Categories
산업 자동화와 스마트 제조의 물결과 함께 OT(운영 기술) 환경에서의 사이버보안에 대한 수요가 날로 증가하고 있습니다. 과거에는 OT 도메인 네트워킹가 IT 도메인 네트워킹와 상대적으로 격리되어 있어 OT 시스템의 배포, 채택 및 설계 단계에서 기능성과 안정성에 주로 초점을 맞추었으며, 보안 위협에 대한 고려는 적었습니다. 많은 환경에서 보안 위협은 측정조차 되지 않았습니다. 그러나 네트워크 데이터 교환이 더욱 복잡하고 빈번해짐에 따라 OT 환경의 다양한 OT 장치가 더 넓은 네트워킹에 점점 더 많이 연결되고 있습니다. IoT 장치, 스마트 제조 모니터링 및 분석 시스템의 채택으로 인해 OT 환경에서 적절한 보안 메커니즘이 부족하면 기존 OT 장비, 생산 라인 서버, 산업용 컴퓨터 및 기계가 사이버 위협에 노출될 수 있습니다. 이러한 취약점는 악의적인 공격의 대상이 되거나 보안 침해의 진입점이 되어 OT 환경 내 다른 기계로 감염이 확산되어 비즈니스 중단 및 재정적 손실을 초래할 수 있습니다.
이 기사는 QNAP QGD-1602P 보안 네트워킹 스위치를 예로 들어 OT 도메인에서 독립적이고 안전한 기초 보안 보호 환경을 구축하는 방법을 설명하며, 산업용 컴퓨터 환경, 생산 라인 네트워크 및 기타 네트워킹를 물리적으로 격리합니다. 배포 접근 방식은 IT 및 보안 인력이 쉽게 유지 관리할 수 있도록 설계되었습니다.
사이버 보안 관점에서 OT 도메인은 다음과 같은 특성과 과제를 제시합니다:
- 고가용성 요구사항:장비와 시스템은 24/7 연속적으로 작동해야 하며, 사이버 공격으로 인한 중단으로부터 보호가 필요합니다. 이는 상당한 손실을 초래할 수 있습니다.
- 독점 프로토콜 및 시스템:많은 산업용 통신 프로토콜(예: Modbus, PROFINET 등) 및 산업 제어 시스템은 성숙한 사이버 보안 보호 조치를 갖추고 있지 않습니다.
- 실시간 모니터링 및 경고 메커니즘 부족:많은 공장 네트워킹 관리 시스템은 여전히 전통적인 프레임워크 내에서 운영되며, 비정상적인 행동이나 맬웨어 위협을 감지할 수 있는 실시간 모니터링 및 경고 메커니즘이 부족합니다.
따라서 OT 네트워크 계층에서 맬웨어 프로그램 탐지 및 장치 행동 모니터링 기능을 갖춘 스위치를 도입하면 OT 보호 기능을 크게 향상시킬 수 있습니다. 이는 악의적인 활동을 실시간으로 차단하여 위협을 특정 네트워크 포트 또는 지정된 영역, VLAN으로 자동으로 격리할 수 있게 하여 OT 환경 내 다양한 시스템의 안정성과 보안을 보장합니다.
우리는 실제로 OT 환경에서 QNAP QGD-1602P 보안 네트워킹 스위치를 배포하고 다른 2.5G 및 1G 네트워크 스위치에 연결하여 환경 내 장치의 운영 상태를 분석했습니다.
장치의 시스템 구성 및 설치를 위해 전원을 켜기 전에, 하드 드라이브 및 SSD를 먼저 이 장치에 설치해야 합니다. 이 장치는 NAS 및 보안 네트워크 스위치로 모두 작동합니다. 주요 이점 중 하나는 모든 보안 관련 소프트웨어 및 로그 파일을 이 장치의 NAS 섹션에 직접 저장하여 로그 집계를 할 수 있다는 것입니다. 그런 다음 이러한 로그를 다른 보안 로그 수집 장치(예: LogMaster 또는 기타 장치, QNAP NAS의 WORM 영역 등) 및 Wazuh와 같은 SIEM(보안 정보 및 이벤트 관리) 플랫폼으로 전달할 수 있습니다.
초기 설치 중에 QNAP Qfinder 소프트웨어를 사용하여 장치를 감지할 수 있으며, 이를 통해 네트워크에서 위치를 찾을 수 있습니다. 이는 ADRA 보안 제품 라인으로 분류되며, 내장된 ADRA 사이버 보안 기능을 제공합니다.
시스템 설치 페이지에 액세스할 때 스마트 설치를 진행하거나 다른 펌웨어 버전을 선택하여 설치할 수 있는 옵션이 제공됩니다. 이는 이 장치가 ADRA 보안이 활성화된 펌웨어 또는 표준 QNAP QTS 운영 체제로 작동할 수 있기 때문입니다.
현재 버전을 예로 들어, QNE ADRA 버전이 기본적으로 설치될 수 있으며, 이 시스템에 다른 펌웨어 버전을 수동으로 업로드할 수도 있습니다.
QTS 시스템을 사용하는 경우 설치할 버전을 선택할 수도 있습니다.
이것은 QNE ADRA로 전환하는 화면입니다. 확인을 선택하면 설치 프로세스가 확인되고 진행됩니다.
이 장치는 독립 모드 또는 클라우드 관리 모드로 작동할 수 있습니다. OT 환경에서는 독립 모드를 사용하더라도 장치가 인터넷에 연결되어 업데이트 및 경고 기능이 제대로 작동할 수 있습니다. 그러나 OT 환경 정책이 외부 인터넷 액세스를 제한하거나 방화벽을 통해 업데이트를 위한 인터넷 연결만 허용하는 경우, 일반적으로 독립 모드를 선택하여 작동하는 것이 좋습니다. 클라우드 관리 모드의 경우, 클라우드를 통해 장치를 편리하게 관리할 수 있으며, 이 모드는 인증을 위해 QNAP AMIZ 클라우드 조인 키가 필요하며, 안전한 원격 관리를 보장하기 위해 강력한 보안 메커니즘을 통합합니다.
계정과 비밀번호를 설정한 후 설치 및 구성을 진행할 수 있습니다.
QGD 장치의 기본 관리 인터페이스입니다.
장치의 클라우드 연결 메커니즘 상태를 보려면 myQNAPcloud를 클릭하십시오. 클라우드 관리 모드를 사용하지 않으려면 독립 모드로 스위치하여 독립적으로 작동할 수 있습니다.
이 유형의 장치를 구성할 때 OT 환경에서 가장 중요한 측면은 사이버보안 경고 기능입니다. 이메일, SMS, 인스턴트 메시징(IM) 또는 웹페이지 푸시 서비스를 통해 보안 경고 알림을 받을 수 있도록 선택하여 잠재적 위협을 적시에 인식할 수 있습니다.
알림 방법을 선택한 후 알림 규칙을 구성할 수 있습니다. 고위험 위협 이벤트에 대한 경고를 활성화하는 것이 권장되며, 중위험, 저위험 이벤트 및 기타 정보는 특정 요구와 상황에 따라 알림을 구성할 수 있습니다.
경고 규칙과 수신자 이메일 주소를 구성한 후 알림 설정이 완료됩니다.
맬웨어 프로그램 탐지 및 행동 모니터링 기능을 갖춘 스위치 기능
1.심층 패킷 검사(DPI)
전통적인 스위치는 주로 레이어 2(L2) 또는 레이어 3(L3) 네트워킹 교환을 처리하며, 산업 프로토콜이나 애플리케이션 계층에 대한 심층 분석을 수행할 수 없습니다. 그러나 맬웨어 프로그램 탐지 기능을 갖춘 스위치는 일반적으로 내장된 DPI(심층 패킷 검사) 엔진을 갖추고 있어 네트워크 트래픽을 알려진 맬웨어 서명과 비교하여 식별할 수 있습니다. QNAP의 솔루션은 ADRA NDR(네트워크 탐지 및 대응) 보안 기능을 통합하여 주기적으로 위협 데이터베이스를 업데이트하여 다음 작업을 수행합니다:
- 파일 서명 분석(맬웨어 서명).
- 프로토콜 패킷에 알려진 취약점 또는 공격 행동이 포함되어 있는지 확인합니다.
DPI는 산업 전용 프로토콜을 감지할 수 있으며, 의심스러운 패킷이나 비정상적인 데이터 전송이 발견되면 경고를 트리거하거나 고급 검사를 수행하여 OT 영역 내에서 악성 파일이 횡적으로 확산되는 것을 방지합니다.
2. 행동 모니터링 및 장치 식별
맬웨어 탐지 외에도 스위치는 다음과 같은 행동 모니터링을 수행할 수 있습니다:
- 장치 상태 모니터링: 갑작스러운 트래픽 급증 또는 감소, 비정상적인 패킷 유형과 같은 비정상적인 네트워킹 행동을 감지하고 즉시 이상을 보고합니다.
- 비정상 로그인 및 사용자 권한 모니터링: 지속적인 로그인 실패 시도, 비정상적인 소스 IP/사용자 계정을 모니터링하고 경고를 트리거하거나 액세스를 차단합니다.
3. 실시간 경고 및 시각화
산업 네트워크 관리자는 종종 실시간 생산 환경 상태를 필요로 합니다. 따라서 실시간 경고 및 데이터 시각화 기능을 갖춘 스위치는 필수적입니다:
- 실시간 이벤트 알림: 맬웨어 파일이나 비정상적인 로그인 시도가 감지되면 즉시 이메일, SMS, 인스턴트 메시징(IM) 또는 웹 푸시 알림을 통해 경고가 전송되어 관리자가 지체 없이 대응 조치를 취할 수 있습니다.
- 시각화된 대시보드: 장치 간 연결 상태, 트래픽 추세 및 경고 이벤트를 그래픽 형식으로 표시하여 관리자가 의심스러운 영역을 빠르게 식별할 수 있도록 합니다.
4. 유연한 배포 및 통합
OT 환경은 일반적으로 복잡한 구조와 높은 시스템 다운타임 비용을 가지고 있습니다. 맬웨어 탐지 및 행동 모니터링 기능을 갖춘 스위치는 다음과 같은 방식으로 통합되거나 배포될 경우 배포 장벽을 크게 줄일 수 있습니다:
- 기존 시스템과의 통합: 주류 산업 통신 프로토콜 및 기존 장비와 호환되어 기존 네트워킹 구조나 장비의 업데이트 필요성을 최소화합니다.
- 점진적 배포: 초기에는 중요한 지점(예: 고보안 장치 앞)에 구현하고, 그런 다음 전체 공장으로 점진적으로 확장합니다.
QGD 시스템 인터페이스의 보안 센터에 액세스하면 장치 자체의 현재 보안 위험 상태를 볼 수 있습니다. 이 평가는 OT 환경 내 모니터링된 장치에는 적용되지 않으므로, 시스템에서 제안하는 최소 수준으로 장치의 보안 위험을 줄이는 것이 권장됩니다.
QGD의 제어판에서 모든 ADRA NDR 네트워킹 엔드포인트 보안 보호 기능을 최신 버전으로 업데이트하는 것을 우선시할 수 있습니다.
이 제품 시리즈의 가장 중요한 구성 요소인 QNE 보안 네트워크 스위치는 Network Manager를 통해 관리형해야 합니다. 이 장치는 NAS 및 네트워크 스위치로 작동하므로 네트워크 스위치는 자체 운영 체제 펌웨어를 가지고 있으며, 정기적으로 업데이트해야 합니다.
QuNetSwitch 시스템 인터페이스에서 연결된 포트의 상태 표시기를 볼 수 있습니다. 왼쪽에서는 네트워크 관리자가 포트 관리, PoE(이더넷을 통한 전력 공급), VLAN 및 기타 일반적인 표준 설정 기능과 같은 친숙한 네트워크 스위치 구성 기능에 액세스할 수 있습니다.
이 제품의 가장 중요한 핵심 기능은 ADRA NDR 네트워킹 엔드포인트 보호입니다. 이 페이지에 액세스하면 위협 분석 탭으로 이동하여 맬웨어 활동, 해커 로그인 시도 및 OT 네트워크 환경에서 발생하는 기타 보안 사건을 기록하고 설명을 제공합니다. 시스템에 의해 잘못 식별된 정상적인 행동이 나열된 경우 제외할 수 있습니다. 신중한 분석이 권장됩니다.
보안 위협에서 시각화된 차트는 OT 네트워크 내 다양한 위험의 추세 분석과 함께 주요 위협 소스 장치 IP를 표시합니다.
OT 네트워크의 위험 관리에 있어 관리자는 문제 장치를 계속 모니터링하거나 격리하여 횡적 연결을 방지하고 OT 환경 내 잠재적인 사이버 보안 위협을 완화할 수 있습니다.
ADRA NDR에서 장치 목록이 표시되어 관리자가 각 장치에 대해 다른 작업을 구성할 수 있습니다.
보안 위협 분석에서 이 OT 장치의 위협 데이터에 액세스할 수 있습니다.
시각화된 데이터는 장기적으로 추적할 수 있습니다.
OT 영역에 제공되는 주요 보호 메커니즘
1. 맬웨어 변조 및 횡적 확산 방지
OT 환경은 높은 시스템 안정성을 요구하므로 랜섬웨어, 트로이 목마 또는 웜과 같은 공격은 생산 라인을 마비시킬 뿐만 아니라 상당한 안전 위험과 재정적 손실을 초래할 수 있습니다.
- 맬웨어 차단: 내장된 맬웨어 탐지 기능을 갖춘 스위치는 악성 파일이 엔드포인트 장치로 전송되기 전에 차단하여 전체 공장 네트워크에 확산되는 것을 방지할 수 있습니다.
- 신속한 사건 보고: 의심스러운 파일이나 연결이 감지되면 시스템이 즉시 관리자에게 알림을 보내 위협에 대한 대응 처리 시간을 개선할 수 있습니다.
2. 무단 또는 악의적인 로그인 방지
OT 시스템 내 장치가 해커 로그인에 의해 손상되면 그 결과는 치명적일 수 있습니다.
- 로그인 행동 모니터링: 심층 트래픽 및 패킷 검사를 활용하여 스위치는 비정상적인 로그인 활동을 효과적으로 식별할 수 있습니다. 예를 들어, 비정상적인 IP 주소, 비정상적인 대규모 연결 포트 스캔 또는 과도한 로그인 실패 시도 등이 있습니다.
3. 전체 보안 가시성 및 준수 강화
내장된 맬웨어 탐지 및 행동 모니터링 기능을 갖춘 스위치를 구현하면 보안 보호를 강화할 뿐만 아니라 도움말 제조업체가 IEC 62443와 같은 다양한 산업 보안 준수 요구 사항을 더 잘 충족할 수 있습니다.
- 로그 및 감사 기능: 스위치는 포괄적인 트래픽 로그 및 경고 이벤트 보고서를 제공하여 관리자와 감사자가 중요한 네트워크 활동을 추적할 수 있도록 합니다. 이는 국제표준화기구(ISO) 27001 구현, 내부 감사, 써드파티 외부 감사 또는 공급망 보안 감사와의 준수를 향상시킵니다.
4. 실용적인 배포 권장 사항
핵심 자산 및 고위험 영역 식별
우리는 일반적으로 OT 영역 내에서 중요한 장비, 예를 들어 생산 라인 제어 장치 및 중요한 서버와 외부 연결 위협에 취약한 노드를 식별하는 것으로 시작합니다. 다음 단계는 고위험 영역에서 스위치의 배포 또는 교체를 우선시하는 것입니다. 예를 들어, 전통적인 스위치를 QGD-1602P로 교체하는 것은 매우 실용적인 접근 방식입니다. 이 업그레이드는 기존 운영을 방해하지 않고 OT 장비 보호를 강화하며 동시에 트래픽과 행동을 모니터링하고 기록을 유지합니다. 이는 향후 사이버 보안 준수에 이점을 제공하고 네트워크 관리자의 부담을 줄입니다.
단계별 배포 및 검증
생산 또는 테스트 환경에서 소규모 배포로 시작하여 트래픽, 성능 및 안정성에 미치는 영향을 관찰합니다. 모니터링, 탐지 및 경고 기능이 올바르게 작동하는지 확인한 후 점진적으로 전체 OT 영역으로 확장합니다.
좋은 로그 관리 및 경고 대응 프로세스
고급 맬웨어 탐지 및 행동 모니터링 기능이 있더라도 잘 정의된 경고 대응 프로세스와 적절한 로그 관리 및 분석 도구가 없으면 시스템은 최대한의 잠재력을 발휘할 수 없습니다.
IT 부서와의 협력
OT와 IT의 요구 사항은 완전히 동일하지 않지만, OT는 일반적으로 안정성을 우선시하여 빈번한 시스템 업데이트나 OT 작업 영역에 영향을 미칠 수 있는 복잡한 환경 구현을 피합니다. 대부분의 경우 OT 시스템은 다운타임을 감당할 수 없습니다. 반면 IT는 더 적시의 업데이트가 필요하며, 사용자 측에서의 연결 끊김이나 재부팅이 더 수용 가능합니다. 그러나 OT에서는 그렇지 않습니다.
산업용 컴퓨터 OT 환경에서 전통적인 스위치는 주로 데이터 전송 장치로 작동합니다. 그러나 오늘날의 증가하는 보안 위협의 복잡성으로 인해 장비 및 네트워크 계층에서 맬웨어 탐지 및 장치 행동 모니터링 기능을 갖춘 스위치를 구현하면 랜섬웨어, 트로이 공격 및 무단 액세스에 대한 보호 기능을 크게 강화할 수 있습니다.
이러한 유형의 스위치는 가장 기본적인 패킷 검사 및 행동 비교에서 시작하여 실시간 경고 및 시각화된 정보를 결합하여 이전 솔루션에 비해 OT 환경에 우수한 보안 보호를 제공합니다. 이것이 QNAP의 QGD 시리즈의 주요 이점입니다.
