필연적인 해킹 공격 방지

제조업체는 프로세스를 안전하게 유지하기 위해 사이버 세계의 "검은 모자"와 씨름해야 합니다.

해킹 여부가 아니라 언제 해킹을 당할지가 문제입니다.

사이버 보안 전문가들은 지난 봄 전 세계적으로 급증한 악명 높은 "워너 크라이(Wanna Cry)" 멀웨어를 포함하여 최근 랜섬웨어 공격의 물결을 인용하여 사용자가 비용을 지불하거나 시스템을 잠금 해제할 방법을 찾을 때까지 사용자 데이터를 암호화한다고 말합니다.

점점 더 영리해지는 사이버 범죄자에 맞서기 위해 제조 운영은 공장 자동화 제어 및 네트워킹 장비에서 사이버 보안 소프트웨어 솔루션과 "강화된" 하드웨어의 강력한 조합으로 전환해야 하며 또한 새로운 사이버 보안 표준 및 모범 사례를 배포해야 합니다. 이러한 도구를 사용하면 제조업체에서 공격을 방지하거나 공격이 발생한 후 해결할 수 있는 더 나은 기회를 얻을 수 있습니다.

사이버 보안 컨설팅 회사인 Spohn Security Solutions(텍사스주 오스틴)의 수석 보안 컨설턴트인 Timothy Crosby는 "공격은 광범위하고 지속적입니다. 그는 많은 산업 시스템이 Windows XP, Windows 2003 및 Windows 2000을 비롯한 오래된 임베디드 운영 체제를 사용하기 때문에 취약하다고 말했습니다. , 그들은 정기적으로 표적이 될 것"이라고 말했다. "총체적인 접근 방식이 필요합니다. 정답은 없습니다."

신원 도용 리소스 센터(애리조나주 스코츠데일)와 사이버스카우트(샌디에이고)가 1월에 발표한 보고서에 따르면 2016년 데이터 침해는 40% 증가했습니다. 침해 건수는 2016년 1,083건으로 사상 최고치를 기록했으며, 이는 2015년에 보고된 780건의 침해 건수를 쉽게 넘어섰으며, 기업, 교육, 정부/군사, 보건/의료, 은행/금융 기관 등 다양한 분야에서 침해가 발생했습니다. 보고서에 따르면 해킹, 스키밍 및 피싱 유형의 공격은 8년 연속 데이터 유출 사고의 주요 원인이었으며 전체 유출 사고의 55.5%를 차지했으며 이는 2015년보다 17.7% 증가한 수치입니다.

전체론적 접근

Wanna Cry와 같은 최근 공격이나 2016년에 등장한 Petya 악성코드로 인한 우크라이나의 주요 혼란은 유틸리티 및 기타 정부 시설을 포함한 주요 인프라를 대상으로 했습니다. UL LLC(Northbrook, IL)의 수석 엔지니어인 Ken Modeste는 "공격이 발생하면 일반적으로 사이트에서 유출됩니다. 우크라이나에 있는 시설에 비해 미국과 북미 나머지 지역에 있는 시설은 FBI와 기타 정부 기관의 지원을 받아 중요한 작업을 백업할 수 있다고 덧붙였습니다.

작년에 UL은 IIoT(산업용 사물 인터넷)에서 네트워크로 연결된 장치의 확산으로 인한 안전 및 성능 위험을 완화하는 데 도움이 되는 UL CAP(글로벌 사이버 보안 보증 프로그램)을 발표했습니다. UL CAP는 기업이 UL 2900 시리즈 사이버 보안 표준에 따라 보안 위험을 식별하도록 돕고 산업 제어 시스템, 의료 기기, 자동차, 빌딩 자동화 및 기타 영역에서 위험을 최소화하는 방법을 제안합니다.

Modeste는 "테스트에서 구축한 표준은 [기업의] 모범 사례를 기반으로 합니다."라고 말했습니다. 그는 하드코딩된 비밀번호(기기에 내장되어 변경할 수 없는 비밀번호)를 사용하는 것이 하지 말아야 할 일의 예라고 덧붙였다. “그것은 근본적인 결함입니다.”라고 그는 말했습니다. “랜섬웨어가 피싱 방식으로 조직에 침투하고 있습니다. 클릭하면 악성코드가 전파되기 시작합니다. 대부분의 경우 랜섬웨어가 침입하는 방식입니다.”

사이버 보안 안전에 대한 직원 교육은 사이버 공격을 저지하는 데 큰 열쇠입니다. “훈련은 이 문제를 해결하는 기념비적인 방법입니다. 피싱은 심각한 문제입니다. 악당들이 물리적인 정찰을 하고 있다”고 모데스테는 말했다. "확률은 그들에게 유리합니다."

Siemens PLM Software(Plano, TX)의 플랜트 보안 서비스 책임자인 Henning Rudoff는 최근 랜섬웨어 공격이 산업 환경의 취약성을 보여주었다고 말했습니다. "사이버 위협으로부터 플랜트, 시스템, 기계 및 네트워크를 보호하려면 IEC 62443에 설명된 바와 같이 전체론적 첨단 산업 보안 개념을 구현하고 지속적으로 유지해야 합니다."라고 Rudoff가 말했습니다. 말했다. “디지털화가 증가함에 따라 산업 보안이 점점 더 중요해지고 있습니다.

Rudoff는 "산업 보안은 디지털 엔터프라이즈의 핵심 요소이며, 지멘스가 인더스트리 4.0으로 가는 길에 접근합니다."라고 말했습니다. "집중 대상에 대한 이전의 전용 공격과 달리 현재 랜섬웨어 공격은 광범위하며 모든 산업 네트워크 운영자에게 영향을 줄 수 있습니다."

Siemens는 산업 보안 전문가가 보안 사고에 대해 전 세계 시설을 모니터링하고 적절한 대응 조치( "클라우드에서 제조 데이터 보호", 제조 엔지니어링 참조 , 2016년 7월.)

해커가 제조 운영을 방해하거나 정부 시설 및 유틸리티 인프라에 침투하는 것을 방지하기 위해 기업이 할 수 있는 다른 일은 무엇입니까? Rudoff는 "공장 관리 수준에서 현장 수준 및 액세스 제어에서 복사 방지에 이르기까지 모든 수준을 동시에 독립적으로 보호해야 합니다."라고 말했습니다. "이것이 포괄적인 보호에 대한 Siemens의 접근 방식이 모든 수준에 걸쳐 방어, 즉 심층 방어를 제공하는 이유입니다." 이는 산업용 애플리케이션의 보안을 위한 최고의 표준인 ISA99/IEC 62443의 권장 사항을 기반으로 합니다.

이를 위해 Siemens의 제품과 솔루션은 보안을 강화하기 위해 지속적으로 개발되고 있다고 Rudoff는 덧붙였습니다. 지멘스는 자체 산업 제품에 대해 IEC 62443을 기반으로 산업 전체적 보안 개념(HSC)을 정의했다고 그는 말했다. “HSC는 개발 및 제조 환경의 무결성을 보호하고 기밀성을 보호합니다. HSC 조치는 제품, 솔루션 및 서비스의 수명 주기에 따라 개발 및 생산 부서에서 정의되고 모니터링됩니다."

Siemens의 HSC에는 인식, 최첨단 기능, 프로세스 개선, 사고 처리 및 주변 IT 인프라의 제품, 솔루션, 서비스 및 보안 보안이라는 5가지 요소가 있다고 Rudoff는 덧붙였습니다. “Siemens는 독일 TÜV[기술 검사 협회]로부터 디지털 공장 및 프로세스 및 드라이브 부문의 개발 프로세스에 대해 IEC 62443 인증을 받아 회사 자체 개발 프로세스를 보호하려는 노력을 보여주었습니다. 또한 PCS 7과 같은 산업용 시스템은 IEC 62443 표준에 따라 인증되었습니다.”

Rudoff는 가능한 한 빨리 제품 업데이트를 적용하고 최신 제품 버전을 사용하는 것이 좋습니다. “Siemens는 자체 산업 제품을 보다 안전하게 만드는 것 외에도 자동화 제품, 자체 네트워크 보안 제품 및 보안 서비스를 위한 고급 보안 기능을 제공합니다. 예를 들어 S7 컨트롤러의 보안 기능에는 PLC 프로그램 블록의 노하우 보호, 복사 방지, 액세스 보호 및 통신 무결성이 포함됩니다. Scalance 및 Ruggedcom 라인과 같은 Siemens의 네트워크 보안 제품은 원격 액세스, 비무장지대 구축, 보안 이중화 및 셀 보호를 위한 사용 사례를 지원합니다.”라고 Rudoff는 말했습니다.

Siemens Plant Security Services는 전체론적 접근 방식을 나타냅니다. 위협 및 악성코드를 조기에 탐지하고 취약점을 분석하여 종합적인 보안 조치를 취합니다. "지속적인 모니터링은 공장 운영자에게 산업 시설의 보안에 대한 투명성을 제공합니다."

사이버 보안과 안전 통합

랜섬웨어의 세계적인 위협은 업계의 안일함을 종식시켰습니다. “NotPetya는 우크라이나의 주요 기반 시설을 성공적으로 표적으로 삼았고 다른 80개국에 영향을 미쳤습니다. 가장 큰 타격을 입은 국가는 독일, 러시아, 영국이었습니다.”라고 Spohn Security Solutions의 Crosby는 말했습니다. 그는 미국 기업의 49%가 IT/데이터 보안 프로그램을 전담하고 있다고 말했습니다. “유럽에서 내가 본 가장 높은 비율은 영국이 37%, 독일이 34%였습니다. NotPetya가 작동하는 방식을 고려할 때 Mimikatz 단계[해커가 사용하는 도구]에서 수집된 자격 증명으로 다른 공격이 발생할 가능성이 있습니다. Tripwire 설문조사에 따르면, 대부분의 조직은 5월과 6월에 WannaCry와 NotPetya가 히트하기 전보다 훨씬 더 잘 대비하지 못할 것입니다.”

로크웰 오토메이션(밀워키)의 최고 제품 보안 책임자인 리 레인은 Petya/NotPetya 공격에서 광범위한 암호화 맬웨어가 영향을 받는 회사에 대한 분산 서비스 거부(DDoS)를 목표로 했다고 말했습니다. “이는 Maersk, FedEx 및 몇 개의 생명 과학 회사와 같은 회사에 실질적인 피해를 입혔습니다. 서비스 거부를 통해 한 번에 대상을 공격하기 위해 많은 서버를 유도합니다. 다른 스타일의 공격이겠지만 큰 영향을 미칠 것입니다.”라고 Lane이 말했습니다. "그들이 들어와서 최종 목표물이 작동하지 못하도록 막고 있습니다."

그는 이러한 폐쇄는 직접적인 영향을 받는 기업에 지장을 줄 뿐만 아니라 연쇄 반응 효과도 있다고 말했다. "제조 ERP[엔터프라이즈 자원 관리] 소프트웨어가 없으면 [어떤 일이 일어날지] 생각해 보십시오."라고 Lane은 말했습니다. "모든 주문, 모든 제조 계획, 배송할 위치에 대한 정보를 가져갈 수 있습니다."

랜섬웨어, DDoS 또는 활성화될 때까지 지연된 상태로 있는 Stuxnet 코드와 같은 악성 코드는 광범위한 사이버 공격자들에 의해 사용됩니다. "소위 '나쁜 행위자'가 많이 있습니다. 국가가 록히드 또는 기타 방위산업체를 노리는 것부터 많은 사람들이 놓치는 내부자, 회사 내부 직원에 이르기까지 다양합니다."라고 레인이 말했습니다.

ISIS와 핵티비스트와 같은 테러 단체도 전력망 및 유틸리티와 같은 중요한 기반 시설을 목표로 삼고 있다고 그는 말했습니다. "최근 IBM 보안 인텔리전스 보고서에 따르면 2015년에서 2016년 사이에 공격 횟수가 110% 증가했으며 이는 보고된 내용일 뿐입니다."라고 Lane이 덧붙였습니다.

전적으로 산업 자동화에 중점을 둔 로크웰 오토메이션은 안전과 보안의 통합과 관련된 하드웨어 및 소프트웨어를 개발할 뿐만 아니라 고객에게 산업 안전, 자동화 및 사이버 보안에 대한 컨설팅을 제공합니다. Lane은 "적절한 사람, 프로세스 및 적절한 도구가 있어야 하며 사이버 보안도 마찬가지입니다. 네트워크를 방어할 수 있는 인력을 확보해야 합니다.”

자산을 식별하고 문서화하는 것이 핵심적인 출발점이라고 그는 말했습니다. 레인은 “사이버 위협은 실제로 증가하고 있으며 물질적 피해를 줄 수 있습니다. "자산의 중요성을 식별하고 평가해야 합니다." 레인은 국립표준기술원(National Institute of Standards and Technology)의 사이버 보안 프레임워크를 사용하는 것도 좋은 출발점이라고 덧붙였습니다.

Rockwell은 사이버 보안 보호를 위한 보안 기능 및 강화와 함께 FactoryTalk Asset Manager 소프트웨어를 제공합니다. “자동화 시스템을 구입하기 전에 회사와 이야기하고 보안 프로그램이 있는지 확인하십시오. 회사 전체에서 보안 기능 및 강화가 수행되는 방식을 로드맵으로 설정합니다.”라고 Lane이 말했습니다. “사이버 공격을 더 잘 견딜 수 있는 강화 기능이 있는 제품을 찾으십시오. 예를 들어 데이터 폭풍이 발생하면 통신 시스템이 종료되거나 절전 모드로 전환됩니까?”

일부 안전 장치에는 로크웰의 ControlLogix 제어 시스템과 같은 하드웨어의 변경 사항을 감지하여 운영자에게 맬웨어의 존재를 경고하여 시스템을 종료하거나 문제를 해결할 수 있는 기능이 포함됩니다. “PLC를 암호로 보호할 수 있습니다.”라고 Lane이 말했습니다. “컨트롤에 키 스위치가 있습니다. 각 PLC에는 포트와 키포트 스위치가 있습니다.” 시스템은 또한 사용자에게 복구에 도움이 되는 아카이브 기능을 제공합니다. 이러한 상황에서 자동 또는 통제된 복구는 고급 사이버 보안 도구의 핵심 기능입니다.

“오늘날 우리는 수년 동안 제조된 안전 시스템을 갖추고 있습니다. 사이버 침해가 발생하면 많은 안전 시스템에 의존할 수 없습니다.”라고 Lane이 말했습니다. “두 가지를 결합하는 것이 중요합니다. 올바른 습관입니다. 안전과 보안은 전통적으로 별개였습니다.”

UL CAP 프로그램은 사용자에게 사이버 위협에 대처하기 위한 지침과 도구를 제공합니다. 작년에 UL은 UL CAP 표준의 초판을 발표했으며 UL은 현재 35개 제품을 테스트하고 있다고 Modeste는 말했습니다. "그들은 맬웨어 방지 도구를 가지고 있으며 더 많은 랜섬웨어 도구를 추가하기 시작했습니다."라고 그는 말했습니다. 그는 부트 레코드의 재정의 방지 또는 파일 시스템 관리와 ​​같은 운영 체제 제어가 중요하다고 말했습니다. "점점 더 많은 도구가 출시되고 있으며 다양한 제품에 센서가 배치되어 있습니다."

누워서 기다리기

경우에 따라 사이버 공격은 침입이 끝난 후에도 발견되지 않아 해결이 더욱 어려워집니다. 사이버 공격자들은 2015년 시스코 라우터의 펌웨어, NSA(National Security Agency)의 시스템, 심지어 군용 애플리케이션에 설치된 전자 부품에도 성공적으로 멀웨어를 설치했다고 PFP Cybersecurity(Vienna, VA)의 공동 설립자이자 CEO인 Steve Chen이 말했습니다. ), 정식 명칭은 Power Fingerprinting Inc.

PFP의 사이버 보안 시스템은 장치 모니터링, 무선 주파수(RF)를 통한 신호 처리, 빅 데이터 분석, 런타임 감지 및 수정 도구를 사용합니다. PFP Cyber는 Virginia Tech에서 라이선스를 받은 기술을 사용하여 정부 계약을 일부 받기 시작했으며 작년에 사이버 보안 시스템에 대해 이전에 라이선스된 특허 2개에 추가로 4개의 새로운 특허를 받았다고 Chen은 말했습니다.

Chen은 "우리는 서명 탐지 대신 변칙 탐지를 사용합니다. “다음 과제는 멀웨어를 더 빨리 탐지하는 방법입니다. 소위 탐지 간격은 일반적으로 약 200일입니다. 우리는 공격을 탐지하고 수정할 수 있다고 믿고 있으며 이를 입증했습니다.”

PFP는 지난 7월 라스베이거스에서 열린 Black Hat USA 컨퍼런스에서 시스템을 선보였습니다. Chen은 "공격을 막을 수는 없습니다. "공격을 받을 것이라고 생각해야 합니다." 그는 회사에 두 가지 배포 모델이 있는데 하나는 장치 내부에, 다른 하나는 외부에 있다고 덧붙였습니다.

Chen은 "내부에 있으면 [변칙]을 감지하고 자동으로 수정할 수 있습니다."라고 말했습니다.

PFP는 클라우드 기반 소프트웨어 및 서비스를 사용하는 IoT 장치용 보안 플랫폼 또는 악성코드를 감지하고 치료하는 RF 스캐닝 기술을 사용하여 온프레미스 소프트웨어용 보안 플랫폼을 제공하는 것을 목표로 합니다. 회사의 PFP 대시보드는 파트너가 제공하는 SaaS(Software-as-a-Service) 플랫폼에서 사용됩니다.

"우리는 Stuxnet이 무엇인지 에뮬레이트하려고 노력합니다."라고 Chen이 말했습니다. "볼 수 없습니다."

맬웨어 탐지 외에도 시스템은 제품이 배송된 상자를 열지 않고도 위조 칩 탐지에 사용할 수 있다고 Chen은 말했습니다. “이 경우 고객은 블라인드 테스트를 할 수 있습니다. 메모리 칩을 소프트 스캔합니다.” 이것은 잠재적으로 해외에서 대량으로 제품을 구매하는 회사에 상당한 비용을 절약할 수 있다고 그는 덧붙였습니다.

“우리는 이에 대한 특허를 출원 중입니다. 우리는 동일한 프로세스, 동일한 수학, 동일한 솔루션을 사용합니다.”라고 Chen이 말했습니다. "이 경우 전원이 켜지지 않은 장치에 무선 주파수와 같은 에너지를 투입합니다."

Chen은 결국 PFP의 기술을 반도체 제조업체에 라이선스하기를 희망하고 있습니다. 회사의 사이버 보안 키트는 현재 기업 및 정부 애플리케이션을 대상으로 하지만 목표는 펌웨어 임플란트 공격의 대상이었던 Cisco 라우터용 안테나를 만드는 것입니다.

Chen은 "가정 사용자의 경우 휴대용 스캐너를 출시할 계획이었습니다. “세상은 더 안전해질 것입니다. 현재 모든 IoT 장치에는 보안이 없습니다.”