.png)
Illumio가 랜섬웨어 및 기타 보안 공격으로부터 OT 네트워크를 보호하는 방법
운영 기술(OT) 네트워크는 센서, 모터, 분산 제어 시스템(DCS), 프로그래밍 가능 로직 컨트롤러(PLC), 원격 터미널 장치(RTU), 감독 제어 및 데이터 수집(SCADA) 시스템, 역사 애플리케이션 및 데이터베이스, 엔지니어링 키오스크, 기타 유형의 서버 등 특수 목적 장치를 연결하여 공장, 발전소, 전력망, 광산 시설, 의료 시설, 식품 제조업체 및 기타 안정적인 실시간 자동화가 필요한 현장의 운영을 주도합니다.
이러한 장치는 미션 크리티컬 서비스를 제공합니다. 따라서 사이버 범죄자 및 기타 공격자에게 중요한 표적이 될 수 있습니다.
물론 피싱 공격, 무차별 암호 대입 공격, 악의적인 내부자 등 위협은 어디에서든 발생할 수 있습니다. 또한 특정 모델의 OT 디바이스를 공격하도록 특별히 설계된 멀웨어의 공격을 받은 OT 디바이스에서 발생할 수도 있습니다.
때때로 OT 디바이스는 IT 네트워크와 '에어 갭'이 있는 네트워크에서 실행되는데, 이는 IT 네트워크에 대한 보안 공격이 OT 운영에 도달하는 것을 방지하기 위해 IT 네트워크에 물리적으로 연결되지 않은 상태에서 작동합니다. 그러나 단일 시설 내에서도 일부 OT 디바이스와 네트워크는 에어 갭이 있을 수 있고 그렇지 않을 수도 있습니다. 또한 공장 관리자조차도 어떤 네트워크에 에어 갭이 있는지, 어떤 네트워크에 에어 갭이 없는지 구분할 수 있는 가시성이 반드시 필요한 것은 아닙니다.
점점 더 많은 기업들이 에어 갭 장치를 사용하지 않는 이유를 찾고 있습니다. 예를 들어 식품 제조업체는 웹 애플리케이션과 소비자의 선택에 따라 공장 현장에서 특정 재료를 직접 생산할 수 있도록 하고 싶을 수 있습니다. 이와 같은 비즈니스 사용 사례로 인해 사이버 공격에 대한 방어 수단으로서 에어 갭의 효과는 날로 떨어지고 있습니다.
물리적인 에어 갭이 없는 경우 OT 환경은 IT 디바이스가 실행되는 네트워크에 연결됩니다. 이러한 연결성에는 위험이 따릅니다. 갑자기 인터넷 기반 공격이 OT 디바이스에 도달할 수 있습니다.
OT 환경에서 워크로드를 분류하는 방법론 중 하나는 OT 및 IT 네트워크에서 워크로드를 분리하고 분산하기 위한 신뢰할 수 있는 모델인 퍼듀 참조 모델을 기반으로 합니다. 미국 정부의 사이버 보안 및 인프라 보안 기관(CISA) 은 OT 환경을 갖춘 기업이 퍼듀 모델의 다양한 수준의 논리적 분류에 따라 네트워크를 세분화할 것을 권장합니다.
하지만 이러한 유형의 세분화는 쉬운 일이 아닙니다. OT 네트워크는 플랫 네트워크로, 모든 디바이스가 동일한 제어 영역과 주소 공간에서 실행됩니다. 세그먼테이션을 구현하려면 수익 창출 환경의 서비스 및 디바이스를 종료하고 네트워크를 재구성하여 세그먼테이션을 구현해야 합니다. 이는 많은 비용과 시간이 소요되는 작업입니다. 많은 기업에서 비즈니스에 중요한 OT 디바이스를 종료하는 아이디어가 전면적으로 거부되거나 끝없이 연기되는 동안 IT 팀은 수익 창출 활동에 지장을 주지 않으면서 OT 서비스를 종료할 기회를 기다립니다.
일부 시설에서는 IT 장치와 OT 장치를 어느 정도 분리하기 위해 OT 장치에 전용 VLAN(가상 LAN)을 구성합니다. 하지만 이 접근 방식에도 단점이 있습니다. 첫째, 대규모로 VLAN을 관리하기가 어렵습니다. 둘째, 디바이스를 VLAN에 배치한다고 해서 공격자가 동일한 VLAN의 디바이스 간에 이동하면서 VLAN 구성에 의해 변경되지 않은 포트와 프로토콜을 이용하는 것이 줄어들지 않습니다. 결론: 공격자가 디바이스에 액세스하는 경우, VLAN 제어가 반드시 다른 표적에 도달하는 것을 막는 것은 아닙니다.
비즈니스 및 IT 리더가 공격자가 OT 디바이스와 IT 디바이스 사이를 자유롭게 이동하는 것을 막으려면 세 가지 중요한 사항이 필요합니다:
- 가시성: 리더는 IT 및 OT 디바이스의 활동과 구성 세부 정보에 대한 가시성이 있어야 어떤 통신 경로가 열려 있는지 파악하여 공격자가 측면으로 이동할 수 있는 길을 만들 수 있습니다.
- 정책 정의: 리더는 네트워크를 세분화하기 위한 구성 정책을 정의하고 IT 또는 OT 등 분리해야 하는 모든 디바이스를 분리하기 위한 마이크로 세분화 정책 엔진이 필요합니다. 이러한 세분화 정책은 방화벽 규칙보다 높은 수준에서 작동합니다. 이를 통해 리더는 정책을 시행하는 특정 제품의 특정 방화벽 규칙에 얽매이지 않고 모범 사례를 정의할 수 있습니다.
- 정책 시행: 또한 리더는 비즈니스에 중요한 IT 및 OT 디바이스를 재구성하고 다시 시작하기 위해 네트워크를 종료하지 않고도 이러한 정책을 시행할 수 있어야 합니다. 또한 정상적으로 작동하는 OT 디바이스를 교체하지 않고도 이러한 정책을 시행할 수 있는 방법이 필요합니다. 또한 IT 또는 OT 디바이스의 성능을 저하시킬 수 있는 특수 목적의 소프트웨어 애플리케이션을 설치할 필요도 없습니다.
멀웨어 및 기타 유형의 사이버 공격으로부터 OT 디바이스와 IT 디바이스를 모두 보호하려면 비즈니스 및 IT 리더는 네트워크에 대한 가시성을 개선하고 네트워크를 빠르고 쉽게 마이크로세분화하여 모든 유형의 디바이스에 대한 공격이 네트워크 전체로 확산되는 것을 방지할 수 있는 방법이 필요합니다.
이러한 가시성과 제어의 필요성은 점점 더 많은 기업이 IT와 OT의 세계를 하나로 통합해야 하는 비즈니스상의 이유를 찾으면서 에어 갭과 같은 오래된 디바이스가 쓸모없어짐에 따라 더욱 절실해지고 있습니다.
IT 네트워크와 OT 네트워크가 통합되는 경우
왜 이렇게 다양한 종류의 네트워크와 디바이스를 연결해야 할까요? 고객과 파트너에 대한 민첩한 대응이 필요한 급변하는 시장에서는 비즈니스 시스템을 일상적인 운영을 지원하는 OT 네트워크와 연결하는 것이 합리적입니다.
영업, 마케팅 및 주문 처리 프로세스가 IT 네트워크에서 관리되는 경우, 이러한 프로세스는 OT 네트워크에서 제어하는 제조 및 물류 시스템의 최신 정보를 활용할 수 있습니다. 또한 위에서 인용한 식품 제조 사례에서처럼 비즈니스 프로세스가 수요를 주도하는 경우 주문을 OT 네트워크로 바로 전송하여 완료할 수 있습니다.
또한 IT 네트워크를 통해서만 액세스하는 클라우드 애플리케이션과 클라우드 스토리지를 활용하여 효율성과 비용 절감의 이점을 누릴 수 있습니다. 또한 원격 근무가 보편화됨에 따라 일부 기업에서는 원격 근무자가 IT 네트워크와 클라우드 애플리케이션을 사용하여 OT 기기를 모니터링, 제어 및 보호할 수 있도록 하려고 합니다.
NSA(국가안보국)와 CISA는 2020년에 발표한 보안 경보에서 "기업들이 원격 운영 및 모니터링을 늘리고, 분산된 인력을 수용하며, 계측 및 제어, OT 자산 관리/유지, 경우에 따라 프로세스 운영 및 유지 관리와 같은 핵심 기술 영역의 아웃소싱을 확대하면서 미국 16개 CI 부문에서 인터넷 액세스 가능한 OT 자산이 더욱 보편화되고 있습니다."라고 지적했듯이.
IT/OT 융합으로 인한 새로운 위험
이러한 네트워크를 연결하는 것은 비즈니스에는 도움이 되지만 보안에는 위험할 수 있습니다. NSA와 CISA는 다음과 같은 사이버 범죄자들의 전술을 관찰했습니다:
- 스피어 피싱을 통해 IT 네트워크에 액세스한 후 OT 네트워크에 도달합니다.
- 상용 랜섬웨어를 배포하여 두 네트워크의 데이터를 암호화합니다.
- 알려진 포트와 프로토콜을 사용하여 수정된 제어 로직을 OT 장치에 다운로드합니다.
안타깝게도 공격자는 OT 네트워크와 디바이스에 대한 유용한 정보를 쉽게 발견할 수 있습니다. 또한 Core Impact와 같은 일반적인 익스플로잇 프레임워크를 사용하여 네트워크와 디바이스를 조사하고 알려진 취약점에 대한 침투를 실행할 수 있습니다.
2016년 우크라이나 전력망에 대한 공격과 같이 공격자는 SCADA 시스템을 제어하기 위해 명시적으로 설계된 멀웨어를 사용하는 경우도 있습니다. 보안 연구원들은 이 공격에 사용된 맞춤형 멀웨어가 다른 공격 대상에 재사용하기 위한 것으로 보인다고 지적했습니다.
일루미오가 IT와 OT 네트워크를 모두 보호하는 방법
Illumio는 보안 팀이 IT 및 OT 네트워크에서 놓치고 있는 가시성을 제공하고 랜섬웨어 및 기타 보안 공격으로부터 네트워크를 보호하는 데 도움을 줍니다. 특별한 어플라이언스나 시간이 많이 소요되는 재구성 프로젝트 없이도 Illumio는 활성 트래픽 패턴을 신속하게 발견하고 보고하며 이전에는 쉽게 간과할 수 있었던 연결성을 밝혀냅니다. 이러한 가시성은 OT 환경을 '블랙박스'에서 이해하고, 모니터링하고, 보호할 수 있는 네트워크로 전환합니다.
이러한 네트워크를 보호하기 위해 Illumio는 디바이스에 이미 내장된 방화벽을 사용하여 네트워크 간 측면 이동 가능성을 최소화하는 트래픽 정책을 시행하는 마이크로 세분화를 적용합니다. 측면 이동은 고가의 자산을 발견하거나 파괴적인 공격에 대비하여 랜섬웨어와 같은 멀웨어를 설치하기 위해 멀웨어 또는 권한이 없는 사용자가 네트워크를 통해 이동하는 것을 말합니다. 보안팀은 IT 및 OT 디바이스에서 불필요한 포트와 주소를 닫음으로써 측면 이동을 방지할 수 있습니다. 단일 디바이스 또는 소규모 디바이스 그룹이 손상되더라도 공격자는 네트워크에서 더 멀리 이동할 수 없는 갇힌 상태가 됩니다.
보안팀이 이러한 방화벽을 수동으로 구성하려면 시간이 많이 걸리는 작업일 가능성이 높습니다. 또한 비즈니스에 중요한 OT 네트워크를 종료해야 할 가능성이 높으며, 네트워크를 종료하고 다시 시작하는 과정에서 IP 주소와 네트워크 라우팅 구성을 변경해야 하는 경우 이러한 네트워크를 종료하면 더 많은 작업이 발생할 수도 있습니다.
Illumio는 보안 팀과 IT 리더가 OT 및 IT 디바이스의 네트워크 통신에 대한 정책을 정의하는 데 사용할 수 있는 도구를 제공하여 이 작업을 간소화하고 자동화합니다. 정책이 정의되면 디바이스에 신속하게 배포하고 적용할 수 있습니다. 대규모의 복잡한 엔터프라이즈 네트워크도 하루 만에 훨씬 쉽게 모니터링하고 훨씬 더 안전하게 만들 수 있습니다. 이 작업은 네트워크를 종료하거나 네트워크 방화벽 또는 라우팅 테이블을 재구성할 필요 없이 수행할 수 있습니다.
퍼듀 모델의 경우, 일루미오는 OT 환경을 위한 레벨 3, 4, DMZ 이상의 마이크로 세분화 및 보안을 제공합니다. Illumio는 이러한 각 레벨 내에서 측면 이동을 방지합니다. 또한 공격자가 이러한 레벨을 OT 환경으로 이동하는 것을 방지합니다.
Illumio는 다음과 같은 방식으로 OT 환경을 운영하는 기업을 지원합니다:
IT 및 OT 네트워크에 대한 즉각적인 가시성
Illumio를 사용하면 디바이스 간의 통신 방식을 쉽게 파악할 수 있습니다. 어떤 사용자가 어떤 애플리케이션과 서비스에 액세스하고 있나요? 어떤 포트가 열려 있나요? 어떤 프로토콜이 사용되나요? 이러한 세부 정보를 수집하는 것은 잠재적인 측면 이동으로 인한 위험을 파악하고 이러한 이동을 줄이기 위한 정책을 수립하는 첫 번째 단계입니다.
IT 및 OT 네트워크를 위한 마이크로세그멘테이션
Illumio는 네트워크에 대한 위험 기반 가시성을 제공하므로 기업은 비즈니스에 필요한 합법적인 트래픽만 네트워크를 통과하도록 허용하는 정책을 정의, 작성, 배포, 시행할 수 있습니다. 보안 팀이 호스트 기반 방화벽을 사용하여 랜섬웨어가 의존하는 포트와 프로토콜을 쉽게 차단할 수 있도록 함으로써 Illumio는 랜섬웨어가 확산되는 것을 방지할 수 있습니다. 또한 Illumio는 감염된 디바이스를 나머지 네트워크에서 빠르게 분리하여 랜섬웨어 감염을 차단할 수 있습니다. 자동화된 격리 기능을 통해 기업은 영향을 받는 디바이스가 원격 위치에 있는 경우에도 랜섬웨어가 확산되는 것을 방지할 수 있습니다.
OT 네트워크를 위한 마이크로세그멘테이션
Illumio는 OT 네트워크에도 이와 동일한 위험 기반 가시성과 세분화를 제공합니다. 예를 들어, OT 팀은 퍼듀 모델에서 권장하는 대로 Illumio를 사용하여 OT VLAN을 분할하여 IT와 OT 네트워크 계층 사이에 논리적 DMZ를 설정하고 특정 OT 디바이스가 신뢰할 수 있는 다른 특정 OT 디바이스와만 통신할 수 있도록 허용할 수 있습니다. 이를 통해 VLAN만으로 사용할 수 있는 세분화된 세분화를 제공합니다. 또한 마이크로 세분화 정책을 통해 지속적으로 업데이트되는 위협 인텔리전스 및 취약성 평가를 Illumio를 통해 활용할 수 있습니다.
Illumio가 OT 디바이스를 노리는 새로운 유형의 위협을 감지하면 기업은 정책을 조정하고 디바이스를 빠르고 쉽게 업데이트하여 해당 유형의 공격이 네트워크에 도달하는 것을 방지할 수 있습니다. 또한, 공격이 감지되면 자동으로 공격을 차단하는 Illumio의 기능 덕분에 조직은 기술자를 원격 사이트에 파견하여 영향을 받는 디바이스의 연결을 수동으로 해제해야 하는 번거로움을 덜 수 있습니다. 랜섬웨어가 확산될 수 있는 충분한 시간을 주는 "트럭 롤 대응 대신, Illumio의 자동화된 봉쇄는 몇 분 안에 신속하게 "공격을 차단하여 랜섬웨어 또는 기타 유형의 멀웨어로 인한 피해를 최소화하고 OT 디바이스가 정상적으로 작동하도록 할 수 있습니다.
IT 네트워크와 OT 네트워크 간의 가교 확보
Illumio는 IT 네트워크를 보호함으로써 사이버 공격이 IT 네트워크를 사용하여 OT 네트워크에 도달하는 것을 방지합니다. Illumio는 IT 네트워크를 통과하여 OT 대상을 찾도록 설계된 공격을 차단합니다. Illumio는 또한 OT 네트워크의 의심스러운 트래픽이 IT 디바이스에 도달하는 것을 차단할 수 있습니다.
자세히 알아보려면 여기를 클릭하세요:
.webp)
