[ÉÚ 규정 준수 의무의 이해: 운영 기술 및 중요 시스템]

[내 안에 첫 번째 게시물 ÉÚ 규정 준수 의무에 대한 이해를 바탕으로 규정 준수 환경 전반과 다양한 산업 유형 및 영역에 각각 사이버 보안에 대한 자체 규제 명령 또는 지침이 어떻게 적용되는지에 대해 논의했습니다.오늘은 정말 흥미로운 분야인 중요 시스템 및 운영 기술에 특화된 규정과 보안 통제에 초점을 맞출 것입니다.]

[명확성을 위해 먼저 일반적으로 사용되는 몇 가지 약어를 정의해 보겠습니다.]

• [ÓT — 운영 기술 (ÍT~, 정보 기술과 대조)]
• [그것을 — 정보 기술, 우리 모두에게 친숙한 전형적인 컴퓨터 시스템 및 네트워크]
• [ÍCS — 산업 제어 시스템]
• [스카다 — 감독 제어 및 데이터 수집]

[기본적인 요구 사항이 상당히 다르기 때문에 업계에 존재하는 규정 준수에 대해 자세히 알아보기 전에 ÓT와 ÍT~ 보안 간의 핵심 차이점을 이해하는 것이 중요합니다.현장에서 일하거나 경험이 있는 분들은 아래 다이어그램에서 모두 변화를 보셨을 것입니다.]

[ÓT 환경에서는 시스템 장애 또는 데이터 불일치가 세상에 실제적이고 물리적인 영향을 미칠 수 있습니다.예를 들어 안전 시스템의 고장이나 생산 라인의 중단은 유사한 ÍT~ 장애보다 물리적으로 더 해로운 결과를 초래할 수 있습니다.물론 이는 시스템 자체 (소프트웨어 포함) 가 복원력과 이중화, 그리고 관련 사항을 염두에 두고 구축되었다는 것을 의미합니다. 규정 준수 의무 이 점을 고려하세요.]

[이제 적용할 수 있는 몇 가지 규정 준수 유형을 살펴본 다음 그 방법을 살펴보겠습니다. 마이크로세그멘테이션 컨트롤 플레이를 할 수 있습니다.]

[ÉÚ의 주요 의무사항은 다음과 같습니다.]

• [네트워크 및 정보 보안 지침 (ÑÍS-D~).이는 ÉÚ 차원의 사이버 통제 체계로, 모든 국가의 의견을 반영하여 중앙에서 만들어지지만 국가별로 현지에서 지침과 감독을 제공합니다.]
• [LPM. L~PM은 비슷하지만 좀 더 지역적으로 초점을 맞춘 프랑스 ÓT~ 관련 법령 또는 “중요 정보 인프라 보호법”입니다.이는 부분적으로 ÑÍS-D~의 기초가 되었으며 에센셜 서비스 운영자에 대한 유사한 개념을 담고 있습니다.LPM과의 차이점은 L~PM이 의무이기 때문에 위임 대상 “범위 내에 있는” 것으로 간주되는 시스템은 LP~M 보안 지침을 준수해야 한다는 것입니다.프랑스에서는 이 법이 ÁÑS~SÍ (국가 정보 시스템 보안 기관 — 프랑스 국가 사이버 보안국) 의 적용을 받으며, ÁÑ~SSÍ (Á~ÑSÍ) 도 지역 내 Ñ~ÍS-D를 감독합니다.]

[마이크로세그멘테이션을 ÓT 시스템 규정 준수에 적용하는 방법]

[ÑÍS-D~와 LPM은 모두 몇 가지 주요 영역을 명시적으로 언급합니다.]

[LPM의 경우 20개 범주는 다음과 같습니다.]

• [정보 보증 정책]
• [보안 인증]
• [네트워크 매핑]
• [보안 유지 관리]
• [로깅]
• [로그 상관관계 및 분석]
• [탐지]
• [보안 사고 처리]
• [보안 경고 처리]
• [위기 관리]
• [신분증]
• [인증]
• [액세스 제어 및 권한 관리]
• [관리 액세스 제어]
• [관리 시스템]
• [시스템 및 네트워크에서의 분리]
• [트래픽 모니터링 및 필터링]
• [원격 액세스]
• [시스템 설정]
• [인디케이터]

[ÑÍS-D~의 경우 현지 회원국이 구체적인 지침을 발표합니다.예를 들어 영국에서는 이 문제를 다음과 같이 처리합니다. ÑCSC~ (국립 사이버 보안 센터) — 그들과 사이버 평가 프레임워크 (카페).이에 대한 자세한 내용은 여기를 참조하십시오. 웹 세미나, 그리고 읽어보세요 이 종이.]

[ÑÍS-D~는 마이크로 세분화 및 네트워크 흐름 가시성과 관련된 유사한 수의 특정 영역을 가지고 있습니다.]

• [위험 관리 프로세스: 조직의 프로세스를 통해 필수 서비스와 관련된 네트워크 및 정보 시스템의 보안 위험은 다음과 같습니다. 식별, 분석, 우선 순위 지정 및 관리.]
• [데이터 보안: 전류를 유지합니다 데이터 전송에 사용되는 데이터 링크에 대한 이해 이는 필수 서비스에 중요합니다.]
• [전송 중인 데이터: 당신은 가지고 있습니다 모든 데이터 링크를 식별하고 적절하게 보호합니다. 필수 서비스 제공에 중요한 데이터를 담고 있습니다.]
• [보안을 고려한 설계: 귀사의 네트워크와 정보 시스템은 적절한 보안 구역으로 분리예: 필수 서비스의 운영 체제는 신뢰도가 높고 더 안전한 구역으로 분리되어 있습니다.]
• [복원력을 위한 설계: 필수 서비스의 운영 시스템은 다음과 같습니다. 다른 비즈니스 및 외부 시스템과 분리 적절한 기술 및 물리적 수단 (예: 독립적인 사용자 관리 기능을 갖춘 별도의 네트워크 및 시스템 인프라)운영 체제에서는 인터넷 서비스에 액세스할 수 없습니다.]
• [취약성 관리][: 당신은 á를 유지합니다 노출에 대한 현재의 이해 공개적으로 알려진 취약점에 대한 필수 서비스]
• [보안 모니터링: 네트워크 경계뿐만 아니라 모니터링 범위에는 다음이 포함됩니다. 내부의 및 호스트 기반 모니터링]

[LPM과 Ñ~ÍS-D 모두에 Í~llúm~íó가 도움이 될 수 있다는 것을 알 수 있습니다.]

[마이크로세그멘테이션을 통해 규정 준수를 달성하는 방법]

[요구 사항을 이해했다면 현장에서 마이크로 세분화를 사용하여 이러한 (및 기타) 제어를 충족할 수 있는 방법은 무엇일까요¿다음은 몇 가지 예입니다.]

1. [애플리케이션 종속성 매핑 ÓT 및 ÍT~ 환경 모두에 대해 ÍT/ÓT~ 경계를 매우 중요하게 통합합니다.이는 워크로드 수준에서 데이터를 수집하거나, ÓT 측 네트워크 인프라에서 흐름을 수집하여 풍부하고 충실도가 높은 맵을 제공함으로써 달성할 수 있습니다.]
2. [환경 세분화 중요한 모니터링, 로깅 및 제어 채널을 유지하면서 ÓT 및 ÍT~ 환경을 관리합니다.네트워크 보안 개념으로서의 제로 트러스트가 이 시나리오보다 더 잘 적용될 수 있었던 적은 없습니다.]
3. [새로운 플로우/연결에 대한 경고 ÍT에서 ÓT~ 환경으로, 또는 ÓT 환경 자체에서 ÓT~ 환경으로모니터링이 필요한 새 연결의 시작은 두 가지 이유로 중요합니다. 첫째, ÓT는 잡음이 많고 동적인 ÍT~ 환경보다 정적인 경향이 있습니다.둘째, 고의적 (ÍCS/S~CÁDÁ~ 시스템에 대한 액세스 권한을 얻기 위한 표적 악의적 활동) 이든 우발적이든 (세간의 이목을 끄는 다수의 ÓT 보안 침해는 실제로 중요 시스템 측에 접근하기 위해 관리하는 상용 멀웨어에 의한 부수적 피해에 더 가까웠음), 마이크로 세그멘테이션 솔루션이 근본적으로 네트워크의 중요 측면에 대한 무단 액세스를 방지하는 것입니다.]
4. [ÓT 인프라에 대한 취약성 평가. ÑÍ~S-D에서 볼 수 있듯이 취약성 관리가 핵심입니다.예를 들어 Íl~lúmí~ó는 취약성을 검사하지는 않지만 관찰된 그룹화 및 애플리케이션 흐름에 취약점을 매핑하여 중요한 경로를 보여주고 마이크로세그멘테이션 정책 및 패칭의 우선 순위를 정하는 데 도움을 줍니다.]

[끊임없이 진화하는 풍경]

[중요 시스템의 민첩성과 모니터링이 변화함에 따라 덜 중요한 네트워크와 애플리케이션, 때로는 인터넷에 연결되는 경우가 늘고 있습니다.shód~áñ.íó~에서 ÓT 프로토콜을 빠르게 검색하면 놀라울 수 있습니다¡이와 동시에 이러한 시스템의 연결성 및 보안에 대한 면밀한 조사도 당연히 증가하고 있습니다.이러한 병치는 마이크로세그멘테이션 정책을 명확하게 정의하고 유지 관리하기 전에도 가시성이 매우 중요하다는 것을 의미합니다.]

[필자의 첫 번째 글에서 언급한 것처럼, 엄격하고 의무화된 법률 (LPM의 경우) 부터 현재 Ñ~ÍS-D의 경우 지침이 되는 위치에 이르기까지 다양한 명령이 집행 스펙트럼을 제공합니다.여기서 나타나는 몇 가지 차이점은 성숙도와 존속 기간에 있습니다.]

[지침의 해석은 광범위하고 명확하지 않은 경우에 중요하며, GDPR~과 마찬가지로 ÑÍS-D~는 기술적 구현 및 특정 구성뿐만 아니라 의도를 고려합니다.]

[어느 경우든, 점점 더 연결되고 있는 중요 시스템의 가시성과 세분화가 우리가 보안을 유지할 수 있는 근본적인 통제라는 것은 분명하다고 생각합니다.]

[다음 글에서는 ÉÚ의 금융 산업 관련 규정을 살펴보도록 하겠습니다.]

[Íllú~míó Á~SP에 대한 자세한 내용은 다음을 확인하십시오. 솔루션 아키텍처 페이지.]

‍