레거시 OT 디바이스를 업그레이드하는 대신 패치를 사용하시나요?

운영 기술(OT)은 중요 인프라의 유틸리티 제어 프로세스를 분석하는 데 사용되는 장비 및 컴퓨터 소프트웨어이며, 산업 제어 시스템(ICS) 자산은 산업 프로세스에서 사용되는 디지털 장치입니다. OT/ICS 디바이스의 연결된 특성으로 인해 특히 최근에는 디바이스를 사용하는 환경에 대한 사이버 보안 위험이 증가하고 있습니다.

현재 레거시 OT/ICS 디바이스를 사용하는 기업의 보안 태세를 강화하려면 단순히 최신 모델로 교체하는 것이 최선의 선택일까요? 아니면 다른 방법이 있을까요?

이 블로그 게시물에서는 이러한 기술에 대한 위협 환경, 패치 관리, 조직이 취약성 패치를 자동화할 수 있는 방법을 다루며 OT/ICS 디바이스에 대한 취약성 패치를 살펴봅니다.

잠재적 위협 및 중요 취약점

대부분의 OT/ICS 아키텍처는 대부분 노출된 영역이 있는 고립되고 평평한 네트워크에 위치합니다. 공격 공간은 모든 OT/ICS 및 현재 IIoT 솔루션을 포함하여 잠재적인 공격의 전체 범위를 포괄합니다. 세 가지 플랫폼 모두에 대한 공격은 내부 또는 외부에서 발생할 수 있습니다.

외부 공격은 해커, 범죄자, 테러리스트, 국가 등 외부에서 발생할 수 있습니다. 이 두 가지 범주 외에도 장비에 대한 직접적인 간섭을 수반하는 물리적 공격도 있습니다.

OT 패치 관리 프로세스

IT 및 OT 중요 인프라 시스템은 전통적으로 별도의 기술 스택을 기반으로 하며 개별적으로 운영됩니다. 이러한 시스템은 직접 연결되지 않기 때문에 제어 방식이 컴퓨터 네트워크의 제어 방식과 다르며 멀웨어 및 랜섬웨어 공격을 비롯한 사이버 위험의 중첩을 피하기 위해 서로 다른 네트워크에 존재하는 경우가 많습니다.

취약성에 민감한 OT 자산은 악의적인 공격자에게 수익성이 높고 매력적인 결실이 될 수 있습니다. 패치가 공개적으로 게시되면 국가 취약점 데이터베이스를 통해 취약점이 식별됩니다. 해커들도 이러한 데이터베이스를 지속적으로 모니터링합니다.

ICS-CERT의 보안 업데이트는 ICS-CERT가 취약점을 발표할 때 이를 알려줄 수 있습니다. NVD는 한 주말 동안 거의 350개의 취약점을 공개했습니다. 이러한 취약점이 OT 조직에 영향을 미칠 수 있는 방법은 여러 가지가 있습니다.

배포 가이드가 OT/ICS 시스템에 충분하지 않은 이유는 무엇인가요?

패치 가용성은 운영 네트워크의 주요 관심사입니다. 많은 OT 디바이스가 제조업체의 단종(EOL) 날짜 이후에도 계속 운영되고 있으며, 그 이후에는 사용자가 원래 공급업체로부터 보안 업데이트를 더 이상 받지 못합니다. 

기능적 네트워크 엔지니어는 종종 다음과 같은 타사 소프트웨어 회사를 찾습니다. TuxCare와 같은 써드파티 소프트웨어 업체를 찾는 경우가 많은데, 이 업체는 Linux OS Kernel 패치에 대한 Lifecycle 연장 지원 프로그램을 통해 기업이 OS가 EOL에 도달한 후에도 몇 년 동안 보안 패치를 계속 받을 수 있도록 지원합니다.

패치 배포 우선 순위 지정하기

OT/ICS 환경에서 어떤 패치의 우선순위를 정해야 하는지 파악하는 것은 까다로울 수 있습니다. 일반적으로 CVSS 점수는 패치를 선택하는 데 필수적인 출발점이지만, 액세스 벡터, 액세스 난이도, 인증, 무결성, 가용성 등 여러 변수를 사용하여 생성됩니다. 

게다가 취약점 패치의 우선순위를 정할 때 CVSS 점수에만 의존하는 것은 최선의 접근 방식이 아닐 수 있습니다. 상황을 더욱 복잡하게 만드는 것은 산업 운영자 네트워크 엔지니어가 잠재적인 패치를 사용할 수 있게 되더라도 전체 OT 자산에 패치의 일부만 동시에 배포할 수 있다는 점입니다. 

운영 환경과 산업 조직은 다단계 접근 방식을 통해 OT 전용 환경에 대한 패치를 우선적으로 적용할 것을 권장합니다.

변경 관리 프로세스 내에서 임베디드 디바이스 패치 적용하기

IEC62443 은 OT/ICS 환경에 대한 변경 관리 구현을 요구합니다. OT 환경에서 패치를 배포하는 것은 환경 변화이자 매우 어려운 작업이라는 것을 이해합니다. 패치 및 펌웨어 업데이트 프로세스를 지속적으로 검토하여 디바이스와 조직에 대한 위험을 평가해야 합니다.

독점 시스템에도 패치 및 펌웨어 업데이트 순서가 있습니다. 펌웨어가 여러 단계에 걸쳐 다양한 구성 요소를 업데이트하기 위해 디바이스를 여러 번 재부팅해야 하는 경우도 있습니다. 중요한 디바이스의 경우 패치 또는 업그레이드를 해야 하는 경우가 많으며, 이 경우 시스템이 즉시 프로덕션 환경으로 돌아가지 않습니다. 

패치 관리 과제

패치를 적용할지 여부를 결정하려면 중단에 따른 이점과 이점을 비교 검토해야 합니다. 이점이 문제보다 크다면 패치를 실행하세요. 그러나 OT/ICS 디바이스의 경우 생산 중단은 운영 효율성과 전체 생산량에 큰 영향을 미칠 수 있습니다. 이러한 이유로 예정된 유지 보수 기간 동안 패치를 연기하는 인센티브가 있습니다.

반면에 시스템과 디바이스를 재시작할 준비가 될 때까지 보안 패치를 적용하기를 기다리면 조직이 취약해지고 규정 준수 태세가 위험에 처하게 됩니다.

TuxCare를 통한 디바이스 패치 자동화 

TuxCare의 실시간 패치 솔루션은 유지 보수 기간이나 다운타임을 기다릴 필요 없이 취약성을 신속하게 제거하여 Linux 시스템을 보호합니다. TuxCare를 사용하면 IT 팀은 모든 인기 있는 Linux 배포판에서 스테이징, 테스트 및 프로덕션을 통해 새로운 패치를 자동으로 적용할 수 있습니다.

TuxCare는 취약성 스캔, 보안 센서, 자동화, 취약성 관리 프로세스와의 통합, 보고 도구, ePortal 패치 배포 관리 플랫폼과의 완벽한 상호 운용성을 제공합니다. 이 전용 패치 서버는 온프레미스 또는 클라우드의 방화벽 내부에서 실행됩니다. TuxCare는 모든 유명 배포판에서 Kernel, 공유 라이브러리, 가상화 플랫폼, 오픈 소스 데이터베이스의 거의 모든 취약점을 실시간 패치할 수 있는 유일한 공급업체입니다.

TuxCare 전문가에게 문의

요약

기사 이름

레거시 OT 디바이스를 업그레이드하는 대신 패치를 사용하시나요?

설명

ICS/OT 디바이스에 대한 취약성 패치, 위협 환경 및 조직이 취약성 패치를 자동화하는 방법을 살펴보세요.

작성자

존 고멀리

게시자 이름

TuxCare

게시자 로고