자습서: 제로 트러스트 원칙을 사용하여 OT 네트워크 모니터링
제로 트러스트는 다음 보안 원칙 집합을 디자인하고 구현하기 위한 보안 전략입니다.
명시적으로 확인 | 최소 권한 액세스 사용 | 위반 가정 |
---|---|---|
항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. | JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. | 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다. |
Defender for IoT는 OT 네트워크 전체에서 사이트 및 영역 정의를 사용하여 네트워크 위생을 유지하면서 각 하위 시스템을 분리하고 안전하게 유지합니다.
이 자습서에서는 Defender for IoT 및 제로 트러스트 원칙을 사용하여 OT 네트워크를 모니터링하는 방법을 설명합니다.
이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.
Important
Azure Portal의 권장 사항 페이지는 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
필수 조건
이 자습서의 작업을 수행하려면 다음이 필요합니다.
Azure 구독의 Defender for IoT OT 계획
여러 클라우드에 연결된 OT 센서가 배포되어 트래픽 데이터를 Defender for IoT로 스트리밍합니다. 각 센서를 다른 사이트와 영역에 할당하여 각 네트워크 세그먼트를 분리하고 안전하게 유지해야 합니다. 자세한 내용은 Defender for IoT에 OT 센서 온보딩을 참조하세요.
다음 권한:
Azure Portal에 보안 관리자, 참가자 또는 소유자로 액세스할 권한이 있습니다. 자세한 내용은 Defender for IoT에 대한 Azure 사용자 역할 및 권한을 참조하세요.
관리자 또는 보안 분석가 사용자로 센서에 액세스합니다. 자세한 내용은 Defender for IoT를 사용한 OT 모니터링을 위한 온-프레미스 사용자 및 역할을 참조하세요.
서브넷 간 트래픽에 대한 경고 찾기
서브넷 간 트래픽은 사이트와 영역 간에 이동하는 트래픽입니다.
서브넷 간 트래픽은 내부 시스템이 다른 시스템에 알림 메시지를 보내는 경우와 같이 합법적일 수 있습니다. 그러나 내부 시스템이 외부 서버로 통신을 보내는 경우 통신이 모두 합법적인지 확인하려고 합니다. 나가는 메시지가 있는 경우 공유할 수 있는 정보가 포함되나요? 들어오는 트래픽이 있는 경우 보안 원본에서 들어오나요?
각 하위 시스템을 분리하고 안전하게 유지하기 위해 네트워크를 사이트 및 영역으로 분리했으며, 특정 사이트 또는 영역의 트래픽 대부분이 해당 사이트 또는 영역 내부로 유지될 것으로 예상할 수 있습니다. 서브넷 간 트래픽이 표시되면 네트워크가 위험한 상태임을 나타낼 수 있습니다.
서브넷 간 트래픽을 검색하려면 다음을 수행합니다.
조사하려는 OT 네트워크 센서에 로그인하고 왼쪽에서 디바이스 맵을 선택합니다.
맵 왼쪽의 그룹 창을 확장한 다음, 서브넷 간 연결필터링>을 선택합니다.
맵에서 디바이스 간의 연결을 볼 수 있도록 충분히 확대합니다. 특정 디바이스를 선택하여 오른쪽에 디바이스 세부 정보 창을 표시합니다. 여기에서 디바이스를 추가로 조사할 수 있습니다.
예를 들어 디바이스 세부 정보 창에서 활동 보고서를 선택하여 활동 보고서를 만들고 특정 트래픽 패턴에 대해 자세히 알아봅니다.
알 수 없는 디바이스에서 경고 찾기
네트워크에 있는 디바이스와 통신하는 디바이스를 알고 있나요? Defender for IoT는 OT 서브넷에서 검색된 새로운 알 수 없는 디바이스에 대한 경고를 트리거하므로 이를 식별하고 디바이스 보안과 네트워크 보안을 모두 보장할 수 있습니다.
알 수 없는 디바이스에는 네트워크 간에 이동하는 임시 디바이스가 포함될 수 있습니다. 예를 들어 임시 디바이스에는 서버를 유지할 때 네트워크에 연결하는 기술자의 노트북 또는 사무실의 게스트 네트워크에 연결하는 방문자의 스마트폰이 포함될 수 있습니다.
Important
알 수 없는 디바이스를 식별한 후에는 알 수 없는 디바이스의 의심스러운 트래픽으로 인해 추가 위험이 발생하므로 해당 디바이스에서 트리거되는 추가 경고를 조사해야 합니다.
권한이 없는/알 수 없는 디바이스 및 위험한 사이트와 영역을 확인하려면 다음을 수행합니다.
Azure Portal의 Defender for IoT에서 경고를 선택하여 클라우드에 연결된 모든 센서에서 트리거되는 경고를 확인합니다. 알 수 없는 디바이스에 대한 경고를 찾으려면 다음 이름으로 경고를 필터링합니다.
- 새 자산이 탐지됨
- 필드 디바이스가 예기치 않게 검색됨
각 필터 작업을 개별적으로 수행합니다. 필터 작업별로 다음을 수행하여 새로 고친 보안 정책이 필요할 수 있는 네트워크의 위험한 사이트 및 영역을 식별합니다.
사이트별로 경고를 그룹화하여 알 수 없는 디바이스별로 많은 경고를 생성하는 특정 사이트가 있는지 확인합니다.
표시되는 경고에 영역 필터를 추가하여 경고를 특정 영역으로 좁힐 수 있습니다.
알 수 없는 디바이스별로 많은 경고를 생성하는 특정 사이트 또는 영역은 위험에 노출됩니다. 알 수 없는 디바이스가 네트워크에 많이 연결되지 않도록 보안 정책을 새로 고치는 것이 좋습니다.
알 수 없는 디바이스의 특정 경고를 조사하려면 다음을 수행합니다.
자세한 내용을 보려면 경고 페이지의 오른쪽 창과 경고 세부 정보 페이지에서 경고를 선택합니다.
디바이스가 합법적인지 아직 확실하지 않은 경우 관련 OT 네트워크 센서에 대해 자세히 조사합니다.
- 경고를 트리거한 OT 네트워크 센서에 로그인한 다음, 경고를 찾아 경고 세부 정보 페이지를 엽니다.
- 맵 보기 및 이벤트 타임라인 탭을 사용하여 네트워크에서 디바이스가 검색된 위치 및 관련이 있을 수 있는 다른 이벤트를 찾습니다.
다음 작업 중 하나를 수행하여 필요에 따라 위험을 완화합니다.
- 동일한 디바이스에서 경고가 다시 트리거되지 않도록 디바이스가 합법적인 경우 경고를 알아봅니다. 경고 세부 정보 페이지에서 알아보기를 선택합니다.
- 합법적인 디바이스가 아닌 경우 차단합니다.
권한이 없는 디바이스 찾기
네트워크에서 탐지된 권한이 없는 새 디바이스를 사전에 조사하는 것이 좋습니다. 권한이 없는 디바이스를 정기적으로 확인하면 네트워크에 침투할 수 있는 악성 또는 잠재적으로 악의적인 디바이스의 위협을 방지하는 데 도움이 될 수 있습니다.
예를 들어 권한이 없는 디바이스 검토 권장 사항을 사용하여 모든 권한이 없는 디바이스를 식별합니다.
권한이 없는 디바이스를 검토하려면 다음을 수행합니다.
- Azure Portal의 Defender for IoT에서 권장 사항(미리 보기)을 선택하고 권한이 없는 디바이스 검토 권장 사항을 검색합니다.
- 비정상 디바이스 탭에 나와 있는 디바이스를 봅니다. 이러한 각 디바이스는 권한이 없으며 네트워크에 위험할 수 있습니다.
사용자가 디바이스를 알고 있는 경우 디바이스를 권한이 있음으로 표시하거나 조사 후에도 디바이스가 알 수 없는 상태로 유지되는 경우 네트워크에서 디바이스 연결을 끊는 등의 수정 단계를 따릅니다.
자세한 내용은 보안 권장 사항을 사용하여 보안 상태 향상을 참조하세요.
팁
권한 부여 필드를 기준으로 디바이스 인벤토리를 필터링하여 권한이 없는 디바이스를 검토할 수도 있습니다. 권한 없음으로 표시된 디바이스만 표시됩니다.
취약한 시스템 찾기
오래된 소프트웨어 또는 펌웨어를 사용하는 디바이스가 네트워크에 있는 경우 공격에 취약할 수 있습니다. 수명이 다하고 더 이상 보안 업데이트가 없는 디바이스는 특히 취약합니다.
취약한 시스템을 검색하려면 다음을 수행합니다.
Azure Portal의 Defender for IoT에서 통합 문서>취약성을 선택하여 취약성 통합 문서를 엽니다.
페이지 맨 위에 있는 구독 선택기에서 OT 센서가 온보딩되는 Azure 구독을 선택합니다.
통합 문서는 전체 네트워크의 데이터로 채워집니다.
아래로 스크롤하여 취약한 디바이스 및 취약한 구성 요소 목록을 봅니다. 네트워크의 이러한 디바이스 및 구성 요소는 펌웨어 또는 소프트웨어 업데이트처럼 주의가 필요하거나 더 이상 업데이트를 사용할 수 없는 경우 교체해야 합니다.
페이지 맨 위에 있는 SiteName 선택에서 하나 이상의 사이트를 선택하여 사이트별로 데이터를 필터링합니다. 사이트별로 데이터를 필터링하면 사이트 전체 업데이트 또는 디바이스 교체가 필요할 수 있는 특정 사이트에서 문제를 식별하는 데 도움이 될 수 있습니다.
악의적인 트래픽을 시뮬레이션하여 네트워크 테스트
특정 디바이스의 보안 상태를 확인하려면 공격 벡터 보고서를 실행하여 해당 디바이스의 트래픽을 시뮬레이션합니다. 시뮬레이션된 트래픽을 사용하여 취약성이 악용되기 전에 취약성을 찾아 완화합니다.
공격 벡터 보고서를 실행하려면 다음을 수행합니다.
조사하려는 디바이스를 탐지하는 OT 네트워크 센서에 로그인하고 왼쪽에서 공격 벡터를 선택합니다.
+ 시뮬레이션 추가를 선택하고 공격 벡터 추가 시뮬레이션 창에 다음 세부 정보를 입력합니다.
필드/옵션 설명 이름 의미 있는 시뮬레이션 이름(예: 제로 트러스트 및 날짜)을 입력합니다. 최대 벡터 디바이스 간에 지원되는 최대 연결 수를 포함하려면 20을 선택합니다. 디바이스 맵에 표시 선택 사항. 센서의 디바이스 맵에 시뮬레이션을 표시하려면 선택합니다. 그러면 나중에 더 자세히 조사할 수 있습니다. 모든 원본 디바이스 표시 / 모든 대상 디바이스 표시 시뮬레이션에서 탐지된 모든 디바이스를 가능한 원본 디바이스 및 대상 디바이스로 표시하려면 둘 다 선택합니다. 시뮬레이션에서 탐지된 모든 트래픽을 포함하려면 디바이스 제외 및 서브넷 제외를 비워 둡니다.
저장을 선택하고 시뮬레이션 실행이 완료되기를 기다립니다. 소요 시간은 센서에서 탐지한 트래픽 양에 따라 달라집니다.
새 시뮬레이션을 확장하고 탐지된 항목을 선택하여 오른쪽에서 자세한 내용을 봅니다. 예시:
특히 다음 취약성을 찾습니다.
취약점 설명 인터넷에 노출된 디바이스 예를 들어 이러한 취약성은 인터넷 연결로 인한 외부 위협에 노출됨이라는 메시지와 함께 표시될 수 있습니다. 열린 포트가 있는 디바이스 열린 포트는 원격 액세스에 합법적으로 사용될 수 있지만 위험할 수도 있습니다.
예를 들어 이러한 취약성은 원격 데스크톱을 사용하여 TeamViewer 허용 원격 액세스를 사용하는 허용된 원격 액세스와 유사한 메시지와 함께 표시될 수 있습니다.서브넷을 교차하는 디바이스 간 연결 예를 들어 디바이스 간에 직접 연결이라는 메시지가 표시될 수 있으며, 이는 자체적으로 허용될 수 있지만 서브넷을 교차하는 컨텍스트에서는 위험할 수 있습니다.
사이트 또는 영역당 탐지된 데이터 모니터링
Azure Portal의 다음 위치에서 사이트 및 영역별로 Defender for IoT 데이터를 봅니다.
디바이스 인벤토리: 사이트 또는 영역별로 디바이스 인벤토리를 그룹화하거나 필터링합니다.
경고: 사이트별로만 경고를 그룹화하거나 필터링합니다. 사이트 또는 영역 열을 그리드에 추가하여 그룹 내에서 데이터를 정렬합니다.
통합 문서: Defender for IoT 취약성 통합 문서를 열어 사이트당 검색된 취약성을 확인합니다. 조직에서 사이트 및 영역별로 더 많은 데이터를 볼 수 있도록 사용자 지정 통합 문서를 만들 수도 있습니다.
사이트 및 센서: 사이트 또는 영역별로 나와 있는 센서를 필터링합니다.
주의할 샘플 경고
제로 트러스트를 모니터링할 때 다음 목록은 주의해야 할 중요한 Defender for IoT 경고의 예입니다.
- 네트워크에 연결된 권한이 없는 디바이스, 특히 악의적인 IP/도메인 이름 요청
- 알려진 맬웨어가 검색됨
- 인터넷 무단 연결
- 권한이 없는 원격 액세스
- 네트워크 검색 작업이 검색됨
- 무단 PLC 프로그래밍
- 펌웨어 버전 변경
- "PLC 중지" 및 기타 잠재적으로 악의적인 명령
- 디바이스 연결이 끊어진 것으로 의심됨
- 이더넷/IP CIP 서비스 요청 실패
- BACNet 작업 실패
- 잘못된 DNP3 작업
- 권한이 없는 SMB 로그인
다음 단계
모니터링 결과에 따라 또는 시간이 지남에 따라 조직의 사용자 및 시스템이 변경됨에 따라 네트워크 구분을 변경해야 할 수 있습니다.
사이트 및 영역의 구조를 수정하고 사이트 기반 액세스 정책을 다시 할당하여 항상 현재 네트워크 현실과 일치하도록 합니다.
기본 제공 Defender for IoT 취약성 통합 문서를 사용하는 것 외에도 사용자 지정 통합 문서를 더 많이 만들어 지속적인 모니터링을 최적화합니다.
자세한 내용은 다음을 참조하세요.