Taking Aim at the Energy Sector: Three Steps to Defend Against a Rising Number of Attacks

토머스 에디슨이 말했을 때 그는 그것이 일상 생활에 필수가 될 것입니다 방법을 구상하는 경우 "우리는 부자가 촛불을 점화 할 것이다 것을 전기가 너무 저렴한 것입니다,"당신이 궁금해. 에너지는 우리의 중요한 인프라의 일부로 간주되도록해야합니다. 그리고는 사이버 범죄자들에게 매력적인 대상 만드는거야.

에너지 부문에 대한 공격의 수는 증가하고 있으며 국토 안보부 (DHS) 산업용 제어 시스템 사이버 비상 대응팀 (ICS-CERT)에서보고까지 다른 중요한 인프라 부문을 ​​초과합니다. 보고서는2013 년 5 월 끝나는 8 개월 조사 모든 공격의 54 %가 에너지 기업을 대상으로 없음을 나타냅니다 - 지난 12 개월간 41 %의 증가를. 다른 분야는 중요한 인프라로 간주하고 보고서에서 중요한 제조, 17 %에 가까운 다음, 통신, 교통, 물, 원자력, 및 다른 사람의 사이에서 정부의 시설도 포함되어 있습니다.

제어 네트워크의 에너지 기업이 운영하고 프로세스가 복잡하고 끊임없이 확장하고 자동화하는 데에 의존하고 있습니다. 라우팅 프로토콜에 시리얼에서 이동하면 연결을 단순화뿐만 아니라, 공격자가 물리적으로 항목을 얻기 위해 대상에 연결 할 필요가 없기 때문에 더 큰 위험에 네트워크를 노출합니다. 사물의 인터넷은 또한 공격자가 액세스 할 사이버 보안의 새로운 취약성과 격차에 대한 점유를위한 추가 기회를 만들어, 기기의 확산에 대한 연결을 확장 할 것입니다.

NERC CIP 버전 5의 최근 통과는 기업이 네트워크에 상승 위험을 인식하고 그것을 완화하고 관리하는 방법을 모색하고 있음을 보여줍니다. 위반 당 하루에 100 만 달러의 위반 및 벌금의 광범위하고 심각한 파급 효과와 함께, 에너지 회사가 조치를 취하고있다. 그러나, 준수의 부족이 준수되는 것은 안전 인으로 간주하지 않고, 보호를 타협하면서, 정교한 표적 공격이 새로운 현실에 점에 유의하는 것이 중요합니다.

DHS 보고서는 발견 등의 물을 구멍 공격, SQL 인젝션 및 스피어 피싱 공격으로 공격자의 기술을 포함 에너지 부문을 대상으로 사건의 대부분. 이러한 방법의 두 가지가 스턱 스넷에 의해, 에어 갭도 인해 인간의 실책으로 교차되고 있듯이, 악성 코드를 소개하는 인간의 요소에 의존합니다.분명히 경계 기반 방어 및 기술을 회피하고있다. 일단 네트워크 내부의 공격자가 원하는대로 행동 할 무료입니다. 기업은 네트워크와 더 큰 공격 표면을 이용, 믿을 수있는 사용자 및 증가하는 복잡성을 가지고 이러한 고급 사이버 공격에 대처하는 새로운 방법을 식별해야합니다.

기업 네트워크에서 사용하기에 더욱 문제, 정보 기술을 복잡하게 (IT) 보안 솔루션은 제어 네트워크를 보호하기 위해 상호 교환 적으로 배치 될 수 없다. 두 관리 팀은 서로 다른 우선 순위가있다.제어 네트워크 운영 기술 (OT) 팀이 최초의 가용성과 안정성을 배치해야합니다 동안 IT는 일반적으로 데이터 보호에 초점을 맞추고, 사이버 보안 컨트롤은 가용성과 안정성을 희생 중요하지만하지 않습니다. 제어 네트워크가 실패 할 때, 인간의 삶, 환경 안전과 경제에 제기 진짜 위험이있다.

그래서 기능 어​​떤 종류의 에너지 기업들은 더 나은 네트워크를 제어하는​​ 향상된 공격을 방어하는 찾아야한다? 그것은 많은 기업들이 이미 사이버 보안에 상당한 자원을 할당하고 여전히 공격지고 단순히 더 많은 지출의 문제가 아니다. 그것은 "때"공격이 일어날하는 "경우"의 사고 방식을 변화의 문제이다. 정책 및 컨트롤 공격의 표면적을 감소하는 것이 필수적이지만, 위협은 여전히​​ 통과. 결과적으로, 기술은 또한 네트워크에 침투 한 위협을 검출 이해하고 중지 할 수 있어야한다. 이 에어 갭 또는 포인트 - 인 - 타임 검색 도구에 독점적으로 의존하지 않는 사이버 보안에 대한 새로운 접근 방식이 필요하지만 전체 공격의 연속체를 해결 - 이전, 도중, 그리고 공격 후.

에너지 기업들은 고유 한 요구 사항을 만족시키면서 공격의 연속체에 걸쳐 각 단계를 해결하는 데 도움이되는 다음과 같은 기능을 갖춘 솔루션을 추구해야한다.

1 단계 : 공격하기 전에 -  공격이 발생하기 전에 방어하기 위해 에너지 기업들은 전체 네트워크의 재고와 모든 사이버 자산을 필요 - 원격 단말 장치 및 프로그래머블 로직 컨트롤러와 같은 예를 들어, 응용 프로그램, 프로토콜, 사용자, 장치, . 중단의 위험을 제거하기 위해, 시스템은 인라인 않고 수동적 프로파일 제어 네트워크 할 수 있어야한다. 만 제어 네트워크에 모든 것을 알아서 정책과 그것을 방어하기 위해 컨트롤을 구약과 IT 보안 팀이 구현할 수 있습니다.

2 단계 : 공격시 -  NERC CIP 표준은 보안에 위험 기반 접근 방식을 - 위험 평가 및 관리의 초점이다. 대부분의 에너지 기업들은, 후속하는 모든 잠재적 이벤트에 배포 수동으로 위험을 평가하고 그에 따라 행동 할 수있는 사람의 팀이 없습니다. 그 결과, 그들은 자신의 특정 환경에서 위험에 약간의 포즈 이벤트를 분석하는 시간을 보낼 수 있습니다. 실제 공격, 의심스러운 활동 및 배경 잡음을 구별 영향 플래그를 제공 예를 들어, 오른쪽 컨텍스트 이벤트 통지 기술, 노력의 우선 순위를 정하고 가장 중요한 위협에 리소스를 할당하는 데 도움이됩니다.

3 단계. 공격 후 -  변함없이 공격이 성공합니다. 에너지 회사가 피해를 완화 할 수있을뿐만 아니라 공격으로부터 배울 필요가있다. 회고 보안 도움이 같은 기술은 진입 점을 식별하는 범위를 결정하는 위협을 포함, remediating와 미래의 유사한 공격에 대한 보호 기능을 업데이트하여 공격의 영향을 주 변화. 대신이 프로세스와 도구를 사용, 에너지 기업이보다 쉽게 NERC의 CIP의 준수를 증명하는 보고서를 생성하고 감사를 통과 할 수있다.

에너지 산업에 대한 공격의 궤도는 눈을 열고 계속 될 것입니다. NERC CIP 표준을 시작할 수있는 기준을 제공합니다. 그러나, 진정으로 새롭고 독특한 사이버 보안 문제를 해결하기 위해, 에너지 기업은 전체 공격의 연속 선상 보호를 증가시키는 동시에 가용성과 안정성을 유지하는 기술에 대한 접근 방식을 확장 할 필요가있다.