사물 인터넷 기술
산업 제조
중요 시스템을 운영하는 조직은 의도하지 않은 내부자 또는 악의적인 공격자에 의해 유발된 산업 제어 시스템(ICS) 사이버 사고에 대응하기 위해 계획하고 준비해야 합니다.
적절한 ICS 사이버 사고 대응(IR) 계획은 시스템 다운타임, 데이터 손실, 높은 보험료, 훼손된 기업 이미지, 직원 및 공공 안전 감소로 인한 재정적 손실을 최소화합니다. 대부분의 조직이 이미 정보 기술(IT) IR 계획(IRP)을 갖추고 있기 때문에 이 문서는 ICS(예:감독 제어 및 데이터 수집 시스템, 건물 관리 시스템)에만 적용됩니다. Parsons의 수석 IT 관리자인 Robert Talbot은 IR 단계에 대한 높은 수준의 보기를 제공합니다. 정보 보안 사무소 및 Jack D. Oden, Parsons Critical Infrastructure Operations 수석 프로젝트 관리자
오늘날의 ICS는 일반적으로 Windows 또는 LINUX 기반 인간-기계 인터페이스에 의해 관리되고, 인터넷 프로토콜을 통해 통신하고, 기업 LAN 및 인터넷에 연결됩니다. 새로운 아키텍처는 비용 절감, 독점 장비 공급업체에 대한 의존도 감소, 회계 부서 및 상위 경영진에 대한 보다 쉽고 빠른 데이터 전송 등 상당한 이점을 제공합니다.
불행히도 이점은 인터넷 기반 사이버 공격으로 인한 위험 증가로 이어집니다. 더 이상 공격이 있을 것인지가 문제가 아니라 언제 공격이 올 것인지가 문제입니다. 어떤 회사나 조직도 모든 사이버 공격을 막을 수는 없지만 대부분의 ICS 조직은 준비가 되어 있지 않습니다.
ICS를 위한 IRP 및 IR 팀(IRT)을 구성하는 것이 현명하지만 사이버 사고 예방을 통해 상당한 시간과 비용을 절약할 수 있습니다. 사무실은 하루 이상 이메일 없이 효과적으로 작동하지만 ICS는 가동 중지 시간을 허용할 수 없습니다. ICS 액세스를 제어하면 공격자가 맬웨어를 삽입할 수 있는 경로가 줄어듭니다. 대부분의 ICS 공격은 기업을 통해 들어오기 때문에 해당 액세스를 먼저 보호해야 합니다. 또한 최근에는 ICS 프로토콜을 인식하는 침입탐지 시스템이 등장하여 공격자가 시스템에 접근한 경로를 정확히 파악할 수 있게 되었습니다.
<노스크립트>
몇 가지 기본 단계는 사고의 영향을 줄이고 ICS를 더 빨리 온라인 상태로 되돌리는 데 도움이 됩니다. 백업 테이프를 주기적으로 테스트하여 기능적인 백업 ICS 구성을 사용할 수 있는지 확인합니다. 독점 시스템은 사이버 공격에 취약하고 시스템 지식이 있는 개인에게 취약하기 때문에 독점 프로토콜이 가능한 침입 탐지 시스템을 사용하는 것이 필수적입니다.
사이버 사고 대응 팀 구성
사이버 IRT를 구성하는 것은 효과적인 IR 기능을 개발하기 위한 두 가지 중요한 단계 중 첫 번째 단계입니다. 팀은 ICS 엔지니어 및 관리자, 네트워크 및 시스템 관리자, 시설 운영자, IT, 사이버 보안, 인사, 커뮤니케이션 및 법률 담당자로 구성되어야 합니다. IRT는 다양한 법 집행 기관, 업계 규제 기관 및 공급업체와 협력해야 합니다.
IRT 구성은 IR, 포렌식, 증거 수집 및 보존, 공격 및 악용 또는 기타 다양한 사이버 보안 분야에서 경험이 있는 외부 전문가와 내부 직원의 균형을 유지해야 합니다. 외부 전문가는 더 빠르고 철저할 수 있지만 ICS 직원은 시스템 지식을 가지고 있습니다.
사고 대응 계획 수립
효과적인 IRP는 IRT만큼 중요합니다. ICS가 다운되면 조직의 압력에도 불구하고 응답자는 감염의 출처와 범위를 찾을 시간이 필요합니다.
전체 IRT에서 계획을 검토하고 완료하면 몇 가지 중요한 작업을 완료해야 합니다.
범위 및 목적
IRP는 의심되거나 확인된 ICS 사이버 보안 사고에 적용됩니다. ICS 운영 중단을 최소화하기 위해 ICS 사이버 보안 사고를 감지, 분류 및 대응하기 위한 일반 지침을 설명합니다.
사고 처리 절차
입증된 절차를 따르면 생산을 더 빠르게 다시 시작할 수 있고 실수할 가능성이 줄어듭니다. 여러 인터넷 사이트에는 IRT가 회사별 절차를 개발하는 데 사용할 수 있는 모범 사례가 나와 있습니다.
사고 식별
<노스크립트>
처음 24시간 동안 침해를 찾아 억제하고 근절하는 것이 중요합니다. ICS 관리자는 상황을 사이버 사고 또는 단순한 시스템 오작동으로 정확하게 특성화하기 위해 IR 담당자와 신속하지만 신중하게 협력해야 합니다.
알림
사고가 확인되면 IRT 리더, 최고 정보 보안 책임자, 경영진, 법무 부서에 알려야 합니다. 적절한 경우 법 집행 기관에 연락해야 합니다.
격리
감염된 시스템, 감염 시기 및 사용된 진입점을 식별하는 것이 중요합니다. 적절한 네트워크 분할 및 보안 외부 연결을 통해 방화벽 및 기타 로그는 악성 코드가 네트워크에 침입한 시기를 결정하는 데 도움이 될 수 있습니다. 사이버 범죄의 경우 증거를 보존하고 관리 체계를 유지합니다. 손상된 증거는 법원에서 허용되지 않습니다. 또한 목격자를 식별하십시오.
근절
일단 격리되면 감염된 각 시스템과 Windows 레지스트리에서 맬웨어를 제거해야 합니다. 흔적이 남아 있으면 네트워크에 다시 연결하면 시스템이 다시 감염됩니다.
시스템 복원
시스템을 다시 시작하기 전에 손상되지 않은 백업 데이터를 사용하여 손상된 데이터를 복원하십시오. 악성 코드가 시스템에 언제 침입했는지 확실하지 않은 경우 원래 백업에서 운영 체제와 애플리케이션을 다시 로드하십시오.
배운 교훈
IRT는 성공과 개선 기회를 문서화하고 IRP를 표준화하기 위해 배운 교훈을 공식화해야 합니다.
성공적인 IR은 사고에 대한 계획 및 자금 조달에 달려 있으며 회사의 전체 위험 프로그램의 일부여야 합니다. 단일 기관이 IT 및 ICS 사이버 보안 자금을 모두 제공하지 않기 때문에 약간의 외교와 숙제가 필요합니다. 일반적으로 한 고위 관리자는 IRT의 중요성을 이해합니다. 팀의 챔피언으로 채용된 경우 해당 관리자는 다른 고위 관리자를 설득하여 팀원을 제공할 수 있습니다.
<노스크립트>
평가만으로는 시스템을 보호할 수 없습니다. IT 및 ICS 취약성 평가를 수행하기 위해 자격을 갖춘 외부 조직을 참여시킴으로써 통제를 확립하는 것이 가장 좋습니다.
IT 세계는 사이버 사고가 재정적 손실을 초래한다는 것을 20년 이상 전에 깨달았지만 ICS 세계는 Stuxnet 및 Target™ POS 공격과 같은 사고에도 불구하고 사이버 보안의 이점을 더디게 인식했습니다.
널리 알려진 공격은 효과적인 IRP와 잘 훈련된 IRT를 통해 ICS를 확보하고 IR 기능을 보유해야 할 필요성에 대한 인식을 높였습니다. 사이버 사고 예방 및 복구를 앞당기기 위해서는 문화의 변화가 필요합니다. 변화는 오고 있지만 천천히. 기업은 ICS용 사이버 IR 개발을 가속화해야 합니다.
이 블로그의 작성자는 Robert Talbot, Parsons Information Security Office 수석 IT 관리자와 Jack D. Oden, Parsons Critical Infrastructure Operations 수석 프로젝트 관리자입니다.
다음은 전체 Anthology로 돌아가는 링크입니다.
사물 인터넷 기술
자동화된 데이터 수집 시스템은 특히 수천 개의 자산이 포함된 전사적 이니셔티브를 먼저 구현하는 기업의 경우 상당한 투자가 필요한 경우가 많습니다. 조직 내 자동화된 데이터 수집 챔피언은 종종 노력과 비용을 정당화하기 위해 ROI를 증명하고자 합니다. 다행히도 자동화된 데이터 수집에 대한 투자를 정당화하는 것이 가능하며 종종 합리적인 시간 내에 가능합니다.혁신에 보조를 맞추면 보상이 있습니다 다양한 산업 분야의 얼리 어답터는 기술 발전을 수용하는 가치를 입증해야 합니다. 이 초기 단계에서 대부분의 기술 투자가 가장 비용이 많이 들며
산업용 호스 유지 관리 계획을 통해 공장에서 수천 달러를 절약할 수 있는 방법 앨리스 친 많은 공장 관리자와 엔지니어의 공통된 관심사는 산업용 호스를 교체할 적절한 시기를 아는 것입니다. 이러한 우려에는 타당한 이유가 있습니다. 주의가 필요한 호스를 교체하기 위해 너무 오래 기다리면 고장 위험이 크게 증가하여 잠재적으로 안전 문제와 계획되지 않은 가동 중지로 이어질 수 있습니다. 반면에 호스를 너무 일찍 교체하면 안전 위험은 없지만 시간과 비용이 많이 들 수 있습니다. 예방 유지보수 계획은 공장의 각 개별 호스에 대한 정보를