현장 3 엔지니어링
5.2 경계 보호
경계 보호 장치는 상호 연결된 보안 영역 간의 정보의 흐름을 제어하여 악의적인 사이버 적과 비 악성 오류 및 사고로부터 산업제어시스템(ICS)을 보호한다. 시스템 간의 서로 다른 보안 정책과 서로 다른 보안 영역을 통한 정보 전송은 해당 전송이 하나 이상의 영역 보안 정책을 위반하게 되는 위험을 초래한다. 경계 보호 장치는 특정 보안 정책을 시행하는 특정 구조적 솔루션의 핵심 구성요소이다. 조직은 서로 다른 임무 및/또는 비즈니스
12 화이트리스트는 특정 권한, 서비스, 이동성, 접근 또는 인식을 제공하는 목록 또는 등록부이다.
목록에 있는 사람만 수락, 승인, 인식(즉, 허용)된다. 화이트리스팅은 거부, 미승인, 배척(즉, 금지)되는 사람을 식별하는 관행인 블랙리스팅의 반대이다.
Organizations can isolate ICS and business system components performing different missions and/or business functions. Such isolation limits unauthorized information flows among system components and also provides the opportunity to deploy greater levels of protection for selected components. Separating system components with boundary protection mechanisms provides the capability for increased protection of individual components and more effective control of information flows between those components.
Boundary protection controls include gateways, routers, firewalls, guards, network-based malicious code analysis and virtualization systems, intrusion detection systems (networked and host-based), encrypted tunnels, managed interfaces, mail gateways, and unidirectional gateways (e.g., data diodes). Boundary protection devices determine whether data transfer is permitted, often by examining the data or associated metadata.
Network and ICS security architects must decide which domains are to be permitted direct communication, the policies governing permitted communication, the devices to be used to enforce the policy, and the topology for provisioning and implementing these decisions, which are typically based on the trust relationship between domains. Trust involves the degree of control that the organization has over the external domain (e.g., another domain in the same organization, a contracted service provider, the Internet).
Boundary protection devices are arranged in accordance with organizational security architecture. A common architectural construct is the demilitarized zones (DMZ), a host or network segment inserted as a “neutral zone” between security domains. Its purpose is to enforce the ICS domain’s information security policy for external information exchange and to provide external domains with restricted access while shielding the ICS domain from outside threats.
Additional architectural considerations and functions that can be performed by boundary protection devices for inter-domain communications include:
< Denying communications traffic by default and allowing communications traffic by exception (i.e., deny all, permit by exception). A deny-all, permit-by-exception communications traffic policy ensures that only those connections which are approved are allowed. This is known as a white-listing policy.
< Implementing proxy servers that act as an intermediary for external domains’
requesting information system resources (e.g., files, connections, or services) from the ICS domain.
기능을 수행하는 비즈니스 시스템 구성요소 및 산업제어시스템(ICS)을 격리할 수 있다. 이러한 격리는 시스템 구성요소 간의 무단 정보의 흐름을 차단하며, 선택된 구성요소에 대해 더 높은 수준의 보호를 전개할 수 있는 기회도 제공한다. 시스템 구성요소를 경계 보호 메커니즘에서 분리하는 경우 개별 구성요소의 향상된 보호 기능 및 해당 구성요소 간의 정보 흐름에 대한 더욱 효과적인 제어 기능을 제공할 수 있다.
경계 보호 제어는 게이트웨이, 라우터, 방화벽, 가드, 네트워크 기반 악성 코드 분석 및 가상화 시스템, 침입 탐지 시스템(네트워크화한 및 호스트 기반), 암호화된 터널, 관리 인터페이스, 메일 게이트웨이 및 단방향 게이트웨이(예:
데이터 다이오드)를 수반한다. 경계 보호 장치는 주로 데이터 또는 관련된 메타데이터를 검사하여 데이터 전송의 허용 여부를 결정한다.
네트워크 및 산업제어시스템(ICS) 보안 설계자는 직접 통신 허용 영역, 허용 통신의 관리 정책, 정책 시행에 사용될 장치 및 전형적으로 영역 간의 신뢰 관계에 기반한 이러한 결정 사항에 대한 권한을 설정하고 구현을 하기 위한 구성 방식을 결정해야 한다. 신뢰는 조직이 외부 영역(예: 동일한 조직의 다른 영역, 계약된 서비스 제공자, 인터넷)에 대해 보유하고 있는 제어도를 수반한다.
경계 보호 장치는 조직의 보안 구조에 따라 준비된다. 보안 영역 사이의 “중립 지역”에 삽입되는 호스트 또는 네트워크 세그먼트인 경계네트워크구간(DMZ)가 일반적인 구조적 구성 중의 하나이다. 경계네트워크구간(DMZ)의 목적은 외부 정보 교환에 대해 산업제어시스템(ICS) 영역의 정보 보안 정책을 시행하고, 외부 위협으로부터 산업제어시스템(ICS) 영역을 차단하면서 외부 영역에 한정된 접근을 제공하는 것이다.
추가적인 구조적 고려 사항 및 영역 간 통신을 위해 경계 보호 장치에 의해서 수행되는 기능은 다음과 같다.
n 기본적으로 통신 트래픽을 거부하고 예외적으로 통신 트래픽을 허용(즉, 모두 거부, 예외적으로 허용). 모두 거부-예외적으로 허용 통신 트래픽 정책에서는 승인된 연결만이 허용된다. 이것을 화이트리스팅 정책이라고 한다.
n 산업제어시스템(ICS) 영역에서 외부 영역의 정보시스템 자원(예: 파일, 연결 또는 서비스) 요청에 대해 매개자의 역할을 하는 프록시 서버 구현. 프록시
External requests established through an initial connection to the proxy server are evaluated to manage complexity and to provide additional protection by limiting direct connectivity.
< Preventing the unauthorized exfiltration of information. Techniques include, for example, deep packet inspection firewalls and XML gateways. These devices verify adherence to protocol formats and specification at the application layer and serve to identify vulnerabilities that cannot be detected by devices operating at the network or transport layers. The limited number of formats, especially the prohibition of free form text in email, eases the use of such techniques at ICS boundaries.
< Only allowing communication between authorized and authenticated source and destinations address pairs by one or more of the organization, system, application, and individual.
< Extending the DMZ concept to other separate subnetworks is useful, for example, in isolating ICS to prevent adversaries from discovering the analysis and forensics techniques of organizations.
< Enforcing physical access control to limit authorized access to ICS components.
< Concealing network addresses of ICS components from discovery (e.g., network address not published or entered in domain name systems), requiring prior knowledge for access.
< Disabling control and troubleshooting services and protocols, especially those employing broadcast messaging, which can facilitate network exploration.
< Configuring boundary protection devices to fail in a predetermined state. Preferred failure states for ICS involve balancing multiple factors including safety and security.
< Configuring security domains with separate network addresses (i.e., as disjoint subnets).
< Disabling feedback (e.g., non-verbose mode) to senders when there is a failure in protocol validation format to prevent adversaries from obtaining information.
< Implementing one-way data flow, especially between different security domains.
< Establishing passive monitoring of ICS networks to actively detect anomalous communications and provide alerts.
서버에 대해 초기 연결을 통해 설정되는 외부 요청은 복잡성을 관리하고 추가 보호를 제공하기 위해 직접 연결을 제한하여 평가된다.
n 정보의 무단 탈취 방지. 예를 들어, 해당 기법에는 심층 패킷 검사 방화벽 및 XML 게이트웨이가 포함된다. 이러한 장치는 응용 프로그램 계층에서 프로토콜 형식 및 사양에 대한 준수를 검증하고 네트워크 또는 전송 계층에서 작동되는 장치가 감지하지 못하는 취약점을 식별하는 역할을 한다. 한정된 수의 형식은, 특히 전자 메일에서 자유 형식의 문자 금지는 이러한 기법을 산업제어시스템(ICS) 경계에서 사용하는 것을 용이하게 한다.
n 하나 이상의 조직, 시스템, 응용 프로그램 및 개인 별로 인가 및 인증된 근원지 및 목적지 주소 쌍 간의 통신만 허용.
n 경계네트워크구간(DMZ) 개념을 기타 별도의 서브네트워크에 확장하는 것은, 예를 들어, 공격자가 조직의 분석 및 포렌식스 기법을 발견하는 것을 방지하기 위해 산업제어시스템(ICS)을 격리하는 것은 유용하다.
n 물리적 접근통제를 시행하여 산업제어시스템(ICS) 구성요소에 대해 인가된 접근을 제한.
n 산업제어시스템(ICS) 구성요소의 네트워크 주소를 발견되지 않도록 은폐(예: 도메인 네임 시스템에 네트워크 주소를 게시하지 않거나 입력하지 않음). 접근을 위해서는 사전 지식 필요.
n (특히 네트워크 탐색을 용이하게 할 수 있는 동보 메시지를 사용하는) 제어 및 문제해결 서비스 및 프로토콜을 비활성화.
n 경계 보호 장치를 예정된 상태에서 결함이 발생하도록 구성.
산업제어시스템(ICS)의 선호되는 결함 상태에는 안전 및 보안 등의 여러 요인의 균형을 수반한다.
n 별도의 네트워크 주소(즉, 분리된 서브넷으로)로 보안 영역 구성.
n 프로토콜 검증 형식에 결함이 있는 경우 공격자가 정보를 획득하는 것을 방지하기 위해 발송자에 대한 피드백 비활성화(예: 비 상세 모드).
n (특히 서로 다른 보안 영역 간에) 단방향 데이터 흐름 구현.
n 산업제어시스템(ICS) 네트워크의 수동적 모니터링 설정으로 이례적인 통신을 능동적으로 감지하고 경고를 제공.
5.3 Firewalls
Network firewalls are devices or systems that control the flow of network traffic between networks employing differing security postures. In most modern applications, firewalls and firewall environments are discussed in the context of Internet connectivity and the UDP/IP protocol suite. However, firewalls have applicability in network environments that do not include or require Internet connectivity. For example, many corporate networks employ firewalls to restrict connectivity to and from internal networks servicing more sensitive functions, such as the accounting or human resource departments. Firewalls can further restrict ICS inter-subnetwork communications between functional security subnets and devices.
By employing firewalls to control connectivity to these areas, an organization can prevent unauthorized access to the respective systems and resources within the more sensitive areas. There are three general classes of firewalls:
< Packet Filtering Firewalls. The most basic type of firewall is called a packet filter. Packet filter firewalls are essentially routing devices that include access control functionality for system addresses and communication sessions. The access control is governed by a set of directives collectively referred to as a rule set. In their most basic form, packet filters operate at layer 3 (network) of the Open Systems Interconnection (OSI), ISO/IEC 7498 model. This type of firewall checks basic information in each packet, such as IP addresses, against a set of criteria before forwarding the packet.
Depending on the packet and the criteria, the firewall can drop the packet, forward it, or send a message to the originator. This type of firewall can offer a high level of security, but could result in overhead and delay impacts on network performance.
< Stateful Inspection Firewalls. Stateful inspection firewalls are packet filters that incorporate added awareness of the OSI model data at layer 4 (transport). Stateful inspection firewalls filter packets at the network layer, determine whether session packets are legitimate, and evaluate the contents of packets at the transport layer (e.g., TCP, UDP) as well. Stateful inspection keeps track of active sessions and uses that information to determine if packets should be forwarded or blocked. It offers a high level of security and good performance, but it may be more expensive and complex to administer. Additional rule sets for ICS applications may be required.