사이버 보안 FAQ

산업 환경에서 패시브 모니터링과 액티브 모니터링을 사용하는 이유는 무엇인가요?

사이버 보안 FAQ

산업 환경에서 패시브 모니터링과 액티브 모니터링을 사용하는 이유는 무엇인가요?

수동 네트워크 모니터링은 산업 환경의 자산 인벤토리와 위협 및 이상 징후 탐지의 표준으로, 그 민감한 특성과 중요성 때문에 일반적으로 사용됩니다. 능동적 스캔이 잠재적으로 악용될 수 있는 안전하지 않은 독점 프로토콜을 사용하는 레거시 시스템에 대한 의존도가 높기 때문에 문제는 더욱 복잡해집니다. OT 시스템은 안전, 보안 및 필수 서비스 제공에 영향을 미칠 수 있는 프로세스를 제어하는 중요한 인프라로 구성되는 경우가 많습니다. 패시브 모니터링은 간섭 없이 가시성을 확보할 수 있는 반면, IT 환경에서 흔히 사용되는 액티브 스캐닝 및 프로빙 기술은 운영 중단이나 안전 위험을 초래할 수 있습니다.

패시브 네트워크 모니터링 작동 방식

패시브 산업용 네트워크 모니터링 도구는 스위치 또는 라우터의 SPAN 또는 미러 포트에 연결하여 네트워크 통신을 관찰하는 방식으로 작동합니다. 수동 네트워크 모니터링 도구는 Nozomi Guardian 보안 센서는 로컬 네트워크 트래픽을 수동적으로 관찰하여 디바이스를 식별하기 위한 에이전트나 심문을 사용하지 않고도 포괄적인 OT 및 IoT 자산 가시성 및 모니터링을 제공합니다. 활동을 지속적으로 모니터링하여 네트워크에서 통신하는 새로운 자산을 발견하고, 문제 해결 및 연구를 위한 네트워크 시각화를 제공하며, 중요한 취약성을 식별하고, 사이버 보안 위협 및 운영 문제를 탐지합니다.

특히 Guardian 센서는 패시브 딥 패킷 검사를 사용하여 구성 요소, 연결 및 토폴로지를 포함한 산업 네트워크를 실시간으로 자동으로 검색합니다. 그런 다음 고급 학습 기능을 통해 각 ICS에 맞는 프로필을 구축하고 행동 분석을 사용하여 비정상적이고 의심스러운 악의적인 활동을 모니터링합니다. 그 결과 사이버 공격과 중요한 프로세스 이상을 신속하게 탐지할 수 있습니다.

원격 수집기

원격 수집기는 접근하기 어려운 무인 위치를 커버하도록 설계된 수동 모니터링의 또 다른 형태입니다. 네트워크 센서와 함께 작동하는 이 소형 저자원 센서는 네트워크 센서가 비용 효율적이거나 실용적이지 않은 야생, 해양 및 기타 원격 및 분산 위치(예: 대규모 캠퍼스 내의 변전소 또는 소규모 플랜트)에서 데이터를 캡처하는 데 사용됩니다. Nozomi 네트웍스 원격 수집기는 이 트래픽을 캡처, 중복 제거, 압축 및 암호화한 후 연결된 Guardian 센서로 전송하여 처리합니다. 

무선 센서

무선 센서는 무선 기술이 보편화된 산업 환경에서 활용해야 하는 수동적 모니터링의 또 다른 형태입니다. 브루트포스 공격, 스푸핑, 블루재킹과 같은 무선 전용 위협을 탐지하기는 어렵고, 공격을 수행하는 디바이스의 위치를 파악하는 것은 더욱 어렵습니다.

공정 제어 네트워크는 WiFi 및 Bluetooth 외에도 저전력으로 센서와 컨트롤러 간의 안정적인 통신을 촉진하도록 설계된 특수 무선 프로토콜을 사용합니다. 이러한 프로토콜은 시스템 작동과 감시를 가능하게 하는 데이터를 수집, 연결 및 전송하는 데 중요한 역할을 합니다. 예를 들어, IEEE 802.15.4 표준은 스마트 빌딩에서 HVAC 및 조명 시스템의 실시간 모니터링을 위해, 농업에서는 무선 관개 시스템 제어를 통해 작물 수확량을 최적화하기 위해 사용됩니다.

The Guardian Air 센서는 OT 및 IoT 환경을 위해 특별히 설계된 업계 최초의 무선 보안 센서로, 지금까지는 유선 네트워크에 연결된 경우에만 감지할 수 있었던 온도 조절기부터 로봇, 드론에 이르기까지 모든 무선 자산에 대한 가시성을 제공합니다. 800MHz ~ 5895MHz에서 작동하는 무선 스펙트럼 기술(WiFi, Bluetooth, IEEE802.15.4, LoRaWAN, Zwave, 셀룰러 및 드론)을 지속적으로 모니터링하고 삼각 측량을 통해 위협을 감지하고 위치를 파악하여 더 빠르게 대응할 수 있도록 합니다.

산업 환경을 위한 능동적 모니터링 기술

네트워크 센서는 사이버 업무의 핵심입니다. 그러나 네트워크 센서를 추가하는 것이 불가능하거나 환경을 이해하고 문제를 해결하기 위해 추가적인 세부 정보가 필요한 시나리오는 언제나 수십 가지가 있습니다. 오늘날의 산업 환경은 수동 네트워크, 원격 수집 및 무선 모니터링과 능동 폴링 및 엔드포인트 보안 기술의 조합에 안전하게 의존할 수 있으며, Nozomi Networks 플랫폼은 이러한 모든 방법을 제공하여 적극적으로 통신하지 않을 때에도 모든 자산과 그 위험 수준에 대한 지속적인 가시성을 제공할 수 있습니다.

활성 쿼리

액티브 쿼리는 에이전트가 필요 없는 비침습적 기술로, 임베디드 IoT 디바이스를 포함하여 관심 있는 특정 자산에 대한 수동 센서에서 얻을 수 없는 자세한 정보를 수집하는 데 사용할 수 있습니다. 다음과 같이 참조 Smart PollingNozomi 하는 이 기술은 프로토콜에 대한 지식을 기반으로 디바이스를 조사하고, 특수 메시지와 지침을 활용하여 디바이스 안정성에 영향을 주지 않으면서 유용한 정보를 반환합니다.

Smart Polling 다음과 같은 용도로 사용할 수 있습니다:

  • 소속되지 않은 악성 디바이스를 포함한 비통신 자산 식별
  • 취약점이 악용되기 전에 취약점 찾기
  • 프로세스 흐름 및 변수의 변경 사항에 대한 세부 정보 수집
  • 환경의 전반적인 위험에 대한 이해도 향상 

OT 엔드포인트 보안 에이전트

IT 보안에서 엔드포인트 에이전트는 안티바이러스 보호 및 패치를 위해 어디에나 존재합니다. 안타깝게도 OT 디바이스에 IT 중심 에이전트를 배포하는 부정적인 경험으로 인해 꼭 필요한 엔드포인트 모니터링이 거의 채택되지 않고 있습니다. 기존의 ICS 네트워크 모니터링 솔루션은 퍼듀 레벨 또는 방화벽 사이의 남북 트래픽을 모니터링하지만, 특히 낮은 퍼듀 레벨에서 한 구역 내 디바이스 간의 동서 통신은 오랫동안 사각지대에 놓여 있었습니다. 또한 엔드포인트 모니터링은 사용자 활동과 이벤트 발생 시 상호 연관성을 파악할 수 있는 유일한 방법입니다.

OT 자격 증명 도용 및 기타 악의적인 행동을 수반하는 악의적인 공격이 분명 발생하지만, 많은 위협은 원격으로 드나드는 직원이나 공인된 써드파티 기술자의 부주의한 실수와 관련이 있습니다. 엔드포인트 보안이 없으면 네트워크에서 명령이 실행될 때까지 누가 언제 접속하여 무엇을 하는지 알 수 있는 방법이 없습니다. 그러면 너무 늦습니다. 

2023년 출시, Nozomi Arc 는 OT 엔드포인트의 고유한 고가용성 요구 사항을 보호하기 위해 특별히 설계된 안전하고 무중단 보안 에이전트입니다. 예를 들어, 호스트 운영 체제의 커널 수준에서 작동하지 않고 시스템을 재부팅하지 않으며 시스템 리소스를 매우 적게 사용합니다.

수동 네트워크 모니터링은 산업 환경의 자산 인벤토리와 위협 및 이상 징후 탐지의 표준으로, 그 민감한 특성과 중요성 때문에 일반적으로 사용됩니다. 능동적 스캔이 잠재적으로 악용될 수 있는 안전하지 않은 독점 프로토콜을 사용하는 레거시 시스템에 대한 의존도가 높기 때문에 문제는 더욱 복잡해집니다. OT 시스템은 안전, 보안 및 필수 서비스 제공에 영향을 미칠 수 있는 프로세스를 제어하는 중요한 인프라로 구성되는 경우가 많습니다. 패시브 모니터링은 간섭 없이 가시성을 확보할 수 있는 반면, IT 환경에서 흔히 사용되는 액티브 스캐닝 및 프로빙 기술은 운영 중단이나 안전 위험을 초래할 수 있습니다.

패시브 네트워크 모니터링 작동 방식

패시브 산업용 네트워크 모니터링 도구는 스위치 또는 라우터의 SPAN 또는 미러 포트에 연결하여 네트워크 통신을 관찰하는 방식으로 작동합니다. 수동 네트워크 모니터링 도구는 Nozomi Guardian 보안 센서는 로컬 네트워크 트래픽을 수동적으로 관찰하여 디바이스를 식별하기 위한 에이전트나 심문을 사용하지 않고도 포괄적인 OT 및 IoT 자산 가시성 및 모니터링을 제공합니다. 활동을 지속적으로 모니터링하여 네트워크에서 통신하는 새로운 자산을 발견하고, 문제 해결 및 연구를 위한 네트워크 시각화를 제공하며, 중요한 취약성을 식별하고, 사이버 보안 위협 및 운영 문제를 탐지합니다.

특히 Guardian 센서는 패시브 딥 패킷 검사를 사용하여 구성 요소, 연결 및 토폴로지를 포함한 산업 네트워크를 실시간으로 자동으로 검색합니다. 그런 다음 고급 학습 기능을 통해 각 ICS에 맞는 프로필을 구축하고 행동 분석을 사용하여 비정상적이고 의심스러운 악의적인 활동을 모니터링합니다. 그 결과 사이버 공격과 중요한 프로세스 이상을 신속하게 탐지할 수 있습니다.

원격 수집기

원격 수집기는 접근하기 어려운 무인 위치를 커버하도록 설계된 수동 모니터링의 또 다른 형태입니다. 네트워크 센서와 함께 작동하는 이 소형 저자원 센서는 네트워크 센서가 비용 효율적이거나 실용적이지 않은 야생, 해양 및 기타 원격 및 분산 위치(예: 대규모 캠퍼스 내의 변전소 또는 소규모 플랜트)에서 데이터를 캡처하는 데 사용됩니다. Nozomi 네트웍스 원격 수집기는 이 트래픽을 캡처, 중복 제거, 압축 및 암호화한 후 연결된 Guardian 센서로 전송하여 처리합니다. 

무선 센서

무선 센서는 무선 기술이 보편화된 산업 환경에서 활용해야 하는 수동적 모니터링의 또 다른 형태입니다. 브루트포스 공격, 스푸핑, 블루재킹과 같은 무선 전용 위협을 탐지하기는 어렵고, 공격을 수행하는 디바이스의 위치를 파악하는 것은 더욱 어렵습니다.

공정 제어 네트워크는 WiFi 및 Bluetooth 외에도 저전력으로 센서와 컨트롤러 간의 안정적인 통신을 촉진하도록 설계된 특수 무선 프로토콜을 사용합니다. 이러한 프로토콜은 시스템 작동과 감시를 가능하게 하는 데이터를 수집, 연결 및 전송하는 데 중요한 역할을 합니다. 예를 들어, IEEE 802.15.4 표준은 스마트 빌딩에서 HVAC 및 조명 시스템의 실시간 모니터링을 위해, 농업에서는 무선 관개 시스템 제어를 통해 작물 수확량을 최적화하기 위해 사용됩니다.

The Guardian Air 센서는 OT 및 IoT 환경을 위해 특별히 설계된 업계 최초의 무선 보안 센서로, 지금까지는 유선 네트워크에 연결된 경우에만 감지할 수 있었던 온도 조절기부터 로봇, 드론에 이르기까지 모든 무선 자산에 대한 가시성을 제공합니다. 800MHz ~ 5895MHz에서 작동하는 무선 스펙트럼 기술(WiFi, Bluetooth, IEEE802.15.4, LoRaWAN, Zwave, 셀룰러 및 드론)을 지속적으로 모니터링하고 삼각 측량을 통해 위협을 감지하고 위치를 파악하여 더 빠르게 대응할 수 있도록 합니다.

산업 환경을 위한 능동적 모니터링 기술

네트워크 센서는 사이버 업무의 핵심입니다. 그러나 네트워크 센서를 추가하는 것이 불가능하거나 환경을 이해하고 문제를 해결하기 위해 추가적인 세부 정보가 필요한 시나리오는 언제나 수십 가지가 있습니다. 오늘날의 산업 환경은 수동 네트워크, 원격 수집 및 무선 모니터링과 능동 폴링 및 엔드포인트 보안 기술의 조합에 안전하게 의존할 수 있으며, Nozomi Networks 플랫폼은 이러한 모든 방법을 제공하여 적극적으로 통신하지 않을 때에도 모든 자산과 그 위험 수준에 대한 지속적인 가시성을 제공할 수 있습니다.

활성 쿼리

액티브 쿼리는 에이전트가 필요 없는 비침습적 기술로, 임베디드 IoT 디바이스를 포함하여 관심 있는 특정 자산에 대한 수동 센서에서 얻을 수 없는 자세한 정보를 수집하는 데 사용할 수 있습니다. 다음과 같이 참조 Smart PollingNozomi 하는 이 기술은 프로토콜에 대한 지식을 기반으로 디바이스를 조사하고, 특수 메시지와 지침을 활용하여 디바이스 안정성에 영향을 주지 않으면서 유용한 정보를 반환합니다.

Smart Polling 다음과 같은 용도로 사용할 수 있습니다:

  • 소속되지 않은 악성 디바이스를 포함한 비통신 자산 식별
  • 취약점이 악용되기 전에 취약점 찾기
  • 프로세스 흐름 및 변수의 변경 사항에 대한 세부 정보 수집
  • 환경의 전반적인 위험에 대한 이해도 향상 

OT 엔드포인트 보안 에이전트

IT 보안에서 엔드포인트 에이전트는 안티바이러스 보호 및 패치를 위해 어디에나 존재합니다. 안타깝게도 OT 디바이스에 IT 중심 에이전트를 배포하는 부정적인 경험으로 인해 꼭 필요한 엔드포인트 모니터링이 거의 채택되지 않고 있습니다. 기존의 ICS 네트워크 모니터링 솔루션은 퍼듀 레벨 또는 방화벽 사이의 남북 트래픽을 모니터링하지만, 특히 낮은 퍼듀 레벨에서 한 구역 내 디바이스 간의 동서 통신은 오랫동안 사각지대에 놓여 있었습니다. 또한 엔드포인트 모니터링은 사용자 활동과 이벤트 발생 시 상호 연관성을 파악할 수 있는 유일한 방법입니다.

OT 자격 증명 도용 및 기타 악의적인 행동을 수반하는 악의적인 공격이 분명 발생하지만, 많은 위협은 원격으로 드나드는 직원이나 공인된 써드파티 기술자의 부주의한 실수와 관련이 있습니다. 엔드포인트 보안이 없으면 네트워크에서 명령이 실행될 때까지 누가 언제 접속하여 무엇을 하는지 알 수 있는 방법이 없습니다. 그러면 너무 늦습니다. 

2023년 출시, Nozomi Arc 는 OT 엔드포인트의 고유한 고가용성 요구 사항을 보호하기 위해 특별히 설계된 안전하고 무중단 보안 에이전트입니다. 예를 들어, 호스트 운영 체제의 커널 수준에서 작동하지 않고 시스템을 재부팅하지 않으며 시스템 리소스를 매우 적게 사용합니다.

FAQ로 돌아가기