산업 환경에서는 사이버 위험과 프로세스 위험을 포함한 운영 위험을 모두 고려해야 한다는 점이 IT 보안과 OT 보안의 가장 큰 차이점일 것입니다. 실제로 사이버 위협과 무관한 운영상의 이상 징후가 훨씬 더 흔합니다.
산업 환경, 특히 중요 인프라에서는 대규모 사이버 공격이 헤드라인을 장식하지만 장비 오작동, 잘못된 구성, 리소스 사용량 급증, 위험한 프로세스 편차 등이 생산에 위협이 되거나 더 큰 문제를 일으킬 가능성이 훨씬 더 높습니다. 예를 들어, 화학 공장에서 압력 센서가 안전 작동 임계값을 벗어난 값을 감지하면 경보가 트리거되어 폭발을 방지하기 위해 즉각적인 가동 중단을 유도할 수 있습니다. 조사하기 전까지는 악의적인 공격자가 값을 조작했거나 작업자의 실수일 수 있습니다. 어느 경우든 위협은 실제 존재합니다. 운영자와 관리자는 침입, 원치 않는 행동, 장비 고장 등 위협과 이상 징후를 모두 감지하고 신속하게 대응할 수 있어야 합니다.
일반적으로 이상 징후는 기준 성능이나 외형에서 벗어나는 모든 것을 말합니다. 제조 및 기타 산업 환경에서는 불안정한 프로세스 값, 잘못된 프로세스 측정, 오작동 또는 다운타임으로 이어질 수 있는 잘못된 구성 등이 이상 징후일 수 있습니다. 이러한 이유로 제약 공장에서는 일반적으로 제어 시스템과 현장 장치 간의 통신을 모니터링하여 생산 또는 안전 프로토콜을 방해할 수 있는 비정상적인 판독값이나 명령을 감지하고 배치 품질을 보장합니다. 이러한 프로세스 이상은 사이버 위협을 나타낼 수도 있습니다.
보안, 안정성, 고가용성을 보장하기 위해 산업 환경에서는 규칙 기반 위협 탐지와 행동 기반 이상 징후 탐지를 결합한 포괄적인 위험 모니터링이 필요합니다.
규칙 기반 탐지는 지표를 쉽게 관찰하고 식별할 수 있는 위협을 탐지하는 데 효율적입니다. 이 방법은 리소스 사용량 급증이나 예기치 않은 트래픽 급증과 같은 악의적이지 않은 알려진 이상 징후를 탐지하는 데에도 사용할 수 있습니다.
규칙 기반 탐지의 하위 집합인 시그니처 기반 탐지는 네트워크 트래픽에서 악의적인 활동이나 무단 액세스를 탐지하는 빠르고 효율적인 방법입니다. 사전 정의된 규칙 또는 조건을 사용하여 네트워크 트래픽에서 고유하고 알려진 공격 패턴(시그니처)을 식별하고 이를 알려진 위협 데이터베이스와 일치시킵니다. 각 시그니처에는 파일 이름, 해시태그, URL 및 IP 주소와 같은 침해 지표(IOC)가 포함됩니다. 시그니처 기반 탐지는 효율적이지만 문서화된 CVE와 같이 알려진 위협에 대해서만 작동하며, 지표가 쉽게 관찰 가능하고 잠재적으로 일치하는 것으로 식별할 수 있는 경우에만 작동합니다.
시그니처 기반 탐지 방법은 알려진 멀웨어를 식별하기 위해 YARA 규칙과 패킷 규칙을 사용하여 각각 파일 및 패킷 시그니처를 일치시키고, 일치하는 것이 감지되면 경고를 발령합니다.
제로 데이를 비롯한 알려지지 않은 위협뿐만 아니라 운영상의 이상 징후는 규칙으로는 탐지할 수 없습니다. 이를 탐지하는 가장 좋은 방법은 네트워크 트래픽에서 산업용 프로토콜을 읽고 현재 동작을 기준선과 비교하는 심층 패킷 검사 (DPI)를 사용하여 지속적으로 모니터링하는 것입니다.
ICS 네트워크는 디바이스가 지속적으로 추가 및 제거되는 엔터프라이즈 네트워크에 비해 상대적으로 정적이기 때문에 정확한 기준선을 설정하고 이를 벗어난 편차를 인식하는 것이 훨씬 쉽습니다. 하지만 네트워크 트래픽에서 수집된 프로세스 변수의 정상적인 동작을 학습하는 정교한 머신 러닝 없이는 불가능합니다. 기준선이 설정되면 행동 기반 이상 징후 탐지 기능을 사용하여 설정된 임계값을 벗어난 트래픽 패턴과 비정상적인 센서 판독값 및 흐름 매개변수에 플래그를 지정할 수 있습니다.
Nozomi Networks 플랫폼은 IoT 환경에 가장 정교한 탐지 엔진을 갖추고 있습니다. 규칙 기반 및 행동 기반 기술을 결합하여 리소스 급증부터 제로 데이, 시그니처 기반 접근 방식을 우회하는 생활형 기법에 이르기까지 환경 내 모든 위협의 영향을 탐지하고 제한하며, 오탐으로 분석가와 운영자에게 부담을 주지 않습니다.
알려진 위협을 탐지하기 위해 Nozomi Threat Intelligence 피드는 집계된 위협 연구 및 분석은 물론 YARA 규칙, 패킷 규칙, STIX 지표, 위협 정의, 위협 지식 기반 및 취약성 시그니처를 포함한 위협 지표에 대한 자세한 정보를 제공합니다. 저희의 센서와 플랫폼은 산업 프로세스 및 IoT 디바이스에 특화된 최신 멀웨어와 IOC로 지속적으로 업데이트됩니다. 여기에는 자체 IoT OT 연구뿐만 아니라 CISA의 알려진 익스플로잇 취약점 카탈로그, ICS 매핑용 MITRE ATT&CK® 매트릭스 및 Mandiant threat intelligence 통합이 포함됩니다.
Nozomi Networks 플랫폼은 이상 징후를 감지하기 위해 머신 러닝을 사용하여 산업 네트워크의 통신 패턴을 학습하고 정상 동작의 기준선을 설정합니다. 그런 다음 환경을 지속적으로 모니터링하여 사이버 위협의 존재 또는 신뢰성에 대한 위험을 나타낼 수 있는 통신 또는 프로세스 변수 값의 변화를 식별합니다.
특히, 저희 센서는 DPI를 사용하여 250개 이상의 산업용 프로토콜을 파싱하고 강력한 동작 분석에 필요한 세분화된 데이터를 제공합니다. 이 방법을 사용하면 산업용 컨트롤러, 워크스테이션, 서버를 포함한 디바이스의 제조사, 모델, 일련 번호, 펌웨어/OS 버전 등 상세한 자산 정보를 추출할 수 있습니다. 센서가 감지할 수 있는 것
산업 환경에서는 사이버 위험과 프로세스 위험을 포함한 운영 위험을 모두 고려해야 한다는 점이 IT 보안과 OT 보안의 가장 큰 차이점일 것입니다. 실제로 사이버 위협과 무관한 운영상의 이상 징후가 훨씬 더 흔합니다.
산업 환경, 특히 중요 인프라에서는 대규모 사이버 공격이 헤드라인을 장식하지만 장비 오작동, 잘못된 구성, 리소스 사용량 급증, 위험한 프로세스 편차 등이 생산에 위협이 되거나 더 큰 문제를 일으킬 가능성이 훨씬 더 높습니다. 예를 들어, 화학 공장에서 압력 센서가 안전 작동 임계값을 벗어난 값을 감지하면 경보가 트리거되어 폭발을 방지하기 위해 즉각적인 가동 중단을 유도할 수 있습니다. 조사하기 전까지는 악의적인 공격자가 값을 조작했거나 작업자의 실수일 수 있습니다. 어느 경우든 위협은 실제 존재합니다. 운영자와 관리자는 침입, 원치 않는 행동, 장비 고장 등 위협과 이상 징후를 모두 감지하고 신속하게 대응할 수 있어야 합니다.
일반적으로 이상 징후는 기준 성능이나 외형에서 벗어나는 모든 것을 말합니다. 제조 및 기타 산업 환경에서는 불안정한 프로세스 값, 잘못된 프로세스 측정, 오작동 또는 다운타임으로 이어질 수 있는 잘못된 구성 등이 이상 징후일 수 있습니다. 이러한 이유로 제약 공장에서는 일반적으로 제어 시스템과 현장 장치 간의 통신을 모니터링하여 생산 또는 안전 프로토콜을 방해할 수 있는 비정상적인 판독값이나 명령을 감지하고 배치 품질을 보장합니다. 이러한 프로세스 이상은 사이버 위협을 나타낼 수도 있습니다.
보안, 안정성, 고가용성을 보장하기 위해 산업 환경에서는 규칙 기반 위협 탐지와 행동 기반 이상 징후 탐지를 결합한 포괄적인 위험 모니터링이 필요합니다.
규칙 기반 탐지는 지표를 쉽게 관찰하고 식별할 수 있는 위협을 탐지하는 데 효율적입니다. 이 방법은 리소스 사용량 급증이나 예기치 않은 트래픽 급증과 같은 악의적이지 않은 알려진 이상 징후를 탐지하는 데에도 사용할 수 있습니다.
규칙 기반 탐지의 하위 집합인 시그니처 기반 탐지는 네트워크 트래픽에서 악의적인 활동이나 무단 액세스를 탐지하는 빠르고 효율적인 방법입니다. 사전 정의된 규칙 또는 조건을 사용하여 네트워크 트래픽에서 고유하고 알려진 공격 패턴(시그니처)을 식별하고 이를 알려진 위협 데이터베이스와 일치시킵니다. 각 시그니처에는 파일 이름, 해시태그, URL 및 IP 주소와 같은 침해 지표(IOC)가 포함됩니다. 시그니처 기반 탐지는 효율적이지만 문서화된 CVE와 같이 알려진 위협에 대해서만 작동하며, 지표가 쉽게 관찰 가능하고 잠재적으로 일치하는 것으로 식별할 수 있는 경우에만 작동합니다.
시그니처 기반 탐지 방법은 알려진 멀웨어를 식별하기 위해 YARA 규칙과 패킷 규칙을 사용하여 각각 파일 및 패킷 시그니처를 일치시키고, 일치하는 것이 감지되면 경고를 발령합니다.
제로 데이를 비롯한 알려지지 않은 위협뿐만 아니라 운영상의 이상 징후는 규칙으로는 탐지할 수 없습니다. 이를 탐지하는 가장 좋은 방법은 네트워크 트래픽에서 산업용 프로토콜을 읽고 현재 동작을 기준선과 비교하는 심층 패킷 검사 (DPI)를 사용하여 지속적으로 모니터링하는 것입니다.
ICS 네트워크는 디바이스가 지속적으로 추가 및 제거되는 엔터프라이즈 네트워크에 비해 상대적으로 정적이기 때문에 정확한 기준선을 설정하고 이를 벗어난 편차를 인식하는 것이 훨씬 쉽습니다. 하지만 네트워크 트래픽에서 수집된 프로세스 변수의 정상적인 동작을 학습하는 정교한 머신 러닝 없이는 불가능합니다. 기준선이 설정되면 행동 기반 이상 징후 탐지 기능을 사용하여 설정된 임계값을 벗어난 트래픽 패턴과 비정상적인 센서 판독값 및 흐름 매개변수에 플래그를 지정할 수 있습니다.
Nozomi Networks 플랫폼은 IoT 환경에 가장 정교한 탐지 엔진을 갖추고 있습니다. 규칙 기반 및 행동 기반 기술을 결합하여 리소스 급증부터 제로 데이, 시그니처 기반 접근 방식을 우회하는 생활형 기법에 이르기까지 환경 내 모든 위협의 영향을 탐지하고 제한하며, 오탐으로 분석가와 운영자에게 부담을 주지 않습니다.
알려진 위협을 탐지하기 위해 Nozomi Threat Intelligence 피드는 집계된 위협 연구 및 분석은 물론 YARA 규칙, 패킷 규칙, STIX 지표, 위협 정의, 위협 지식 기반 및 취약성 시그니처를 포함한 위협 지표에 대한 자세한 정보를 제공합니다. 저희의 센서와 플랫폼은 산업 프로세스 및 IoT 디바이스에 특화된 최신 멀웨어와 IOC로 지속적으로 업데이트됩니다. 여기에는 자체 IoT OT 연구뿐만 아니라 CISA의 알려진 익스플로잇 취약점 카탈로그, ICS 매핑용 MITRE ATT&CK® 매트릭스 및 Mandiant threat intelligence 통합이 포함됩니다.
Nozomi Networks 플랫폼은 이상 징후를 감지하기 위해 머신 러닝을 사용하여 산업 네트워크의 통신 패턴을 학습하고 정상 동작의 기준선을 설정합니다. 그런 다음 환경을 지속적으로 모니터링하여 사이버 위협의 존재 또는 신뢰성에 대한 위험을 나타낼 수 있는 통신 또는 프로세스 변수 값의 변화를 식별합니다.
특히, 저희 센서는 DPI를 사용하여 250개 이상의 산업용 프로토콜을 파싱하고 강력한 동작 분석에 필요한 세분화된 데이터를 제공합니다. 이 방법을 사용하면 산업용 컨트롤러, 워크스테이션, 서버를 포함한 디바이스의 제조사, 모델, 일련 번호, 펌웨어/OS 버전 등 상세한 자산 정보를 추출할 수 있습니다. 센서가 감지할 수 있는 것