석유 및 가스 회사는 현대 시대의 가장 시급한 사이버 보안 인프라 과제중 일부에 직면해 있습니다. 스트라투스의 O&G 글로벌 리더인 Corie Allemand는 “이 업계에는 두 가지 유형의 회사가 있다”며 “해킹당한 사람들과 해킹당했다는 것을 아는 사람들”이라고 말했다.
사이버 공격에 대한 모든 시스템의 취약점은 10 년 전 악명 높은 Stuxnet 해킹에서 최근 식민지 파이프 라인 위반에 이르기까지 수많은 사례에 의해 확인됩니다. 무수한 사이버 보안 인프라 문제를 해결하는 것은 기존의 산업 자동화 아키텍처와 기존 OT 네트워크 내에서 빠르게 관리할 수 없게 될 수 있는 점점 더 엄격한 규제 요구 사항으로 인해 더욱 복잡해지는 높은 질서입니다. Xage Security가 있는 최근 웨비나에서 당사의 전문가들은 O&G의 사이버 보안 인프라에 대한 새로운 DHS 지침, 운영자에 대한 실제 적인 의미 및 높은 수준의 지침을 풀어주었습니다. 엣지 디지털 변환 여정을 만드는 컴퓨팅 개념은 거의 너무 쉬워 보입니다.
우리가 여기 있는 방법 — 스턱스넷 웜에서 배운다
10년 전, Stuxnet은 산업 자동화 시스템의 첫 번째 해킹으로, 해커가 OT 네트워크와 웹 사이의 공중 파동에도 불구하고 IA 시스템에 액세스하고 제어하고 데이터를 스푸프할 수 있는 방법에 대한 세계의 시선을 열었습니다. 당시, 이 에어갭 접근 방식은 내부에서만 취약하고 외부에서 액세스할 수 없는 신뢰할 수 있는 네트워크를 만드는 것으로 여겨졌습니다. 불행히도,이 가정은 더 잘못되었을 수 없습니다.
에릭 D. 냅과 조엘 토마스 랭가 2015 년 도서 산업 네트워크 보안에 따르면, “Stuxnet은 잘못된 산업 사이버 위협의 많은 가정을 입증하고, 전에 본 것보다 훨씬 더 정교한 악성 코드를 사용하여 그렇게했다.” 6년 후, 석유 및 가스 회사들이 디지털화 여정에 더 착수함에 따라 이 성명서는 계속해서 사실로 이어지고 있습니다.
Stuxnet 바이러스는 OT 전문가가 그 시간에 의존하는 소위 보호 네트워크로 그것의 방법을 벌레. 해커가 한 조직의 환경에 접근하고 하나의 범죄 임무를 완수하려는 의도에도 불구하고, 그들의 창조는 세계를 뒤흔들었고, 국가의 중요한 인프라를 하나씩 돌연변이하고 파괴했습니다. “그것은 전 세계에 퍼졌습니다,” Allemand는 최근 웨비나에서 말합니다, “verbiage 바이러스는 아주, 아주 정확합니다.”
Stuxnet은 업계에 전 세계 웹에서 멀리 떨어진 네트워크는 신뢰할 수 없다는 것을 입증했습니다. 이러한 실현으로 인해 산업 자동화의 과정이 바뀌었고 O&G를 포함한 많은 부문의 디지털화를 서두르고 있습니다. 이러한 디지털 혁신 여정은 지속적인 것이며, 특히 석유 및 가스 회사가 조직의 위험 프로필을 높이고 보안 태세를 강화할 수 있으므로 이를 올바르게 하는 데 매우 중요합니다.
석유 및 가스 회사를 위한 디지털화의 양면
산업 자동화 환경에 더 많은 디지털화를 도입하는 것은 여러 가지 면에서 캐치-22입니다. 같은 신흥 기술 엣지 컴퓨팅은 의사 결정을 개선하고 운영자 및 데이터의 안전을 보호하는 새로운 도구와 기능을 도입하여 긴급한 사이버 보안 인프라 요구사항도 제시합니다. “이러한 새로운 기술을 이러한 새로운 시스템에 도입함에 따라 보안이 최우선임을 보장해야 합니다.”
이를 염두에 두고 O&G 조직은 디지털 혁신을 부끄러워해서는 안 됩니다. 최근 웨비나에서 스트라투스 전문가 루디 드 안다(Rudy de Anda)는 “경쟁력을 갖추기 위해서는 데이터를 연결하고 활용해야 한다”고 말합니다. 이 권리를 얻는 조직은 사이버 보안 인프라를강화할 뿐만 아니라 시장 점유율을 높이고 비즈니스 목표를 높이는 이점을 잠금 해제하는 수많은 성공 사례가 있습니다. Xage와 Stratus의 전문가들은 석유 및 가스 회사가 디지털화의 약속을 어떻게 거둘 수 있는지 를 밝히고, 규제 준수를 보장하고 레거시 하드웨어를 분리하고 교체하지 않고 있습니다.
파이프라인 사이버 보안 인프라에 대한 DHS 지침 내부
워싱턴 포스트에 따르면 7월, 국토안보부는 “대규모 연료 부족과 휘발유 공황 구매를 촉발시킨 식민지 파이프라인 가동 중단의 반복을 막기 위해 파이프라인에 대한 사이버 보안 지침을 발표했다”고 워싱턴 포스트는 보도했다. 이러한 요구 사항은 이 분야에서 표준화된 사이버 보안 플레이북의 긴급한 필요성에 부응하지만, 운영자와 IT 직원 모두에게 부담스러운 과제를 안고 있습니다.
Xage 와 Stratus 전문가가 웨비나에서 논의하는 DHS 요구 사항 중 몇 가지는 다음과 같습니다.
- 모든 네트워크의 암시적 신뢰를 방지하는 제로 트러스트 방법론
- 사용자 자격 증명 회전 및 자산 액세스 관리를 위한 완화 조치
- 소프트웨어 업데이트 및 패치 를 위한 프로토콜
Xage Security의 영업 및 비즈니스 개발 리더인 Joe Blazeck은 “우리는 조직이 경계에서 한 번 확인되는 신뢰할 수 있는 네트워크의 개념에서 벗어나고 있으며, 조직이 모든 사용자, 모든 장치, 응용 프로그램 및 트랜잭션을 지속적으로 확인하는 보안 접근 법으로 이동하고 있습니다. 우리는 장치와 네트워크에 대한 암시적 신뢰를 피하고 있으며 최소한의 권한이라는 새로운 원칙으로 이동하고 있습니다.”
이러한 지시문은 명백해 보일 수 있지만, 현장에서 두통을 유발합니다. 대표적인 예로 파이프라인이 작동하는 영역의 폭이 넓고 이러한 방대한 지역에 걸쳐 파이프라인을 단편적으로 패치하는 IT 계약자 그룹이 자주 분리되어 있기 때문에 계획되지 않은 가동 중지 시간을 정기적으로 발생하는 소프트웨어 업데이트입니다. 이러한 컴퓨터 기반 배포는 플랫폼과 소프트웨어 모두에 대한 간단한 작업처럼 보일 수 있지만 북미 전역에 퍼져있는 플랫폼에 대해 생각할 때 이러한 종류의 업데이트에 대한 도전의 폭을 이해합니다. 자산 관리 제어와 유지 관리할 개인의 자격 증명과 함께 소프트웨어 패치와 관련된 주요 과제는 오늘날 중요한 인프라를 보호하는 운영자에게 몇 가지 골칫거리일 뿐입니다.
스트라투스와 Xage는 파이프라인을 위한 DX의 고통을 완화하고, 판도를 바꾸는 가능성을 열어줍니다.
제로 트러스트 방법론 및 기타 필수 완화 전략을 구현하는 것은 간단하고 올바른 방법으로 쉽습니다. 엣지 컴퓨팅 및 사이버 보안 솔루션 공급자. Blazeck에 따르면” 신뢰가 없는 기본 신조는 보안 경계 외부 또는 내부에서 작동하는 행위자, 시스템, 네트워크 또는 서비스가 신뢰할 수 없다는 것입니다. 대신 이러한 조직은 액세스 권한을 부여하기 전에 모든 시스템에 연결하는 모든 요청을 확인합니다. 트러스트 가 없는 모델의 보안 도구는 장치와 사용자가 악의적인 의도를 가지고 있다고 가정하고 위반이 이미 발생했다고 거의 가정합니다.” 이는 실질적으로 관리자는 네트워크의 모든 트랜잭션을 확인하기 위해 성공적인 규칙 집합을 구현하는 방법에 대한 질문에 답해야 하며, 이는 세분화된 일대일 규칙 집합에 의존하는 기존의 OT 네트워크에서 빠르게 관리할 수 없게 될 수 있는 과제입니다.
이곳은 세이지와 스트라투스가 들어오는 곳입니다. 블레이즈는 “우리는 이 모든 다른 조각들에 대한 정체성을 구축하여 이에 접근합니다. 우리는 모든 사용자, 장치 및 응용 프로그램에 대한 ID를 구축하고 데이터 포인트로 확장합니다. 그런 다음 방화벽 포트를 열고 닫는 대신 그룹화 및 정책에 따라 이러한 ID가 서로 상호 작용할 수 있는 방법을 제어합니다. 사용자이든 사물이든 각 ID는 자체 경계를 가지며 모든 ID는 중앙 Xage 시스템에서 관리되는 정책을 기반으로 다른 ID와 상호 작용할 수 있습니다. 이 ID 중심의 제로 트러스트 접근 방식을 통해 운영자는 모든 원격 끝점을 통해 신뢰할 수 있는 연결을 유지할 수 있습니다.” 이들은 Xage 솔루션이 제공하는 몇 가지 기능일 뿐입니다. 이러한 종류의 절단 을 실행-엣지 같은 내결함성 서버의 사이버 보안 소프트웨어는 스트라투스 ztC 엣지 또한 조직은 정전을 통해 안전하게 작동할 수 있습니다.
Xage 및 Stratus 솔루션의 아름다움은 주로 소프트웨어 기반이며 레거시 하드웨어 위에 앉을 수 있어 보안 감각이없는 구형 PLPc의 현장 액세스 필터링과 같은 기능을 사용할 수 있다는 것입니다. 디지털화가 약속하는 모든 일을 합니다. 서버에서 실행되는 서버가 있습니다. 엣지, 이러한 무거운 리프트 작업을 수행 할 수 있습니다 엣지 – 보안을 포함하여 – 새로운 요구 사항을 충족하기 위해 네트워크를 확장할 때.”
안전한 산업 컴퓨팅 솔루션을 채택하는 데 중요한 것은 과소평가될 수 없습니다. 결국 조직에서 데이터를 사용하는 경우 엣지 더 나은 비즈니스 의사 결정을 내리기 위해 장치를 컴퓨팅한 다음 해커가 기존 IA 아키텍처에서 스푸핑하는 경향이 입증된 데이터의 신뢰성, 정확성 및 개인 정보를 보장하는 것이 필수적입니다.
그러나 디지털 변환 여정이 효율적으로 확보되면 기회는 무한합니다. Stratus 전문가 루디 드 안다에 따르면, “우리가 발견하는 것은 당신이 그 기술을 배포하고 효율적으로 배포하는 경우, 그것은 정말 강력한 연결 의 일부를 배포 할 수있는 대역폭을 얻을 수있는 기회입니다 엣지 데이터를 약화시키는 대신 보안 태세를 강화하는 동시에 데이터를 활용하는 도구입니다.”
자세한 내용은 아래 석유 및 가스의 DHS 사이버 보안 요구 사항에 대한 전체 웨비나, 실행 가능한 인사이트를 시청하십시오.