보안 사고 및 기능 오류에 대한 전체적인 솔루션

업계에는 아직도 사이버 보안을 IT와 OT(운영 기술)만의 문제라고 여기는 조직이 많습니다. 사이버 보안만 따로 다룰 때도 많습니다. 유틸리티 IT 부서가 구조적, 기능적인 측면에서 보호 부서 및 SCADA 부서와 다른 것은 사실이지만 융합의 필요성은 갈수록 중요해지고 있습니다. 사이버 위협이 늘어나고 또 강해지고 있는 이 때 구조적 변화는 더 이상 고려의 대상이나 선택 사항이 아닙니다. 오히려 이 두 분야의 융합은 반드시 달성해야 할 목표입니다.

효과적인 보안을 위해서는 공동 교육과 공통 용어 플랫폼을 통한 사이버 보안 전문가, OT 엔지니어 및 지원 부서 직원간의 통합이 필요합니다.

Omicron의 StationGuard 솔루션

OMICRON 팀은 OT 환경을 관리하는 고유 프로세스를 도입하고 이것을 위협적인 데이터와 기능적 문제를 식별, 수집 및 상호 연결하는 기능과 연계하여 중앙 관리 시스템을 구현했습니다. 본 관리 시스템은 IT 엔지니어 및 발전기 엔지니어 모두의 요구를 충족시키기 위해 개발되었습니다.

"이제는 IT 팀과 OT 팀을 융합할 때입니다."

- Amro Mohamed, 지역 사이버 보안 영업 전문가

StationGuard Intrusion Detection System(IDS)은 금지되었거나 잠재적으로 위험한 트래픽을 제어센터, 변전소 및 발전소 시스템에서 모두 탐지합니다. 예를 들면, 엔지니어링 파일을 가져와서 자동으로 통신 권한을 생성하고 목적에 따라 장치에 역할을 할당할 수 있습니다. 그런 다음 StationGuard는 범주, 소스, 대상 및 간단한 설명, 사건이 발생한 대략적인 시점을 모두 표시하는 경고를 트리거합니다.

이벤트의 경고를 제대로 이해하기 위해서는 보안 관리자와 발전기 엔지니어가 협업할 필요가 있습니다. 변전소, 발전기 또는 제어센터 담당 엔지니어만이 각각의 장치가 해야할 일과 하지말아야 할 일을 알고 있습니다. Omicron 솔루션이 제공하는 설명은 전력망에 발생한 문제의 실제 원인을 훨씬 더 잘 추적한다는 점에서 기타 솔루션과 크게 차별화됩니다. 그 결과, 보안 엔지니어와 IT 전문가가 문제점과 관련 장치에 대해서 논의할 때 상대를 더 잘 이해하여 더 효율적인 의사소통이 가능합니다.

이 링크에서 StationGuard 솔루션 및 그 기능의 모든 이점을 알아보십시오.

StationGuard

StationGuard 솔루션만의 특징을 살펴보겠습니다. 발전소나 변전소에서 멀웨어와 통신하는 잘못된 히스토리언 데이터베이스 서버의 시나리오를 예로 생각해 보겠습니다.

OMICRON 솔루션은모든사고에대해다음질문에답할수있습니다.

시스템에서 발생한 보안 사고는 무엇입니까?

GridOps 경고 대시보드부터 살펴보겠습니다. "Munich North”라는 명칭의 변전소에 설치된 StationGuard IDS 센서가 보고한 경고를 살펴보겠습니다.

StationGuard 솔루션의 핵심적인 부분은 GridOps 경고 대시보드입니다. 대시보드의 주된 기능은 시스템에서 무슨 일이 일어났는지 요약해 보여주는 것입니다.

StationGuard 솔루션은 센서 단위 보기로 아래와 같이 특정 경고 및 해당 네트워크 환경을 자세히 조사합니다.

대시보드를 사용하면 전력망 수준 개요부터 발전소, 변전소 또는 제어센터 수준까지 확인할 수 있습니다. 이를 통해 특정 경고를 명확하게 파악할 수 있습니다.

모든 경고가 상황에 맞게 설정되어 있기 때문에 이벤트의 성격을 이해하고 사고를 방지하기 좋습니다.

StationGuard IDS가 비정상적인 활동을 탐지하고 이를 보고했습니다. HMI가 스테이션의 라우터를 통해 비정상적인'Socks' 네트워크 트래픽을 보냈습니다. 변전소 관점에서 보면, HMI와 라우터 간의 통신이 WAN으로 연결되어 있는 것을 확인할 수 있습니다. 기록 데이터베이스는 라우터 뒤에 있습니다. 이 관점에서 보면 라우터가 행위자입니다.

네트워크 수준의 IDS 센서 대시보드와 당사 고유의 네트워크 시각화를 확인하면 보안 및 기능 문제를 실시간으로 조사할 수 있습니다. 이는 IT와 OT 전문가 모두에게 유용합니다. 이벤트 로그의 메시지 세부 정보는 관련 장치, MAC/IP 주소, 사용된 응용 프로그램, 프로토콜 등에 대한 추가 정보를 제공합니다.

참고: HMI와 외부 이력 데이터베이스를 연결하는 것은 매우 흔한 일입니다. 본 시스템에서는 이 연결이 MySQL을 기반으로 하고 있기 때문에 HMI에 대한 MySQL 연결이 허용 목록에 있습니다. 통신이 동일한 포트 번호를 사용하는 Socks 연결로 변경된 이후 이 권한이 위반되었습니다. HMI 및/또는 외부 이력 데이터베이스에 존재하는 악성 응용프로그램이 그 원인일 수도 있습니다.
StationGuard가 행위자(라우터) 또는 피해자(HMI) 관련 정보를 경고에 표시할 때마다 장치의 현재 명칭 및 가장 많이 식별된 OSI 레이어가 경고 메시지에 표시됩니다. 여기서는 "Socks" 응용프로그램이 확인되었습니다. "Socks"는 타사 장치를 통해 통신을 리디렉션하여 방화벽을 통한 통신을 지원하는 프록시 응용프로그램입니다. 이는 IT 환경에서는 유용할 수도 있지만 공격자가 터널을 만들어 데이터를 탈취하거나 명령 및 제어 서버에 대한 연결을 설정하는 데 쓰이기도 합니다. 이 기술은 2016년 우크라이나 "Industroyer" 사이버 공격에도 사용되었을 가능성이 있습니다.

보안 이벤트는 언제 발생했습니까?

모든경고는대략적인이벤트발생시점을알려주며활동에대한추가정보와함께마지막으로업데이트된시간을표시합니다. 따라서후자의타임스탬프는일반적으로활동한기간을의미합니다. 장치간통신시에는 100만분의1초가되기도하고스위치기어명령등에서는수십초가되기도합니다.

시스템에서 경고가 발생한 시간 2022-05-10 19:43:01.607 UTC offset +03:00.

엔지니어가 유지보수 또는 루틴 테스트를 위해 현장에 있을 때 경고가 꽤 자주 발생합니다. 세부 정보에는 경고가 정상 운영 중에 발생했는지 또는 유지보수 중에 발생했는지도 표시됩니다.

이 활동의 경우에는 정상적인 운영 중에 발생했습니다. 이벤트 발생시 현장에는 엔지니어 팀이 없었습니다. 따라서, "유지보수 중 발생"이 "아니오"로 설정되었습니다.

네트워크 접속에서 이벤트가 발생한 위치는 어디입니까?

특히 GridOps는 자산 재고 대시보드가 제공되기 때문에 전력망을 속속들이 파악할 수 있습니다. 네트워크 다이어그램은 아래 매핑에 표시된 대로 Purdue level 2에 해당하는 Station control level에서 행위자와 피해자 모두가 발견되었다는 뜻입니다.

GridOps 경고 대시보드에 표시되는 경고는 실시간 자산 재고 및 토폴로지 매핑을 사용하여 사건의 소스 및 사건이 발생한 사이트에 대한 정보를 제공합니다.

누가 이벤트에 관련되었습니까?

StationGuard는 허용 목록 접근법을 사용하여 의심스럽거나 금지된 트래픽을 탐지하기 때문에 애초에 변전소 내 모든 장치의 통신을 일일이 정의하고 승인했습니다.

해당 정보는 엔지니어링 도구에서 내보낼 수 있는 IEC 61850 SCD(변전소 구성 설명) 또는 네트워크 엔지니어링을 문서화 한 스프레드시트에서 StationGuard로 가져올 수 있습니다.

경고는 해당 트래픽이 승인받지 않았다는 뜻입니다. 이벤트에 연루된 내부 행위자를 찾아봅니다. 행위자의 IP 주소는 192.168.1.123이며 대상의 IP 주소는 192.168.1.200입니다.

GridOps는 보안 관리자, 보호 및 SCADA 엔지니어 간의 효율적인 의사소통을 위해서 단순히 IP 주소만 표시하는 것이 아니라 각 설비의 엔지니어링 명칭을 표시합니다. 이러한 엔지니어링 명칭은 엔지니어링 파일과 스프레드시트에서 가져올 수 있습니다.

StationGuard에서 발생하는 경고는 모두 이벤트 발생의 이유 또는 원인 , 관련 설비의 유형, 행위자가 누구인지, 누가 대상(들)인지를 강조하여 회사에 알려줍니다.

그러면 전압 수준, 베이 그리고 이벤트와 관련된 설비의 명칭을 손쉽게 확인할 수 있습니다.

보안 사고는 어떻게 진행되었습니까?

MySQL 연결에 사용된 동일한 포트(TCP 포트 3306)에 공격자가 Socks 프록시 연결을 시도했음을 발견했습니다.

StationGuard에서 발생하는 경고는 모두 활동의 성격, 활동이 수행된 방법 및 해당 활동을 유발하기 위해서 행위자가 어떻게 했는지 알려줍니다. 한 이벤트는 그 원인이 하나일 때도 있지만 대부분은 복수의 활동이 연루됩니다.

IDS가 처음에 경고를 표시한 이유는 무엇입니까?

몇 가지 남아있는 질문:

IDS가 여기에 경고를 발생시킨 이유는 무엇입니까?
어떤 통신 권한 또는 정책에 반합니까? 통신 권한이 이렇게 설정된 이유는 무엇입니까?
이것이 소스 장치의 합법적인 통신이 아닌 이유는 무엇입니까?

StationGuard는 어떤 통신이 허용되는지 눈으로 보여줍니다. 그 통신은 모두 기본으로 금지됩니다. HMI와 이력 데이터베이스 서버 간에 라우터를 통해 연결하는 것이 허용되어 있음을 알 수 있습니다. 또한, "MySQL" 응용프로그램은 해당 연결에 대해 허용 목록에 포함되어 있습니다. 더 이상 MySQL이 아니기 때문에 경고가 발생했습니다.

실제로, StationGuard 도움말은 이벤트의 원인이 됐을 법한 문제에 관한 정보를 제공합니다. 앞서 언급한 모든 왜-질문의 해결을 위한 단계별 지침이 여기 나와 있습니다. 경고가 조사의 출발점입니다. 여기서 가장 관심있는 질문은 다음과 같습니다.
Q: 새로운(서버 측) 포트 번호 서비스에 대한 다른 연결입니까 아니면, 동일한 연결의 응용프로그램이 변경된 것입니까?
A: 이 경우는 후자에 해당합니다. 대상 포트 번호는 동일하지만 애플리케이션 계층이 MySQL에서 Socks로 변경되었습니다. 이 활동은 의심스러워 보입니다.
Q: 상응하는 장치에 모두 올바른 역할이 할당되었습니까? 이 장치에 이전에는 사용하지 않았던 기능이 있습니까?
A: 이 질문에 답변하려면 장치 및 장치의 목적에 대한 OT 지식이 필요합니다. HMI에서 나가는 연결은 데이터베이스 연결 외에는 허용되지 않는다고 담당 OT 엔지니어가 확인했습니다.

그렇다면 이제 해당 활동이 HMI의 악성 코드에 의해 발생했을 수 있다고 의심할 수 있습니다. StationGuard는 사건마다 네트워크 캡처를 기록합니다. 이 증거를 캡처해서 HMI 제공업체에 연락합니다.

애초에 사건이 발생할 수 있었던 이유를 정확히 찾아내는 데에 경고 컨텍스트가 도움이 됩니다. 이 정보는 여러 단계에서 도움이 됩니다. 보안 통제 결함 및 자산 취약성 평가, 완충 전략 식별 단계 등이 예가 될 수 있습니다.

위 예에서는 가능한 응답 체인을 문서화했습니다. HMI로 인해 변전소에서 발생한 의심스러운 동작의 탐지, 해당 HMI 장치에서 악성 프로그램 감염 추적 등이 대표적입니다. 이 문서에는 StationGuard를 GridOps와 함께 사용하여 전력망 OT 네트워크의 의심스러운 동작을 단일 애플리케이션에서 탐지, 추적, 시각화 및 분석하는 방법이 수록돼 있습니다. 보안 사건의 배경이 되는 누가, 언제, 어디서, 무엇을, 어떻게, 왜를 판단할 때 Omicron의 통합 인터페이스를 이용하면 IT 담당자와 OT 전문가 간의 효율적인 협업이 가능해져 시너지를 극대화할 수 있습니다.

GridOps 구성요소를이용한 StationGuard 업그레이드

GridOps는 StationGuard의 구성 요소로서 최초 릴리스 시 보안 운영과 자산 재고 기능을 필두로 디지털 전력망에서 일어나는 여러 운영 작업을 전체적으로 파악할 수 있는 중앙 솔루션입니다. GridOps는 보안 경고 분석부터 자산 재고, 취약점 관리까지 보호 엔지니어와 IT 전문가를 하나로 아우르는 원팀 응용프로그램입니다. IT 보안 담당자는 이를 통해 보완된 OT 지식을 활용하여 전력망의 사이버 보안을 확인할 수 있고 OT 엔지니어는 친숙한 환경에서 사이버 보안 운영에 참여할 수 있습니다.

GridOps 주요 기능
GridOps는 전력망 보안 운영에 도움이 되는 강력한 기능이 특징입니다. 제공하는 기능은 다음과 같습니다.