IoT 공급망 취약점이 IIoT 보안에 위협이 됨

IIoT 기반의 도움으로 제품을 구성하는 대부분의 회사 운영 부서는 예측 가능한 원자재 및 서비스 흐름을 제공하는 공급망을 면밀히 주시하여 제품을 생산하고 비즈니스를 계속 활기차게 유지할 수 있습니다.

그러나 두 번째, 기본 공급망은 조사를 덜 받습니다. 그리고 해당 공급망의 보안이 어떻게든 손상되면 비즈니스가 중단될 수 있습니다.

간과된 공급망은 IIoT 인프라를 구축하는 구성 요소를 제공합니다. 이러한 장치의 구매자는 보안 관점에서 체인에 대한 충분한 투명성이 부족한 공급망의 끝 부분에 있습니다. 사실, 전달된 IIoT 장치를 구성하는 내부 요소의 출처를 추적하는 것은 어려운 일입니다.

결과적으로 IIoT 바인딩 구성 요소가 악용 가능한 보안 취약점과 함께 제공되는 것은 드문 일이 아닙니다. IIoT 공급망의 복잡성과 글로벌 범위는 문제를 악화시킬 뿐입니다. 수십 개의 부품 제조업체에서 공급하는 부품으로 단일 장치를 만들 수 있습니다.

"Finite State Supply Chain Assessment, ” IoT 사이버 보안 회사인 Finite State의 2019년 보고서

IIoT 인프라에 대한 위험은 현실적이고 많습니다.

대부분의 네트워크 사업자는 IIoT 공급망 위험을 인식하지만 특정 취약성은 격리하기 어렵습니다. 이러한 배포는 제조업체의 벽을 넘어 배송업체, 판매자 및 기타 상거래 파트너까지 확장되는 경우가 많습니다. 그리고 네트워크가 확장되고 추가 통합 지점이 포함됨에 따라 악성 코드의 일부가 복제될 위험만 증가합니다. 실제로 코드 자체는 악성이 아닐 수 있지만 시스템을 손상시킬 수 있는 열린 포트를 나타낼 수 있습니다.

Finite State의 CEO인 Matt Wyckhouse는 "임베디드 시스템에 얼마나 많은 취약점이 있는지 직접 확인하는 것만으로도 자산 소유자는 이러한 취약점이 시스템에 존재한다는 사실을 깨닫지 못합니다."라고 말했습니다.

IIoT 환경이 침해되면 악의적인 행위자가 이를 입구로 사용하여 기업 시스템에 더 침투할 수 있습니다. 산업 제어 시스템(ICS) 및 기타 생산 시스템이 위험에 처할 수 있지만 침입자가 보안 장애물을 회피하고 더 깊이 파고들 수 있다면 주요 기업 애플리케이션 및 관련 데이터도 노출될 수 있습니다. 이는 모두 센서, 액추에이터 및 기타 운영 IIoT를 생산하는 공급망에 침투한 의심스러운 펌웨어 때문입니다.

Wyckhouse는 "취약점이 보고되면 제조업체가 해당 취약성에 대응하고 패치를 제공한 다음 자산 소유자가 해당 장치에 대한 업데이트를 실행하고 최신 버전의 펌웨어를 실행하는 데 시간이 걸립니다."라고 설명했습니다. , 알려진 취약점이 얼마나 지속될 수 있는지 설명합니다.

보안 제공업체인 Kaspersky를 위해 ARC Advisory Group이 2019년 7월에 실시한 "산업 사이버 보안 현황" 설문 조사 보고서에서 응답자의 4분의 1 이상(26%)이 체인 또는 파트너'가 주요 우려 사항으로, 또 다른 44%는 사소한 우려 사항이라고 답했습니다. 흥미롭게도 랜섬웨어(70%) 및 표적 공격(68%)과 같은 다른 모든 주요 보안 문제는 공급망 위반을 통해 회사를 공격할 수 있습니다.

[ IoT 보안에 대한 자세한 내용을 보려면 등록 IoT 보안 서밋 올해 12월.]

같은 설문조사에서 응답자의 28%는 회사의 ICS 또는 산업 제어 네트워크가 표적이 될 가능성이 "매우 높음" 또는 "상당히 높음"이라고 말했습니다.

네덜란드에 기반을 둔 보안 업체 Irdeto가 실시한 또 다른 2019년 설문 조사인 "Global Connected Industries Cybersecurity Survey"에서는 많은 기업이 이미 침입형 IoT 공격으로 피해를 입었다고 강조했습니다. 대기업에서 제조한 제품은 지난 12개월 동안 사이버 공격을 경험한 적이 없습니다."

IIoT 공급망이 손상되는 방식

일반적으로 회사의 생산 라인에 공급되는 공급망에 대한 가장 큰 우려는 생산 활동이 중단되어 생산 속도가 느려지거나 중단될 수 있다는 것입니다. IIoT 공급망의 경우 위협은 훨씬 더 은밀하며 그 효과가 나타나기까지 몇 주 또는 몇 달이 걸릴 수 있습니다.

일반적으로 IIoT 공급망 손상이 발생하면 취약성의 근원을 가리는 도미노 효과의 결과입니다.

Adolus의 CEO인 Eric Byres는 "공격자들은 피해자를 염두에 두고 있지만 피해자를 직접 찾아가는 대신 Tier-2 산업용 IoT 공급업체로 이동하여 웹사이트를 손상시키고 합법적인 펌웨어와 소프트웨어를 트로이 목마 버전으로 교체합니다"라고 설명했습니다. 펌웨어 점검 서비스를 제공하는 회사입니다.

적절한 네트워크 유지 관리를 수행하는 무의식적 IIoT 네트워크 관리자는 무의식적으로 적대적인 코드를 확산시킬 수 있습니다. Byres는 "가서 즉시 다운로드하여 공장으로 가져갑니다. 그런데 갑자기 이 악성코드가 공장 내부, 방화벽 내부, 모든 것 내부를 지배하고 있습니다."라고 말했습니다.

침입자는 문에 발을 들여 놓고 산업 네트워크에서 침입한 다음 기업 데이터 네트워크에 침입할 수 있습니다. Byres는 "나쁜 사람들이 한 사이트를 공격하고 이러한 확실한 승수 효과를 얻습니다."라고 말했습니다. "공격자에게는 정말 좋은 투자 수익입니다."

대부분의 IIoT 환경에는 10년(또는 그 이상) 동안 사용되었을 수 있는 센서 및 기타 구성요소와 같은 수백 또는 수천 개의 구형 기기가 포함됩니다. 전문가들은 장비가 오래될수록 지원 및 업데이트가 늦어지기 때문에 보안 위험이 발생할 가능성이 더 높다는 데 동의합니다.

예를 들어, Finite State 보고서는 2003년에 출시된 OpenSSL 버전을 사용하는 코드를 포함하는 Huawei 제조 구성 요소를 설명했으며 극도로 취약한 것으로 잘 알려져 있고 문서화되어 있습니다.

일부 IIoT 공급망 보안 결함은 고의적으로 또는 악의적인 동기로 의도적으로 삽입되었을 수 있습니다. 예를 들어 백도어가 있습니다. 소프트웨어의 백도어를 통해 펌웨어의 핵심 부분에 액세스할 수 있으므로 일반적인 인증 프로세스를 통과하지 않고도 구성 요소 자체에 액세스할 수 있습니다.

선의의 백도어는 종종 부품 제조업체가 장치를 지원하고 모니터링할 수 있는 진입점을 제공하기 위해 열어둡니다. 디버그 포트라고도 하는 이러한 백도어는 악의적인 행위자가 쉽게 액세스할 수 있도록 합니다. 유사하게, 산업 제어 시스템과의 통합을 허용하도록 의도된 애플리케이션 프로그래밍 인터페이스(또는 API)는 장치의 작동을 손상시키는 또 다른 수단을 의도하지 않게 제공할 수 있습니다. 더 사악한 백도어는 나중에 지적 재산권(IP) 또는 기타 데이터를 스와이프하는 데 사용하기를 희망하기 때문에 수출된 제품에 대해 국가가 열어두는 경우가 많습니다.

일반적으로 IIoT 공급망은 잘 통제된 것보다 더 와일드 웨스트입니다.

New York University Tandon School의 Muhammad Junaid Farooq와 Quanyan Zhu가 발표한 연구 보고서인 "IoT Supply Chain Security:Overview, Challenges, and the Road Ahead"는 "IoT는 보안 표준 측면에서 여전히 규제가 거의 없는 기술입니다."라고 말했습니다. 공학의. “기기 소유자의 관점에서 업스트림 공급망을 통제할 수 없습니다. 모든 공급업체가 사이버 보안 관행을 명확하게 설명하고 공급망 정보를 공개할 준비가 되어 있는 것은 아닙니다.”

악의적인 행위자의 표적과 그들이 원하는 것

IIoT 공급망 침입은 다른 유형의 네트워크 침해로 인해 우리가 보아온 모든 침해된 상황을 초래할 수 있습니다. 그러나 "누설" IIoT 장치의 특성과 기능을 고려할 때 다양한 악의적인 활동과 중단을 초래할 수 있습니다.

랜섬웨어는 여전히 공격의 주요 동기로 부각되고 있습니다. 이는 나쁜 행위자가 몸값 지불이 이루어질 때까지 생산을 지연시키거나 부정적인 영향을 미칠 수 있기 때문에 많은 IIoT 공급망 침투의 경우에도 마찬가지입니다.

생산 중단은 산업 환경에서 훨씬 더 큰 혼란을 초래할 수 있습니다. 센서 및 기타 IIoT 장치에서 스트리밍되는 데이터를 변경하여 기계 설정을 조작할 수 있으며, 이는 차례로 제조 공정에서 보이지 않는 문제를 일으킬 수 있으며 이로 인해 로봇 장치와 같은 공장 현장 기계가 안전하지 않은 환경에서 작동할 수 있습니다. 매너.

2020년 3월 보고서 OT 보안 모범 사례에 따르면 산업 제어 시스템 위반은 심각한 영향을 미칠 수 있습니다. 국가 경제에 부정적인 영향을 미칩니다.”

특정 산업 분야도 주요 목표가 되었습니다.

Adolus의 Byres는 "흥미로운 목표가 많은 목표가 풍부한 환경을 원한다면 에너지, 전력망, 석유 및 가스로 이동하십시오."라고 말했습니다. "그리고 이제 우리가 보고 있는 또 다른 목표가 풍부한 환경은 전염병으로 인한 의료입니다."

Finite State의 Wyckhouse도 주요 목표로 의료 서비스를 지적합니다. "우리는 실제로 지난 몇 주 동안 의료 산업에서 파괴적이고 생명을 위협하는 공격이 증가하는 것을 보고 있습니다. 랜섬웨어 공격은 대유행의 한가운데에 병원을 휩쓸고 있습니다."

공격자의 목표는 항상 큰 월급 날이 아닙니다. 중요한 지적 재산(IP)과 같이 정보가 목표인 경우도 있습니다.

IIoT 환경의 균열을 통해 기업 데이터 네트워크에 접근하는 것도 일반적인 전략입니다. Wyckhouse는 "공격 표면이 날이 갈수록 커지고 복잡해지고 있습니다. "초기 접근을 위한 메커니즘으로 공급망을 사용하는 행위자에 대해 우려해야 하는 특정 사례가 있습니다."

IIoT 공급망 약점에 대처하는 방법

대부분의 회사에서 네트워크에 있는 장치의 수와 복잡한 이력 때문에 보다 안전한 IIoT 환경을 만드는 것이 중요한 일이 될 것입니다. 해당 기기에 대한 상세하고 포괄적인 인벤토리가 이미 있다면 한 단계 앞서 있을 수 있으며, 그렇지 않은 경우 시작할 수 있습니다.

토지의 위치를 ​​정하고 나면 공급망 위험 평가가 다음 단계입니다. 몸값 상황, 데이터 손상 또는 IP 도난과 같은 "거시적" 위험을 식별합니다. 그러나 위험 평가는 잠재적인 취약성에 대해 각 장치가 평가되고 해당 취약성이 더 광범위한 네트워크 침입으로 복합될 수 있는 더 세분화된 수준에 도달해야 합니다.

회사의 네트워크와 통합 방법을 자세히 살펴보는 것도 순서입니다. 예를 들어 에어 갭을 사용하여 IT 네트워크에서 운영 기술 환경을 분리함으로써 IIoT를 인터넷에서 분리하는 것이 가능할 수 있습니다.

IIoT 장치 공급업체도 평가하여 보안 노력 수준을 이해해야 합니다. Wyckhouse에 따르면 "장치 수명 주기에서 운영자가 제조업체에 가장 큰 영향을 미치는 시점은 해당 장치를 구매하는 시점"이기 때문에 회사에서 구매할 제품을 평가하는 것이 가장 좋은 시기입니다.

IIoT 장치 구매가 많고 빈번한 경우 모든 공급업체와 제품이 적절하게 조사되도록 공식 평가 프로세스를 설정하는 것이 좋습니다.

"우리는 보안을 중요하게 생각합니다. "그들로부터 적절한 보고서를 받거나 제3자에게 가서 적절한 분석을 받고 공급업체가 보안에 대해 숙제를 하고 있는지 실제로 파악하십시오."

NIST(National Institute of Standards and Technology) NVD(National Vulnerability Database)와 같은 리소스를 탭하여 CVE(Common Vulnerabilities and Exposures) 목록을 확인할 수도 있습니다.

특히 IIoT 공급망 상황을 해결하기 위해 새로운 클래스의 서비스와 애플리케이션이 등장하고 있습니다. Adolus 및 Finite State는 사용자가 이미 설치했거나 고려 중인 장비의 안전성을 결정하는 데 도움이 되는 서비스를 제공하는 회사의 예입니다.

Adolus는 상업적으로 이용 가능한 서비스로 발전하기 전에 미국 국토안보부 프로젝트로 시작했습니다. 알려진 취약점 모음을 포함하여 수천 대의 IoT 장치와 관련된 게시 및 일화 정보를 수집하는 데이터베이스를 기반으로 구축되었습니다. 최종 사용자 또는 장치 제조업체는 데이터베이스를 탭하여 구성 요소의 계보를 추적하고 구성 부품 및 공급업체에 대한 세부 정보를 찾을 수 있습니다.

Adolus CEO Eric Byres는 “우리 기술은 이러한 소프트웨어 BOM을 구축하는 것입니다. "따라서 방금 구입하여 설치한 기본 제품뿐만 아니라 함께 제공되는 모든 구성 요소에 대한 전체 출처를 가질 수 있습니다."

유한 상태는 또한 이 문제에 대한 새로운 접근 방식을 취합니다. 이 회사의 기술은 펌웨어를 효과적으로 구문 분석하여 IIoT 인프라에 위험이 있는지 여부를 결정할 수 있습니다. 이는 Finite State의 CEO Matt Wyckhouse가 지적했듯이 “펌웨어 업데이트가 적용되면 해당 펌웨어가 해당 장치의 모든 소프트웨어를 대체하기 때문에 특히 중요합니다. 이를 완전히 대체하므로 장치의 위험 프로필을 완전히 변경할 수 있습니다.”