미국 Cybersecurity and Infrastructure Security Agency(CISA)에서 제공하는 OT/ICS 보안 트레이닝(https://ics-training.inl.gov/learn) 프로그램을 정리한 내용입니다.
1. Describe Risk Element
Risk Equation: Threat × Vulnerability × Consequence = Risk
Threat
위협을 구성하는 3요소는 Capability, Oppurtunity, Intent.
Vulnerability
취약점 완화 시 첫째, 완화(예: 패치 적용)를 적용하기 전에 광범위한 테스트를 수행하여 중요한 시스템 기능에 영향을 미치지 않는지 확인해야 한다.
둘째, 패치 또는 업데이트가 실행 가능한 것으로 간주되는 경우, 이를 구현하기 위해 전략적 계획과 가동 중지 시간이 필요한다. 고가용성 제어 시스템 환경에서는 가동 중지 시간을 찾는 것이 어려울 수 있다.
셋째, 테스트 후에도 완화 조치가 의도한 대로 작동하는지 확인하기 위해 시스템을 모니터링해야 한다.
Consequence
재정 손실 등 측정하기 쉬운 것도 있다. 반면 항구를 개방하지 않아 배가 충돌하는 등의 결과는 단순히 재정적 손실만 초래하지 않는다.
세 가지 요소 중 하나라도 0이면 위험은 존재하지 않는다.
2. Discuss the factors that have contributed to eleveated risk
ICS 사고에 영향을 미친 요소: 사람, 프로세스, 시스템, 컴포넌트를 비롯한 모든 것이다. Cultrual & Techinical factor로 나눌 수 있다.
Cultrual: 사람, 프로세스, 정책 등을 말한다. technical factor에 영향을 줄 수 있다.
technical: ICS를 구성하는 시스템 및 컴포넌트를 말한다. 연결된 네트워크는 공격자가 침투할 경로를 제공한다.
ICS 자체에 취약점이 있는 경우도 있지만, ICS가 의존하는 윈도우 등 OS의 취약점이 위험을 초래하기도 한다.
3. Explain the security issues created by integrating IT systems with ICS
피싱 이메일, oudated application & OS 등