생산 시설에서 위험을 줄이는 실질적 방법

제조업 생산 시설의 사이버 보안에 대한 많은 관심이 있지만 무엇부터 시작해야 합니까? 간단하게 공격자들이 공격하는 이유와 이들을 막기 위해 할 수 있는 것에 대해서 생각해보겠습니다. 이 모든 것은 위험을 줄이고 최고의 결과를 얻기 위해 노력을 최대화하는 것입니다. 계속 읽어서 위협 전망과 위협을 관리하기 위한 일부 전략에 대해 알아보십시오.

일반적으로 제조업에서 디지털화 또는 IT/OT의 컨버전스라는 트렌드는 어떤 이름으로 불리든 긍정적인 부분과 부정적인 부분이 있습니다. 품질, 효율 및 지속성에 대한 많은 양의 데이터에서 더 빠르고 더 합리적인 결정이 가능하게 됩니다. 더 높은 커넥티비티와 새로운 시스템은 일반적으로 분리된 시스템이 연결된다는 것을 의미합니다. 연결을 추구하면 공격 표면도 확장되어 결과적으로 보안과 안전 컨트롤이 결핍되게 됩니다. 이 블로그 게시물에서는 생산 시설에서 취약성의 실제 면모와 수정에 대해 알아볼 것입니다.

오늘 우리가 직면한 위협을 신중하게 직시해보겠습니다.

1. 악성 행위자가 귀하에게서 금액을 탈취하려고 시도
2. 악성 행위자가 귀하에게 피해를 입혀 다른 사람에게서 금액을 탈취하려고 시도

예, 대략 이 정도입니다. 다양한 방향에서 생각해볼 수 있지만 방지 및/또는 수정하기 위해 해야 하는 것은 동일합니다. 모든 것을 아래의 몇 가지 효과적인 방어로 요약할 수 있습니다.

그럼 시행할 수 있는 방어에 대한 깊이 생각해 보겠습니다.

1. 취약성을 수정할 수 있습니다
2. 위협을 쫓아낼 수 있습니다

예, 이 정도이지만 취약성을 수정하는 것이 더 비용 효율적이므로 취약성 수정에 대해 알아보겠습니다. 침입과 위협을 추격한다고 생각하면 군인 용어도 사용하고 첩보 영화 같기도 하여 멋지게 들립니다. 실상은 이것은 매우 높은 비용과 헌팅에 전념하는 전임 직원이 필요합니다. 또는 공격의 효과를 보고 빠르게 대응할 수도 있습니다. 이것이 ICS에서는 더 중요한 복원력이며 ICS에서는 더 직관적입니다. 

그렇다면 결국 취약성 관리입니다. 이것은 OT 분야에서는 매우 의견이 분분한 주제이므로 인내심을 가져주십시오. 취약성 수정은 단순히 패치 적용이 아닙니다. 그랬다면 제가 저 자신의 시간 또는 여러분의 시간을 낭비하려 하지 않았을 것입니다.

그럼 취약성이란 무엇입니까?

NIST(미국 국립표준기술연구소)는 “위협 출처에서 악용하거나 작동시킬 수 있는 정보 시스템, 시스템 보안 절차, 내부 컨트롤 또는 구현의 약점”이라고 정의합니다.

대부분은 Windows 시스템 패치 그리고 CVE 또는 CVSS와 같은 점수에 대해서 생각할 것입니다. 저는 NIST 정의를 “정보 시스템”에서 “시스템”으로 수정하겠습니다. 이렇게 하면 OT와 사이버 위험을 일으킬 수 있는 모든 것을 포함할 것입니다. 이것이 취약성을 다르게 생각하게 만듭니까? 이런 컨텍스트에서 다음은 몇 가지 일반적인 취약성(이해하는 도움이 된다면 '약점'이라고 부를 수도 있음)입니다.

• 소프트웨어 코드에 결함(당연히 다른 분야의 사람들을 핑계로 삼는 것입니다.)
• 레거시 장비와 같이 보안을 염두에 두지 않고 설계한 하드웨어 및 소프트웨어이며 제조 환경에서는 매우 일반적입니다.
• 보안을 무시하는 구성 또는 구현 결정 
• 열악한 공정, 열악한 표준
• 시스템 기능에 대한 부적합한 지식

제가 가장 흥미롭다고 생각하는 취약성은 위에 3번째 요점에 해당하며 생산 시설 컴퓨터가 공유하는 사용자 이름과 비밀번호를 사용합니다. 구성 약점의 다른 예는 많은 장치에 사용할 수 있는 인증 방식이 있지만 인증이 없는 것입니다.

첫 번째 범주만 “패치”를 사용하여 수정할 수 있습니다. 폭을 넓혀서 업그레이드 “패치”가 필요한 모든 것을 모아보겠습니다. 패치가 필요한 시스템의 특성에 따라서 프로세스는 생산 공정에 중단이 필요할 수 있습니다. 이 사실을 주지하고 Windows 핫픽스, 업그레이드, 화요일 패치에 포함된 모든 것, 콘트롤러에 펌웨어 업그레이드, 소프트웨어 새 버전 등이 범위에 포함됩니다. 확실히 넓은 범위이지만 전체적인 시야를 갖기 원합니다. 우리는 패치를 두려워하고 싫어하고 IT팀에서 패치를 제안하는 것에 항의하고 술집에서 싸움을 하고 분노하고 회의에서 끝도 없이 논쟁합니다. (제가 잠시 엉뚱한 말을 했습니다.) 취약성 관리 프로세스의 단계를 알아보겠습니다.

• 취약성 식별: 시스템에 취약성은 취약성 스캐닝, 침투 테스트 또는 코드 검토(또는 기타 방법)를 통해 탐지합니다.
• 취약성 평가: 공격자가 취약성을 악용할 가능성을 측정하고 취약성이 악용되는 경우 영향을 결정합니다. 
  1. 공식적으로 설계된 프로그램에서는 이것을 위험 정량화라고 합니다.
• 취약성 해결: 완화 또는 수정입니다. 그렇지만 차이점은 무엇입니까?
  1. 수정 – 일반적으로 패치로 취약성을 고치거나 제거합니다. ICS 환경의 모든 부분에서 가능하지 못한 경우가 많습니다. 컨트롤러에서는 보안 포스처를 의미있게 높이는 경우는 드물어서 결과적으로 다음 단계가 필요합니다.
  2. 완화 – 성공적 공격의 가능성을 축소, 약화 또는 감소시키거나 성공적 공격의 영향을 낮춥니다. 이것을 종종 보완 컨트롤이라고 합니다.

Tenable OT Security가 제조업에서 사이버 보안 전문가에게 도움이 되는 방식

Tenable OT Security를 사용하는 보안 실무자의 관점을 통해서 위에 설명한 취약성 관리 프로세스를 보겠습니다.

예제 1:

1단계: 여기에서는 Tenable OT Security로 제조 환경을 계속해서 모니터링 및 스캔합니다. Rockwell 컨트롤러에 CVE-2020-6998이 있음을 식별할 수 있었다는 것을 볼 수 있습니다. 취약성을 식별하는 것 뿐만이 아니라 수정하는 방안도 제시합니다. 또한 화면에서 방법 설명 및 리소스에 연결할 수 있습니다. 아래 이미지에서 펌웨어를 버전 33.011 이상으로 업그레이드하는 옵션을 볼 수 있습니다. 

2단계: 컨트롤러가 실행되는 프로세스에 따라서 아무것도 할 수 없거나 아무것도 개선할 수 없을 수 있습니다. 제가 왜 장치를 수정해도 나아지는 것이 없을 수 있다고 했습니까? Siemens 또는 Rockwell과 같은 공급자가 컨트롤러에서 인증 기능을 제공하더라고 사용되는 경우는 드믑니다. 따라서 누구든 Studio 5000 또는 TIA Portal과 같이 제조사가 제공하는 코딩 도구만 있으면 장치에 액세스할 수 있습니다. 심지어는 악성 행위자가 컨트롤러를 프로그램하는 데 사용되는 Windows 워크스테션에 액세스하는 경우도 있습니다. 저의 요점은 컨트롤러의 익스플로잇은 인증이 없다면 시간의 낭비입니다. 

Tenable OT Security는 Vulnerability Priority Ratings(VPR)을 활용하여 사용자가 취약성의 악용 가능성을 이해할 수 있게 합니다. 아래 이미지는 이 특정 취약성에 대해 널리 퍼진 알려진 취약성이 없다는 리서치의 요약을 보여줍니다. VPR 점수는 낮아서 이 취약성이 환경에 있는 경우 위험이 낮다는 것을 나타냅니다.

3단계: 위의 평가에 따르면 가장 좋은 옵션은 완화일 수 있습니다. 이 장치 및 많은 다른 Rockwell 장치의 경우 이것은 44818번 포트를 “제조 영역 외부”에서 트래픽을 차단한다는 것을 의미합니다.

Tenable OT Security은 ICS 네트워크 및 해당 네트워크의 IP 주소에 모든 연결을 표시하는 네트워크 맵을 만들 수 있습니다. 아래 그림에서 연결이 필요한 장치와 필요하지 않은 장치를 분명히 볼 수 있어 방화벽 규칙 작성의 가장 어려운 부분이 상당히 쉬워집니다.

이 정보를 사용하여 방화벽 또는 ICS 네트워크를 세그먼트로 나누는 기타 네트워크 컨트롤을 구현하여 44818번 포트에 트래픽을 차단보다 한 단계 더 나아갈 수 있습니다. 컨트롤러와 통신해야 하는 장치만 가능하도록 트래픽을 제한할 수 있습니다. 

여기에서 결론은 이것보다 더 중요한 많은 취약성이 있으며 많은 취약성은 방화벽 규칙의 적용으로 처리합니다. 따라서 컨트롤러에 방화벽을 업그레이드할 수 있는지 결정하는 힘든 작업을 수행할 필요가 없으며 이에 따라 시스템을 패치하기 위해 가동 중지를 예약할 필요가 없어집니다. 가동 중지 없는 운영은 회사의 비용을 절감하는 것입니다.

예제 2: 이견이 없는 여러 취약성과 그 중 많은 부분을 처리하는 완화에 대해 다루겠습니다. 저는 제조업 고객과 협력할 때 이런 부분을 많이 봅니다.

1단계: Windows 컴퓨터에서 실행되는 취약성 CVE-2020-16233을 살펴보겠습니다. Nessus는 Tenable OT Security에 포함되어 있어 취약한 IT 시스템을 식별하기 쉽게 만듭니다. 이 Windows 워크스테이션은 CodeMeter 소프트웨어 라이선스 관리 시스템을 실행하고 있습니다. 

2단계: 많은 제조 환경에는 OT 네트워크에 상당한 수의 IT 장치의 인벤토리가 있습니다. 컨트롤러의 취약성 및 완화를 처리하는 것은 워크스테이션 취약성과 그에 따른 수정을 처리하는 것과 별도이며 다릅니다. 

3단계: 아래 이미지에서 수정 옵션 및 추가 리소스를 볼 수 있습니다. 이 취약성은 Windows 워크스테이션에 있게 때문에 소프트웨어 업그레이드는 중단을 일으킬 가능성은 낮지만 패치 절차를 시작하기 전에 이 가정을 확인하는 것이 좋습니다. IT 시스템을 패치하는 것이 OT 시스템을 패치하는 것보다 일반적으로 쉽다고 할 수 있습니다.

제조업 사이버 보안 전문가를 위한 핵심 내용

1.제조업에서 직면한 위협 뒤에는 2개의 동기가 있습니다.

• 악성 행위자가 귀하에게서 금액을 탈취하려고 시도
• 악성 행위자가 귀하에게 피해를 입혀 다른 사람에게서 금액을 탈취하려고 시도

   성공적 공격의 가능성을 줄이기 위해 하는 일은 동일합니다.

2.방어 전략은 간단하며 2개의 주요 전략으로 구성됩니다.

• 취약성을 수정할 수 있습니다
• 위협을 쫓아낼 수 있습니다

3.위에 두 개 전략은 모두 중요합니다. 그렇지만 취약성을 수정하는 선제적 접근 방식이 더 비용 효율적 방식이므로 이 접근 방식을 권장합니다. 복원력은 ICS에서 훨씬 더 중요합니다. 취약성 관리 프로세스에서 단계는 다음과 같습니다.

• 취약성 식별
• 취약성 평가
• 취약성 해결
  • 수정
  • 완화

자세히 알아보기:

• 웨비나 전문가들의 제조업 분야 IT/OT 보안을 개선하는 방법 공유에 참석
• Tenable OT Security 제조업 웹페이지 확인
• Tenable OT Security 제조업 솔루션 개요 읽기: 생산성을 저하시키지 않으면서 제조업 보안을 유지 
• Tenable OT Security 제조업 백서 다운로드: 제조업 생산 시설의 보안 유지