EU 규정 준수 의무의 이해: 운영 기술 및 중요 시스템

내 안에 첫 번째 게시물 EU 규정 준수 의무에 대한 이해를 바탕으로 규정 준수 환경 전반과 다양한 산업 유형 및 영역에 각각 사이버 보안에 대한 자체 규제 명령 또는 지침이 어떻게 적용되는지에 대해 논의했습니다.오늘은 정말 흥미로운 분야인 중요 시스템 및 운영 기술에 특화된 규정과 보안 통제에 초점을 맞출 것입니다.

명확성을 위해 먼저 일반적으로 사용되는 몇 가지 약어를 정의해 보겠습니다.

• OT — 운영 기술 (IT, 정보 기술과 대조)
• 그것을 — 정보 기술, 우리 모두에게 친숙한 전형적인 컴퓨터 시스템 및 네트워크
• ICS — 산업 제어 시스템
• 스카다 — 감독 제어 및 데이터 수집

기본적인 요구 사항이 상당히 다르기 때문에 업계에 존재하는 규정 준수에 대해 자세히 알아보기 전에 OT와 IT 보안 간의 핵심 차이점을 이해하는 것이 중요합니다.현장에서 일하거나 경험이 있는 분들은 아래 다이어그램에서 모두 변화를 보셨을 것입니다.

OT 환경에서는 시스템 장애 또는 데이터 불일치가 세상에 실제적이고 물리적인 영향을 미칠 수 있습니다.예를 들어 안전 시스템의 고장이나 생산 라인의 중단은 유사한 IT 장애보다 물리적으로 더 해로운 결과를 초래할 수 있습니다.물론 이는 시스템 자체 (소프트웨어 포함) 가 복원력과 이중화, 그리고 관련 사항을 염두에 두고 구축되었다는 것을 의미합니다. 규정 준수 의무 이 점을 고려하세요.

이제 적용할 수 있는 몇 가지 규정 준수 유형을 살펴본 다음 그 방법을 살펴보겠습니다. 마이크로세그멘테이션 컨트롤 플레이를 할 수 있습니다.

EU의 주요 의무사항은 다음과 같습니다.

• 네트워크 및 정보 보안 지침 (NIS-D).이는 EU 차원의 사이버 통제 체계로, 모든 국가의 의견을 반영하여 중앙에서 만들어지지만 국가별로 현지에서 지침과 감독을 제공합니다.
• LPM. LPM은 비슷하지만 좀 더 지역적으로 초점을 맞춘 프랑스 OT 관련 법령 또는 “중요 정보 인프라 보호법”입니다.이는 부분적으로 NIS-D의 기초가 되었으며 에센셜 서비스 운영자에 대한 유사한 개념을 담고 있습니다.LPM과의 차이점은 LPM이 의무이기 때문에 위임 대상 “범위 내에 있는” 것으로 간주되는 시스템은 LPM 보안 지침을 준수해야 한다는 것입니다.프랑스에서는 이 법이 ANSSI (국가 정보 시스템 보안 기관 — 프랑스 국가 사이버 보안국) 의 적용을 받으며, ANSSI (ANSI) 도 지역 내 NIS-D를 감독합니다.

마이크로세그멘테이션을 OT 시스템 규정 준수에 적용하는 방법

NIS-D와 LPM은 모두 몇 가지 주요 영역을 명시적으로 언급합니다.

LPM의 경우 20개 범주는 다음과 같습니다.

• 정보 보증 정책
• 보안 인증
• 네트워크 매핑
• 보안 유지 관리
• 로깅
• 로그 상관관계 및 분석
• 탐지
• 보안 사고 처리
• 보안 경고 처리
• 위기 관리
• 신분증
• 인증
• 액세스 제어 및 권한 관리
• 관리 액세스 제어
• 관리 시스템
• 시스템 및 네트워크에서의 분리
• 트래픽 모니터링 및 필터링
• 원격 액세스
• 시스템 설정
• 인디케이터

NIS-D의 경우 현지 회원국이 구체적인 지침을 발표합니다.예를 들어 영국에서는 이 문제를 다음과 같이 처리합니다. NCSC (국립 사이버 보안 센터) — 그들과 사이버 평가 프레임워크 (카페).이에 대한 자세한 내용은 여기를 참조하십시오. 웹 세미나, 그리고 읽어보세요 이 종이.

NIS-D는 마이크로 세분화 및 네트워크 흐름 가시성과 관련된 유사한 수의 특정 영역을 가지고 있습니다.

• 위험 관리 프로세스: 조직의 프로세스를 통해 필수 서비스와 관련된 네트워크 및 정보 시스템의 보안 위험은 다음과 같습니다. 식별, 분석, 우선 순위 지정 및 관리.
• 데이터 보안: 전류를 유지합니다 데이터 전송에 사용되는 데이터 링크에 대한 이해 이는 필수 서비스에 중요합니다.
• 전송 중인 데이터: 당신은 가지고 있습니다 모든 데이터 링크를 식별하고 적절하게 보호합니다. 필수 서비스 제공에 중요한 데이터를 담고 있습니다.
• 보안을 고려한 설계: 귀사의 네트워크와 정보 시스템은 적절한 보안 구역으로 분리예: 필수 서비스의 운영 체제는 신뢰도가 높고 더 안전한 구역으로 분리되어 있습니다.
• 복원력을 위한 설계: 필수 서비스의 운영 시스템은 다음과 같습니다. 다른 비즈니스 및 외부 시스템과 분리 적절한 기술 및 물리적 수단 (예: 독립적인 사용자 관리 기능을 갖춘 별도의 네트워크 및 시스템 인프라)운영 체제에서는 인터넷 서비스에 액세스할 수 없습니다.
• 취약성 관리: 당신은 a를 유지합니다 노출에 대한 현재의 이해 공개적으로 알려진 취약점에 대한 필수 서비스
• 보안 모니터링: 네트워크 경계뿐만 아니라 모니터링 범위에는 다음이 포함됩니다. 내부의 및 호스트 기반 모니터링

LPM과 NIS-D 모두에 Illumio가 도움이 될 수 있다는 것을 알 수 있습니다.

마이크로세그멘테이션을 통해 규정 준수를 달성하는 방법

요구 사항을 이해했다면 현장에서 마이크로 세분화를 사용하여 이러한 (및 기타) 제어를 충족할 수 있는 방법은 무엇일까요?다음은 몇 가지 예입니다.

1. 애플리케이션 종속성 매핑 OT 및 IT 환경 모두에 대해 IT/OT 경계를 매우 중요하게 통합합니다.이는 워크로드 수준에서 데이터를 수집하거나, OT 측 네트워크 인프라에서 흐름을 수집하여 풍부하고 충실도가 높은 맵을 제공함으로써 달성할 수 있습니다.
2. 환경 세분화 중요한 모니터링, 로깅 및 제어 채널을 유지하면서 OT 및 IT 환경을 관리합니다.네트워크 보안 개념으로서의 제로 트러스트가 이 시나리오보다 더 잘 적용될 수 있었던 적은 없습니다.
3. 새로운 플로우/연결에 대한 경고 IT에서 OT 환경으로, 또는 OT 환경 자체에서 OT 환경으로모니터링이 필요한 새 연결의 시작은 두 가지 이유로 중요합니다. 첫째, OT는 잡음이 많고 동적인 IT 환경보다 정적인 경향이 있습니다.둘째, 고의적 (ICS/SCADA 시스템에 대한 액세스 권한을 얻기 위한 표적 악의적 활동) 이든 우발적이든 (세간의 이목을 끄는 다수의 OT 보안 침해는 실제로 중요 시스템 측에 접근하기 위해 관리하는 상용 멀웨어에 의한 부수적 피해에 더 가까웠음), 마이크로 세그멘테이션 솔루션이 근본적으로 네트워크의 중요 측면에 대한 무단 액세스를 방지하는 것입니다.
4. OT 인프라에 대한 취약성 평가. NIS-D에서 볼 수 있듯이 취약성 관리가 핵심입니다.예를 들어 Illumio는 취약성을 검사하지는 않지만 관찰된 그룹화 및 애플리케이션 흐름에 취약점을 매핑하여 중요한 경로를 보여주고 마이크로세그멘테이션 정책 및 패칭의 우선 순위를 정하는 데 도움을 줍니다.

끊임없이 진화하는 풍경

중요 시스템의 민첩성과 모니터링이 변화함에 따라 덜 중요한 네트워크와 애플리케이션, 때로는 인터넷에 연결되는 경우가 늘고 있습니다.shodan.io에서 OT 프로토콜을 빠르게 검색하면 놀라울 수 있습니다!이와 동시에 이러한 시스템의 연결성 및 보안에 대한 면밀한 조사도 당연히 증가하고 있습니다.이러한 병치는 마이크로세그멘테이션 정책을 명확하게 정의하고 유지 관리하기 전에도 가시성이 매우 중요하다는 것을 의미합니다.

필자의 첫 번째 글에서 언급한 것처럼, 엄격하고 의무화된 법률 (LPM의 경우) 부터 현재 NIS-D의 경우 지침이 되는 위치에 이르기까지 다양한 명령이 집행 스펙트럼을 제공합니다.여기서 나타나는 몇 가지 차이점은 성숙도와 존속 기간에 있습니다.

지침의 해석은 광범위하고 명확하지 않은 경우에 중요하며, GDPR과 마찬가지로 NIS-D는 기술적 구현 및 특정 구성뿐만 아니라 의도를 고려합니다.

어느 경우든, 점점 더 연결되고 있는 중요 시스템의 가시성과 세분화가 우리가 보안을 유지할 수 있는 근본적인 통제라는 것은 분명하다고 생각합니다.

다음 글에서는 EU의 금융 산업 관련 규정을 살펴보도록 하겠습니다.

Illumio ASP에 대한 자세한 내용은 다음을 확인하십시오. 솔루션 아키텍처 페이지.

‍