합니다.. 이는 또한 각 분할된 영역 내에서 데이터를 보낼 수 있는 위치를 제한합니다. 그러나 NRC 수량의 방화벽을 다루는 추가적인 번거로움을 원하는 조직은 거의 없습니다. 방화벽은 악명 높게 시끄럽고 종종 끝없는 로그로 다운스트림 보안 수역을 흐리게 만듭니다.
세분화가 필수적이기는 하지만, 그것은 OT 보안의 첫 번째 계층일 뿐입니다. 중요도가 높은 세그먼트 외부의 기기의 경우, IT가 누리는 것과 동일한 모든 보안 지원이 필요합니다. 이는 부분적으로 네트워크 감지 및 대응(NDR) 시스템을 통해 달성할 수 있습니다. NDR은 온라인 기기에서 네트워크 활동을 분석하여 단순한 정기적인 유지 관리보다 더 깊이 파고듭니다. OT용 NDR은 나쁜 행위자를 나타낼 수 있는 네트워크 활동과 요청을 모니터링하는 수동적인 방법을 제공합니다. 올바른 방향으로 나아가는 한 걸음이지만, 네트워크 수준의 인시던트가 주시해야 할 유일한 것이 아니라는 점에 유의할 가치가 있습니다.
Stellar Cyber로 OT의 미래를 준비하세요
OT 보안을 더 깊이 파고들수록 IT와 OT의 경계가 모호해집니다. 안타깝게도 많은 조직이 여전히 단일 IT 보안 팀에 의존하고 있기 때문에 OT의 빈틈을 메우라고 요청하는 것은 항상 가능하지도 않고 공평하지도 않습니다.
대신에 다음과 같은 사실을 받아들이십시오. IT와 OT는 점점 더 연결되고 있습니다귀사의 보안팀은 두 분야를 동일한 수준의 보호로 끌어올리는 데 집중할 수 있습니다. SCADA 네트워크와 기업 IT 모두와 통합되는 단일 통합 도구인 Stellar Cyber는 이러한 기능을 제공합니다. Open XDR 이 플랫폼은 OT 및 IT 네트워크를 통해 흐르는 모든 원격 측정 데이터를 수집하고, 트래픽이 많은 방화벽과 연결하며, 수많은 경고를 실행 가능한 사례로 취합합니다. NDR의 식별 가능성 IDS의 현장 액션을 통해 Stellar Cyber의 사용자 지정 보안 규칙은 비표준 프로토콜과 통신 경로를 감지하여 활성 익스플로잇과 맬웨어를 찾을 수 있습니다. Stellar Cyber는 보안 분석가에게 공격 표면의 전체 범위에 걸친 격차를 보여줄 수 있는 독특한 위치에 있습니다.
