라이브 데모: Nozomi Networks 15분 만에 끝내는 플랫폼
시계
OT IT를 비교하는 간단한 방법은 다음과 같습니다: IT는 데이터 무결성, 기밀성, 가용성을 중요하게 생각합니다. OT 프로세스 가동 시간, 안전 및 신뢰성을 중시합니다.
IT는 조직 내 어디에나 존재하며 거의 모든 직원이 모든 비용 센터에서 사용합니다. 따라서 IT 보안은 무단 액세스 또는 수정으로부터 데이터를 보호하는 데 중점을 두며, 역할 기반 액세스와 안전한 사이버 보안 관행의 가장 약한 고리인 사용자 교육에 중점을 둡니다.
OT 자산과 네트워크는 일반적으로 조직의 수익을 창출하거나 필수 공공 서비스를 제공하는 핵심 자산을 자율적으로 관리하고 제어하며, OT 장애가 발생하거나 공격을 받으면 특히 중요 인프라의 경우 IT보다 더 큰 위험에 처하게 됩니다. 따라서 OT 보안에는 물리적 프로세스의 안전하고 안정적인 운영을 보장하는 것이 포함됩니다.
OT 및 IoT 디바이스는 그 양이 방대하고 다양하기 때문에 IT 디바이스보다 관리하기가 더 어렵습니다. 게다가 OT 네트워크의 모든 구성 요소는 매우 분산된 환경에서 더 큰 프로세스의 일부입니다. 기계에 문제가 발생하면 즉시 기계가 무엇에 의존하고 있고 무엇이 의존하고 있는지 파악해야 합니다.
역사적으로 OT 네트워크는 인터넷이나 엔터프라이즈 IT 네트워크에 연결되지 않은 '에어 갭' 상태였기 때문에 사이버 위협이 우려되지 않았습니다. 그런 시대는 이미 오래 전에 지나갔지만, 여전히 OT 환경의 사이버 보안은 뒷전으로 밀려나는 경우가 많습니다. 산업 디지털화 덕분에 오늘날의 생산 환경에는 효율성을 향상시키는 수백 개의 상호 연결된 디지털 시스템이 포함되어 있지만 새로운 위험도 존재합니다. 많은 OT 디바이스는 관리되지 않으며 IT 컴퓨터나 서버처럼 패치를 적용할 수 없습니다. 패치가 가능한 경우에도 자동화할 수 없습니다. 일부 예외를 제외하고 위협 탐지는 OT 환경을 위해 특별히 설계된 심층 패킷 검사 및 행동 기반 이상 징후 탐지 기술에 의존합니다.
랜섬웨어 공격이 헤드라인을 장식하지만, 일상적인 네트워크 또는 프로세스 구성 오류, 운영 오류, 리소스 사용량 급증 및 기타 이상 징후가 외부 공격보다 OT 환경을 위협할 가능성이 훨씬 더 높습니다. 이상 징후란 기준 성능에서 벗어나는 모든 것을 말합니다. 불안정한 프로세스 값, 잘못된 프로세스 측정, 오작동을 유발할 수 있는 잘못된 구성 등이 이에 해당할 수 있습니다.
OT 자산과 프로세스를 통해 이동하는 데이터(예: 프로세스 값)는 순간적으로만 관련성이 있으며, 이러한 데이터 포인트는 분당 수백만 개에 달할 수 있습니다. 따라서 OT 사이버 보안은 데이터 유출보다는 데이터가 승인된 디바이스 간에만 이동하고 매 순간 최신 상태로 유지되도록 하는 데 중점을 둡니다.
대부분의 IT는 수명이 짧고 노후화가 진행됩니다. 소프트웨어는 몇 년마다 일몰되거나 대대적인 업그레이드가 이루어지며 하드웨어는 자주 교체해야 합니다. OT 일반적으로 수명이 길며 경우에 따라 최대 수십 년에 이릅니다. PLC와 같은 장치는 열악한 프로덕션 환경을 위해 특별히 설계된 경우가 많으며 오래 사용할 수 있도록 제작됩니다. 많은 OT 디바이스는 여전히 '설계상 안전하지 않은' 레거시 기술에 의존하고 있으며, 취약점이 잘 문서화되어 있지만 패치되지 않은 채로 남아 있는 경우가 너무 많습니다. 또한 공장 승인 및 현장 승인 테스트를 거치는 데 수년이 걸릴 수 있으므로 작은 조정은 권장되지 않습니다.
일부 OT 시스템과 그 구성 요소는 수년 동안 지속적으로 운영되며 정기적인 유지보수 기간이 짧습니다. 산업 환경에서는 다운타임이 심각한 장애로 이어질 수 있으므로 지속적인 운영은 안전과 신뢰성을 보장하는 데 도움이 됩니다. 패치(사용 가능한 경우) 및 기타 업데이트는 빈번하지 않으므로 유지보수 기간이 짧은 기간 동안 예약해야 합니다.
IT 부서는 표준 운영 체제를 사용하고 표준 프로토콜을 사용하여 통신합니다. 많은 OT 디바이스에는 해당 용도에 맞는 전용 운영 체제가 있습니다. 이러한 프로토콜은 속도와 유연성보다 안정성, 결정적 응답 시간 및 복원력을 우선시하여 물리적 프로세스 및 디바이스의 실시간 모니터링 및 제어를 위해 맞춤화되어 있습니다. 이러한 프로토콜은 산업별로 다르며 본질적으로 안전하지 않은 수백 개의 프로토콜을 사용하여 통신을 수행합니다. 의심스럽거나 비정상적인 동작을 식별하기 위해 심층 패킷 검사 (DPI)를 사용하여 신중하게 분석해야 하는 모드버스나 프로피버스 같은 독점 프로토콜, IT 침입 탐지 시스템(IDS)과 엔드포인트 탐지 및 대응 시스템(EDR)은 산업용 프로토콜을 이해하지 못하므로 OT 위협을 탐지할 수 없습니다. 기껏해야 비효율적이고 최악의 경우 너무 많은 리소스를 소비하거나 무언가를 망가뜨릴 수 있습니다.
제조업체는 생산 모니터링과 장비 문제 해결을 위해 매일 수십 명의 외부 기술자가 원격으로 로그인하여 자체 원격 액세스 도구를 사용하는 경우가 많습니다. 취약한 자격 증명과 기본 비밀번호를 느슨하게 사용하면 기업은 원격 코드 실행을 통한 공격에 노출됩니다.
특히무인 장비의 경우 기본 비밀번호가 변경되지 않아 악의적인 공격자가 쉽게 해킹할 수 있으며, 멀티팩터 인증(MFA)은 현실적으로 불가능합니다. 대신 지속적인 모니터링을 통해 디바이스를 인증하고 디바이스 간 통신의 무결성을 보장합니다.↪CF_200D↩
세그먼테이션은 통신을 제한하고 드물게 복구할 수 있는 디바이스를 보호하기 위한 필수적인 보완 제어입니다. 산업 환경에서는 산업 핵심 요소를 격리하고 IT 네트워크의 사이버 사고가 OT 네트워크로 측면 이동하는 것을 방지하기 위해 세그먼트 간 트래픽을 제어하고 모니터링하는 보안 영역과 도관을 사용합니다.
사이버 보안 위험을 이해하고, 보안 모범 사례를 도입하며, 산업 환경에서 인식의 문화를 조성하는 것은 중요한 문화적 변화입니다. 예를 들어, OT 엔지니어가 사이버 보안 위험 완화를 정기 유지보수로 받아들이게 하려면 사고의 전환이 필요합니다. CISO가 엔터프라이즈 위험 관리를 수용하고 OT 점점 더 그들의 권한 아래에 들어오면서 이러한 변화는 반드시 일어나야 합니다.
처음에는 회의적이었지만 OT 운영자는 지속적인 자산 및 네트워크 모니터링을 통해 많은 이점을 얻을 수 있습니다. 모니터링하는 자산과 프로세스에 대한 풍부한 정보를 수집하여 기준선에서의 이상 징후와 사이버 보안 위협 등 중요한 변화를 감지하는 데 유용합니다. 또한, 지속적인 모니터링이 시작되면 일반적으로 운영자가 존재하지도 않았던 오랜 문제를 발견할 수 있습니다.
Nozomi Networks 플랫폼이 설치되는 즉시 네트워크 센서가 ICS 네트워크 트래픽을 분석하기 시작하고 대화형 시각화를 구축합니다. 운영자와 사이버 보안 담당자는 산업용 네트워크 노드가 시각화된 것을 처음으로 보게 됩니다. 이들은 이전에는 인식하지 못했던 환경의 측면을 빠르게 인식하고 쉽게 드릴다운하여 더 많은 정보를 찾을 수 있습니다.
운영자는 구성 변경 및 이상 징후뿐만 아니라 디바이스에 누가 로그인했는지, 어떤 다른 디바이스와 통신하고 있는지, 어떤 프로토콜을 사용하고 있는지도 확인할 수 있습니다. 두 가지 큰 장점은 낮은 퍼듀 수준에서 동서 트래픽과 무단 USB 연결에 대한 가시성을 확보할 수 있다는 점입니다.
통합된 OT 보안 운영 센터(SOC)는 두 문화가 실제로 만나는 곳입니다. 중앙 CISO의 감독, OT 융합, 응답 시간 개선, 비용 절감과 같은 명백한 이유로 인기를 얻고 있습니다. 하지만 통합된 SOC보다는 기존 IT SOC 팀이 새로운 고객인 OT 사업부에 서비스를 제공하는 경우가 더 많습니다. 이런 경우 서비스 제공업체가 고객을 제대로 이해하지 못하는 교과서적인 사례가 종종 발생합니다. 중요한 지식 이전이 이루어져야 하지만 그렇지 않은 경우가 많습니다.
OT IT를 비교하는 간단한 방법은 다음과 같습니다: IT는 데이터 무결성, 기밀성, 가용성을 중요하게 생각합니다. OT 프로세스 가동 시간, 안전 및 신뢰성을 중시합니다.
IT는 조직 내 어디에나 존재하며 거의 모든 직원이 모든 비용 센터에서 사용합니다. 따라서 IT 보안은 무단 액세스 또는 수정으로부터 데이터를 보호하는 데 중점을 두며, 역할 기반 액세스와 안전한 사이버 보안 관행의 가장 약한 고리인 사용자 교육에 중점을 둡니다.
OT 자산과 네트워크는 일반적으로 조직의 수익을 창출하거나 필수 공공 서비스를 제공하는 핵심 자산을 자율적으로 관리하고 제어하며, OT 장애가 발생하거나 공격을 받으면 특히 중요 인프라의 경우 IT보다 더 큰 위험에 처하게 됩니다. 따라서 OT 보안에는 물리적 프로세스의 안전하고 안정적인 운영을 보장하는 것이 포함됩니다.
OT 및 IoT 디바이스는 그 양이 방대하고 다양하기 때문에 IT 디바이스보다 관리하기가 더 어렵습니다. 게다가 OT 네트워크의 모든 구성 요소는 매우 분산된 환경에서 더 큰 프로세스의 일부입니다. 기계에 문제가 발생하면 즉시 기계가 무엇에 의존하고 있고 무엇이 의존하고 있는지 파악해야 합니다.
역사적으로 OT 네트워크는 인터넷이나 엔터프라이즈 IT 네트워크에 연결되지 않은 '에어 갭' 상태였기 때문에 사이버 위협이 우려되지 않았습니다. 그런 시대는 이미 오래 전에 지나갔지만, 여전히 OT 환경의 사이버 보안은 뒷전으로 밀려나는 경우가 많습니다. 산업 디지털화 덕분에 오늘날의 생산 환경에는 효율성을 향상시키는 수백 개의 상호 연결된 디지털 시스템이 포함되어 있지만 새로운 위험도 존재합니다. 많은 OT 디바이스는 관리되지 않으며 IT 컴퓨터나 서버처럼 패치를 적용할 수 없습니다. 패치가 가능한 경우에도 자동화할 수 없습니다. 일부 예외를 제외하고 위협 탐지는 OT 환경을 위해 특별히 설계된 심층 패킷 검사 및 행동 기반 이상 징후 탐지 기술에 의존합니다.
랜섬웨어 공격이 헤드라인을 장식하지만, 일상적인 네트워크 또는 프로세스 구성 오류, 운영 오류, 리소스 사용량 급증 및 기타 이상 징후가 외부 공격보다 OT 환경을 위협할 가능성이 훨씬 더 높습니다. 이상 징후란 기준 성능에서 벗어나는 모든 것을 말합니다. 불안정한 프로세스 값, 잘못된 프로세스 측정, 오작동을 유발할 수 있는 잘못된 구성 등이 이에 해당할 수 있습니다.
OT 자산과 프로세스를 통해 이동하는 데이터(예: 프로세스 값)는 순간적으로만 관련성이 있으며, 이러한 데이터 포인트는 분당 수백만 개에 달할 수 있습니다. 따라서 OT 사이버 보안은 데이터 유출보다는 데이터가 승인된 디바이스 간에만 이동하고 매 순간 최신 상태로 유지되도록 하는 데 중점을 둡니다.
대부분의 IT는 수명이 짧고 노후화가 진행됩니다. 소프트웨어는 몇 년마다 일몰되거나 대대적인 업그레이드가 이루어지며 하드웨어는 자주 교체해야 합니다. OT 일반적으로 수명이 길며 경우에 따라 최대 수십 년에 이릅니다. PLC와 같은 장치는 열악한 프로덕션 환경을 위해 특별히 설계된 경우가 많으며 오래 사용할 수 있도록 제작됩니다. 많은 OT 디바이스는 여전히 '설계상 안전하지 않은' 레거시 기술에 의존하고 있으며, 취약점이 잘 문서화되어 있지만 패치되지 않은 채로 남아 있는 경우가 너무 많습니다. 또한 공장 승인 및 현장 승인 테스트를 거치는 데 수년이 걸릴 수 있으므로 작은 조정은 권장되지 않습니다.
일부 OT 시스템과 그 구성 요소는 수년 동안 지속적으로 운영되며 정기적인 유지보수 기간이 짧습니다. 산업 환경에서는 다운타임이 심각한 장애로 이어질 수 있으므로 지속적인 운영은 안전과 신뢰성을 보장하는 데 도움이 됩니다. 패치(사용 가능한 경우) 및 기타 업데이트는 빈번하지 않으므로 유지보수 기간이 짧은 기간 동안 예약해야 합니다.
IT 부서는 표준 운영 체제를 사용하고 표준 프로토콜을 사용하여 통신합니다. 많은 OT 디바이스에는 해당 용도에 맞는 전용 운영 체제가 있습니다. 이러한 프로토콜은 속도와 유연성보다 안정성, 결정적 응답 시간 및 복원력을 우선시하여 물리적 프로세스 및 디바이스의 실시간 모니터링 및 제어를 위해 맞춤화되어 있습니다. 이러한 프로토콜은 산업별로 다르며 본질적으로 안전하지 않은 수백 개의 프로토콜을 사용하여 통신을 수행합니다. 의심스럽거나 비정상적인 동작을 식별하기 위해 심층 패킷 검사 (DPI)를 사용하여 신중하게 분석해야 하는 모드버스나 프로피버스 같은 독점 프로토콜, IT 침입 탐지 시스템(IDS)과 엔드포인트 탐지 및 대응 시스템(EDR)은 산업용 프로토콜을 이해하지 못하므로 OT 위협을 탐지할 수 없습니다. 기껏해야 비효율적이고 최악의 경우 너무 많은 리소스를 소비하거나 무언가를 망가뜨릴 수 있습니다.
제조업체는 생산 모니터링과 장비 문제 해결을 위해 매일 수십 명의 외부 기술자가 원격으로 로그인하여 자체 원격 액세스 도구를 사용하는 경우가 많습니다. 취약한 자격 증명과 기본 비밀번호를 느슨하게 사용하면 기업은 원격 코드 실행을 통한 공격에 노출됩니다.
특히무인 장비의 경우 기본 비밀번호가 변경되지 않아 악의적인 공격자가 쉽게 해킹할 수 있으며, 멀티팩터 인증(MFA)은 현실적으로 불가능합니다. 대신 지속적인 모니터링을 통해 디바이스를 인증하고 디바이스 간 통신의 무결성을 보장합니다.↪CF_200D↩
세그먼테이션은 통신을 제한하고 드물게 복구할 수 있는 디바이스를 보호하기 위한 필수적인 보완 제어입니다. 산업 환경에서는 산업 핵심 요소를 격리하고 IT 네트워크의 사이버 사고가 OT 네트워크로 측면 이동하는 것을 방지하기 위해 세그먼트 간 트래픽을 제어하고 모니터링하는 보안 영역과 도관을 사용합니다.
사이버 보안 위험을 이해하고, 보안 모범 사례를 도입하며, 산업 환경에서 인식의 문화를 조성하는 것은 중요한 문화적 변화입니다. 예를 들어, OT 엔지니어가 사이버 보안 위험 완화를 정기 유지보수로 받아들이게 하려면 사고의 전환이 필요합니다. CISO가 엔터프라이즈 위험 관리를 수용하고 OT 점점 더 그들의 권한 아래에 들어오면서 이러한 변화는 반드시 일어나야 합니다.
처음에는 회의적이었지만 OT 운영자는 지속적인 자산 및 네트워크 모니터링을 통해 많은 이점을 얻을 수 있습니다. 모니터링하는 자산과 프로세스에 대한 풍부한 정보를 수집하여 기준선에서의 이상 징후와 사이버 보안 위협 등 중요한 변화를 감지하는 데 유용합니다. 또한, 지속적인 모니터링이 시작되면 일반적으로 운영자가 존재하지도 않았던 오랜 문제를 발견할 수 있습니다.
Nozomi Networks 플랫폼이 설치되는 즉시 네트워크 센서가 ICS 네트워크 트래픽을 분석하기 시작하고 대화형 시각화를 구축합니다. 운영자와 사이버 보안 담당자는 산업용 네트워크 노드가 시각화된 것을 처음으로 보게 됩니다. 이들은 이전에는 인식하지 못했던 환경의 측면을 빠르게 인식하고 쉽게 드릴다운하여 더 많은 정보를 찾을 수 있습니다.
운영자는 구성 변경 및 이상 징후뿐만 아니라 디바이스에 누가 로그인했는지, 어떤 다른 디바이스와 통신하고 있는지, 어떤 프로토콜을 사용하고 있는지도 확인할 수 있습니다. 두 가지 큰 장점은 낮은 퍼듀 수준에서 동서 트래픽과 무단 USB 연결에 대한 가시성을 확보할 수 있다는 점입니다.
통합된 OT 보안 운영 센터(SOC)는 두 문화가 실제로 만나는 곳입니다. 중앙 CISO의 감독, OT 융합, 응답 시간 개선, 비용 절감과 같은 명백한 이유로 인기를 얻고 있습니다. 하지만 통합된 SOC보다는 기존 IT SOC 팀이 새로운 고객인 OT 사업부에 서비스를 제공하는 경우가 더 많습니다. 이런 경우 서비스 제공업체가 고객을 제대로 이해하지 못하는 교과서적인 사례가 종종 발생합니다. 중요한 지식 이전이 이루어져야 하지만 그렇지 않은 경우가 많습니다.
