차세대 엔드포인트 보안 전략과 OT/ICS 환경 산업용 보안의 카스퍼스키 해법
- 카스퍼스키 보안 전략
- 카스퍼스키 차세대 앤드포인트 보안 (EDR Optimum)
- OT 보안 컨설팅 사례 및 규제 동향
- 산업용 보안의 카스퍼스키 해법
OT 보안에 대한 전반적인 카스퍼스키랩의 전략.
차단 뿐만 아니라 위협이 발생했는지 알 수 있게 조치 할 수 있는것을 알림. OT 보안과 산업용 보안의 중요성
- 1/3 4000 개발자 비율
- 360000 신규 위협
- 40+ 개 국
사회공헌과 분석 Ex) 평창 올림픽 case
앤드포인트 보안, 위협관리 , 클라우드 보안, IOT 보안, OT보안 위협 인텔리전스
EDR(직운영), MDR(사측제공), SANDBOX , TI , SA
초기침투 임직원들의 보안인식 교육 , 외부 노출 요인 축호, 최소화, 자동적인 위협의 예방
설치 머신러닝 기반의 행동 탐지 및 샌드박스와 같은 진입보안 탐지 메커니즘 구현 자동위협헌팅, 사건 원인 분석 및 I
IOC 스캐닝 자동화된, 전문가가 가이드하는 원격 대응 시나리오
핵심 제안 (카스퍼스키 Optimum SEC) 더 정밀한 탐지, 사건 원인 분석 회피형 공격 위험, 포괄적 가시성 부재, 보안 업데이트 주저
Kaspersky EDR Optumum (end point)
핵심 인프라에 대한 접근과 기업 네트워크에 영향, 지능화된 공격으로 회피 및 우회
보안 당면 과제
합법적 도구 및 파일리스 위협 활용 - 은밀함, 보호함
기업은 해킹 공격의 좋은 수익원 - 강력한 효과
다중 킬체인 단계를 구성 이를 활용해 반복 - 복접성 , 지속성
기업이 인식하는 문제점 위협 건수 증가 공격 시나리오의 복잡성 증가
공격 성공시 심각한 손실 발생 벌금 및 보상, 보안체계 구성, 기업 명성, 비즈니스 리스크
endpoint 보호의 중요성 전체 보안 사건의 76% 다수의 서버/ 워크스테이션이 관련된 사건 비율 보편적 인프라 진입점 사건 조사를 위한 핵심 data 강화된 암호화 트래픽 해독의 문제성
대응 능력 반드시 필요 인력 및 전문지식 인력 부족
카스퍼스키의 대응방안 더욱 정교해진 공격과 높아진 파괴력 위협수의 증가 공격시나리오의 복잡성 증가 ...
알려진 위협 - 예방 또는 자동 탐지
알려지지 않은 위협 - 누락 사항 탐지 및 실시간 대응 , 저지 자동 대응 및 가이드
EDR 솔루션 기능 제공
주요 목표에 따라 가시적 분명하게 확인, 경비 절감, 조사 도구 제공, 신속 대응 , 피해 방지
공격 확산 경로 - 근본 윈인 분석- 자세한 사건 정보 - 운영이 까다롭지 않으며 시간적 효율성, 자동 대응, 자동 위협 지표 생성
기존 운영과 기능 확장 가능
통합 중앙 관리 제공 (통합콘솔) TCO 절감 (대응간소화, 유지관리 비용 최소화, 인력 개입 최소화)
공격 경로 가시화 사건과 관련한 모든 이벤트 연결
다양한 대응 조치
자동 지정 차단
유사 이벤트 검색
SANDBOX 보호 영역 별 구성 침해사고대응(수동분석), 정보보호운영(중앙관리), 일반업무사용자(네트워크 분석), 이메일 시스템(이메일 분석), 네트워크 모니터링(네트워크 분석, 네트워크 포랜식), 파일공유 시스템(파일 서버용)
기능 확장, 정교 위협 식별 차단
도입 필요 대상 위협 대응 자동화 부재 리소스 부족 숙련된 IT 인력 부재
외국계 보안 기업, (위협 리서처) 국내 위협 동향 → 본사 → 새로운 위협 → 기관(유관기관) 개선안 기여 . Ex. 평창올림픽. 주체 [드론, 북한(추정), 러시아(가장]) — 정보교류 (외국계 기업) 한국을 위해 보안 지표를 제공하고 분석
q. 하우리 , 파이어아이, 솔라릭스 , 카스퍼스키랩 (국가단위, 정보지원해킹조직에대한) 보안위협에 대한 조치 및 대응안 ?
- 카스퍼스키가 경쟁업체들을 방해하기 위해 경쟁 업체들의 백신이 멀쩡한 파일을 멀웨어로 오진하게끔 했다고 한다. 예브게니 카스페르스키의 명령이었다고 전(前) 직원들이 고발한 것. 물론 카스페르스키 대변인은 부인했다. 로이터 링크 보안뉴스와 인터뷰에 따르면 카스퍼스키는 백신 DB 도둑질을 잡아내기 위해 낚시를 했다고 한다. 기사 이렇게 된다면 둘 중 하나이다. 오진 유도 트롤링이냐, 아니면 DB 도둑을 낚은 것이냐
- 카스퍼스키는 러시아 해외정보국와 밀착된 기업이라는 의심을 오래전부터 받아오고 있는 회사이다. 도널드 트럼프 러시아 루머는 2019년 3월, 루머로 밝혀진바 있다. 예브게니 카스페르스키에서는 인터뷰를 통해 사실이 아니라며 부인하고(관련기사) 심지어 자사 제품들의 소스 코드까지 공개했기도 했으나, 결국 미 국토안보부는 2017년 9월 모든 정부기관에 카스퍼스키 제품 사용 중단을 지시했다.(관련기사(영어)/관련기사(한국어)). 여담으로 소스 코드 분석에서 사용자 컴퓨터에 있는 파일을 카스퍼스키 본사에 업로드할 수 있는 기능이 있음이 밝혀졌는데, 사실 이런 기능은 카스퍼스키 제품에만 있는 기능은 아니고 정상적인 백신이라면 대부분 가지고 있는 기능이다. 하지만 정부기관에서 사용하는 제품에 이런 기능이 있다는 것을 국토안보부가 용납할 수 없었던 모양이다. 미국이 아니더라도 대부분의 국가기관과 대기업은 이런 이유로 사용자 파일 수집 기능이 없는 기업용 제품을 따로 계약해서 사용하고 있다.
- 2017년 1월 31일부터 다수의 사용자들의 라이센스 키가 차단되고 블랙리스트에 등록된 키로 출력되는 일이 생기고 있다. 동시다발적으로 발생된 문제이니 혹시 본인이 해당된다면 당황하지 말고 문의를 넣자. 2월 1일 오후 5시 30분경으로 서버 복구가 완료되어 업데이트를 받으면 정상적으로 사용이 가능하게 되었다.
북미쪽에 거주하면 가끔 가다가 100% 리베이트 제도로 공짜로 얻을 수 있다. 예를 들어서 3PC 1년짜리 이용 코드를 55불에 구매하고 영수증과 제품의 바코드를 카스퍼스키 본사로 보내면 3~4달뒤에 55불을 돌려준다. 즉 느긋하게 기다릴 수 있는 인내력+부가가치세+배송비(이것도 무료일 수도 있다.)+우표값만 있다면 매우 저렴하게 카스퍼스키를 쓸 수 있다.
OT 보안
11월달 발표(원)
DX , OT . IT
틍성, 환경요인, 기술, 대응
IT - OT 대상 ,순위, 피해 , 산업, 차이
20201.04.07 22→ 50 개 지정 확대
2022 민간분야 기반시설 추가 지정 예상 (화학, 가스, 정유)
경영평가, 보안 항목 가중치 추가, 영역 보안 중점 개선, 보호대책 이행여부 확인 해설 항목 강화
컨설팅 사례 (DHS/NIST Defense in depth 기준 Network 아키텍처 설계 및 보안점검)
현황 파악 및 분석, 위협 관리, 표준 모델 수령 , 구축 및 구현 지원 , 평가 및 확대 적용 , 현장수용, 아키텍처 모델 설계
q. sk 하이닉스 사건. 인력 확충. ot 영역 외의 it 쪽. 선택지.
q. 아키택처와 정책의 방향성과 회사의 제품에 따라 지켜야하는 대안이 변경되거나 가변성이 있다.
산업용 보안의 카스퍼스키 해법
산업 사이버 위협
디지털 피해의 물리적 피해 초례
- 랜섬웨어 감염으로 인해. 알루미늄값 폭등
- 제로데이 취약점을 이용해 , 사용서비스 중단
- kia 자동차 서비스 중단.
매년 발생하고 있는 매우 중요한 사회 기반 시설들 해킹 사례
어떻게 발생?
Case 우크라이나
- 피싱메일
- 악성코드
- 자격증명 도용
- 스카다 장악
- 브레이커 열기 명령
- UPS 수정
- 펌웨어 업로드
- KILLDISK 덮어쓰기
- 정전
산업 사이버 위협 동향
ics cert 팀 운영
- 지리학 기반
- 상위리더 활동 차단
- 공격된 산업
- 공격 비율
- laptop, dasktop 비율과 공격 빈도
- vpn 사용 및 미사용
- remote access sw 원격 접근 사용 비율
잠재적 위협과 현존하는 위협 공존
https://ics-cert.kaspersky.com/
산업용 앤드포인트 보호 , 산업용 이상징후 및 위반 탐지 기능, 중앙집중식 보안관리
보안교육 및 인식 , 전문가 서비스 및 인텔리전스
침임 탐지 , 자산 보호 , 자산 발견, 딥 패킷 검사, 네트워크 무결성 제어, 침입 탐지 , 커맨드 제어, 외부 시스템 , 데이터 마이닝
앤드포인트 보호 , 네트워크보안 모니터링, 필드 디바이스, 오퍼레이터 , 서버
외부침투테스트 내부침투테스트
산업 사이버 보안에 대한 전략적인 접근
보호되어 있는 글입니다. 내용을 보시려면 비밀번호를 입력하세요.
