Operational technology (OT) includes any hardware and software that directly monitors and controls industrial equipment and all its assets, processes and events to detect or initiate a change. Yet despite occupying a critical role in a large number of essential industries, OT security is also uniquely vulnerable to attack.
   From power grids to nuclear plants, attacks on OT systems have caused devastating work interruptions and physical damage in industries across the globe. In fact, cyberattacks with OT targets have substantially increased, and attackers most frequently target the manufacturing industry.
  It’s clear that further steps are needed to improve the standard of OT security. Operators of critical infrastructure must recognize the pivotal role of OT, the risks presented by threat actors and, finally, how to create a secure OT framework. 

OT 의 범위 / The Scope of OT

광산, 건설, 오일과 가스 송신, 전력과 유틸리티,  화학 공장, 수처리, 산업용 기계및 수송과 같이 OT를 활용하는 중요한 산업은 다양합니다. OT 환경을 설정할때 산업용 네트워크, 산업용 컨트롤 시스템(ICS), 운영 및 유지보수 프로세스를 고려해야 합니다. OT의 진보는 IT 변화가 일어나기 전에  일어났으며, 사실 OT 는 산업혁명이 시작한 이래로 계속 존재해 왔던 이야기 입니다.

  A wide variety of crucial industrial sectors utilize OT, including mining, construction, oil and gas transmissions, power and utilities, chemical plants, water treatment, industrial machinery and transportation. Settings for OT include industrial networks, industrial controls systems (ICS) and processes for operation and maintenance. 
  The OT revolution occurred well before the information technology (IT) revolution. In fact, OT has existed since the beginning of the Industrial Revolution.



OT 와 IT는 어떤 면에서 다른 가요? / In What Ways Do OT and IT Differ?

IT는 마케팅, 세일즈, 고객관계시스템, 커뮤니케이션 등과 같은 기업의 운영을 지원하는 컴퓨터 시스템을 통하는 디지털 데이터의 처리과정을 이야기 합니다. 당신의 이메일 서버, 웹서버, 기업의 자원 계획시스템, 음성 IP 전화, 프린트 서버, 헬프데스크 어플리케이션은 전형적인 IT 시스템의 예들 입니다. 

기업들은 산업의 기술 프로세스를 모니터링 하고 통제하기 위해 컴퓨터 시스템을 필요로 하는 반면, OT는 물리적인 프로세스와 기계들의 운영을 관리합니다.

IT 영역에 설치되어 있는 어플리케이션과 프로시져들은  전력발전 및 송신, 수처리, 화학적 제조기업과 같은 OT영역의 흐름을 통제하는 것을 돕습니다.  OT에서는 주로 모터, 컨베이어, 벨브, 지게차와 같은 물리적인 자산이 앤드포인트로 통제가 되는데, 이러한 것들은 크기, 모양, 정교함의 정도, 버전과 연식에 있어서 다양함이 존재합니다.

줄여서 이야기 하면, OT는 물리적으로 물건과 서비스를 수송하는 일을 처리하는 시스템들을 다루고 있습니다. 보안영역에 있어서 OT공급자들은 그들의 시스템에 있어서 보안전략의 일부분으로 매년 패치를 적용합니다. 제품에 대해 부족한 지식과 복잡한 환경 때문에 많은 기업들은 보안의 도움을 받기 위해 OT 벤더들이게 전적으로 의지해야만 합니다.

  IT refers to the processing of digital data through computer systems that support corporate operations like marketing, sales, customer relationship management, communications and more. Your email server, web server, enterprise resource planning system, voice-over-IP phone, print server and helpdesk application are examples of typical IT systems.
  While industries require computer systems to monitor and control industrial and technological processes, OT manages the operation of physical processes and machinery.
  Applications and procedures employed in the IT sector aid in controlling the flow of the OT sector, which includes power generation and transmission, water treatment and chemical manufacturing. In OT, on the other hand, the endpoints being controlled are frequently physical assets, such as motors, conveyors, valves and forklifts. These “things” exist in a variety of sizes, shapes, levels of sophistication, versions and vintages.
   In short, OT covers the range of systems that deal with the physical transformation of goods and services. They are task-specific systems that are also industry-specific and regarded as mission-critical. 
  In terms of security, OT suppliers apply annual patches as part of the security strategy for their systems. Due to a lack of product knowledge and a complicated environment, many companies must rely entirely on OT vendors for security help. 

OT의 공통 요소들 / Common Components of OT

산업의 프로세스가 사용되는 디지털 장비에는 ICS 자산들이 있습니다. ICS는 전력망과 수처리 시스템과 같은 중요한 인프라와 아날로그 어플리케이션, 제조기업을 커버하고 있습니다. 
감시제어 데이터수집 시스템 (SCADA)와  분산제어시스템 (DCS)은 주요 ICS 의 요소들로 OT형태로 결합하여, 실제 환경에서 통신할수 있게 합니다. 주요한 ICS는 모든 요소들은 아래와 같습니다.

  The digital equipment used in industrial processes includes ICS assets. This covers many aspects of manufacturing, analogous applications and vital infrastructures, such as the power grid and water treatment systems.
  Supervisory control and data acquisition (SCADA) and distributed control systems (DCS) are the main ICS elements that combine to form OT that interacts with the physical environment.  The following are all major ICS components:

• SCADA 시스템은 주로 떨어져 있는 장소에서의 센서에서 데이터를 수집하며 그 정보를 통제 및 관리를 위한 중앙컴퓨터로 전송합니다.
• DCS는 자동화된 통제 시스템으로 발전소 및  통제 지역 주변에서 지리적으로 분배되어 있는 통제 유닛들이 이 시스템을 구성합니다. 
• 프로그래밍을 할 수 있는 로직 컨트롤러(PLC)는 산업용 컴퓨터 통제 시스템으로 지속적으로 입력장치들을 분석하고, 어떻게 컴퓨터 프로그램기반의 출력장치들을 통제할지를 결정합니다.
• 장치를 분석하고 커스텀 프로그램을 기반으로 하는 아웃풋 디바이스를 관리하는 법을 결정합니다.
• 원격 터미널 유닛 (RTUs)은 SCADA 또는 발전소 통제시스템과  연결하고, 현장 장비를 모니터링하고 관리하는 마이크로 프로세저 기반의 장치 입니다. 
• 휴먼머신인터페이스 (HMI)는  사람들이 장비와 통신을 하고 관여할 수 있게 하는 소프트웨어 어플리케이션 또는 장치의 기능입니다..
• 프로세스히스토리데이터베이스 (PHD)는 현재와 과거의 공장 프로세스 데이터를 모으고 저장하고, 다시 활용할 수 있게 하는 어플리케이션 입니다. 이는 다른 산업용 소프트웨어 프로그램과의 결합에서 사용될 때 프로세스 퍼포먼스를 높이고 빠른게 더 나은 판단력으로 데이터를 보호할 수 있게 합니다.

• SCADA systems gather data from sensors, frequently at dispersed locations, and transmit it to a centralized computer for management and control 
• DCS is an automated control system composed of geographically distributed control units around the plant or control region
• A programmable logic controller (PLC) is an industrial computer control system that continuously analyzes the status of input devices and decides how to regulate output devices based on a custom program
• Remote terminal units (RTUs) are microprocessor-based devices that monitor and manage field equipment and connect to SCADA or plant control systems
• Human-machine interface (HMI) is a function of a device or software application that enables people to engage and interact with machines
• Process history database (PHD) is an application that gathers, stores and replays past and ongoing plant process data. It enhances process performance and data security to enable better and quicker judgments when used in conjunction with other industrial software programs.

OT 프로로콜 / OT Protocols

OT 프로토콜은 전형적으로 폐쇄형 시스템이기 때문에, 이 프로토콜들은 벤더 독점적이며 종속됩니다. 다양한 모델에 있어서 다른 프로토콜이 설치가 됩니다.운영을 간소화 하고 오래된 IT 하드웨어간의 호환성을 높이기 위해서 OT 장치들과 시스템들은 최근에 TCP/IP, Modbus와 같은 IT 표준네트워크 프로토콜을 도입하였습니다.  Modbus는 공통적으로 모든 PLC와 개별 밴더들에서 통신프로토콜로 사용이 됩니다. 몇 가지 OT 프로토콜은 아래와 같습니다.

Since OT protocols are typically closed systems, they are proprietary and vendor-dependent. At various levels of the Purdue model, different protocols are employed. To simplify operations and improve interoperability with older IT hardware, OT devices and systems have recently adopted IT-standard network protocols such as TCP/IP. Modbus is a commonly used communication protocol in all PLCs, irrespective of vendor.

The following are a few OT protocols:

• Modbus
• MelsecNet
• DALI
• DSI
• Dynet
• Obix
• ZigBee
• xAP
• DNP3
• M-Bus
• INSTEON
• BACAnet
• EnOcean.

OT 보안의 어려움의 증가 / An Increase in OT Security Challenges

OT 와 IT가 섞이면서 10년 이상동안, OT 환경과 시스템들을 보유하고 있는 기업에 대한 사이버 공격이 증가해 오고 있습니다. 산업용 인터넷의 도입은 모든 인터넷이 연결된 장치들을  보유하고 있는 OT 시스템에 엄청난 위협 리스크를 증가시켜 왔습니다. 비록 OT 시스템들은 중요한 제조 맟 생산 장비들에 있어 반드시 필요로 하는  요소 일 지라도, 이전에는 이 장비들에 보안 프로그램이 포함되어 있지 않았습니다. 

IT와 OT 간의 통합은 공격의 표면을 증가 시킵니다.

For more than a decade, there has been a rising tide of cyberattacks against businesses with OT environments and systems, especially with the fusion of OT and IT. Industrial internet adoption has also increased the risk of disruptive threats to OT systems, which are present for all internet-connected devices.
Although OT systems are intrinsic components of crucial manufacturing and production equipment assets, they have not previously been included in security programs.
  Convergence between IT and OT increases attack surfaces:

• 안전하지 않은 신분정보 - 운영자들은 네트워크에 접근하기 쉽도록 보안에 취약한 암호를 셋팅해 둡니다. 이 때문에 해커들은 암호를 찾아내기 위한 대량의 공격을 할 필요 없이 운영자의 권한을 간단히 얻을 수 있습니다.
  
• 공유된 유저계정의 기본값 -  운영자들은 적절한 보안시스템 없이도  공유된 ID와 장치에 있어서 동일한 기본 신분증명에 대해 접근이 가능합니다.
• 오래된 장비 - 벤더 제한과 오래된 장비들이 엔드포인트 툴을 사용하는데에 있어서 제한을 두게 합니다.
• 보안 지식 - OT 산업 현장에서, 새로운 네트워킹 기술은 최신 기술을 요구합니다. 이것은 OT 보안에 있어서 지식의 차이를 채우기 위해서 ㅍ필요로 되어 집니다. 
• 제한된 기술 - 위협은 항상 진화하고 있고, 기술을 더 진보해 지고 있습니다. OT 사이버보안 기술 및 이해력의 부족은 더 많은 침해를 일으킬 수 있습니다.
• 오래된 운영 시스템 - 보안 업그레이드가 되지 않은 오래된 운영시스템은 보안 위협에 취약합니다. 침해를 피하기 위해서, 제조업체의 규범에 따라서 모든 장비들을 패치하고 기록해 둘 필요가 있습니다.
• 취약한 프로토콜 - 인증과 암호와 가은 기능을 포함하여, 많은 제조기업들은  현재의 보호되지 않는 프로토콜과 장비들레 대한 보안의 대안을 생각하고 있습니다.
• 보안에 임하는 자세 - 산업용 컴퓨팅 커뮤니티는 전통적으로 보안에 거의 관심을 받지 못하였습니다. OT 산업은  다른 보안 전문과들과 협업을 하는 것은 물론 보안의 규범과 절차와 관련해서도 뒤쳐져 있습니다.

• Unsecure credentials. For easy access to the networks, operators have been employing weak passwords. Due to this, it is simple for hackers to obtain operator access without authorization by using brute-force password attacks.
• Default/shared user accounts. Without an appropriately secure system, operators have access to both the shared ID and the same default credentials for devices.
• Legacy equipment. Vendor restrictions and legacy equipment further constrain endpoint tool coverage.
• Security knowledge. In OT industrial situations, new networking technologies call for modern skills. It is necessary to fill the knowledge gap in OT security.
• Limited skills. Threats are always evolving, and tactics are improving. A lack of OT cybersecurity skills and understanding causes many exploits.
• Outdated operating system. An outdated operating system that isn’t getting security upgrades is vulnerable to security threats. To avoid compromise, it is necessary to inventory and patch every piece of equipment in accordance with the manufacturer’s guidelines.
• Vulnerable protocols. By including features like authentication and encryption, many manufacturers are developing secure alternatives to currently unsecured protocols and equipment.
• Security posture. The industrial computing community has traditionally received little attention from security. The OT industry lags far behind the IT industry in terms of security standards and procedures, as well as collaboration with outside security researchers.

중요한 OT 사이버 공격 / Significant OT Cyberattacks

중요한 OT 시스템의 디지털화는 수많은 걱정을 야기시켰습니다. 게다가 인터넷과 ICS의 연결은 위협과 리스크를 더 많이 가져왔습니다. 아래의 사이버 공격은 OT 시스템에 중요한 영향을 가져왔습니다.

 The digitization of vital OT systems has introduced numerous concerns. In addition, the connection of ICSs to the internet has brought even more risks and threats. 
The following cyberattacks all had a significant impact on OT systems: 

• Ukrainian Power Grid Attack, 2015
• Stuxnet Worm, 2010.
• Triton Malware, 2017
• Norsk Hydro (LockerGoga) Ransomware, 2019

일반적인 공격벡터 기법 / Common Attack Vectors

물리적인 대상과 프로세스 및 보안 사건들을 통제하고 모니터링 하기위에서,  OT 보안 솔루션은 프로시저와 기술을 포함하고 있습니다. 이러한 기술들은 정보, 자산, 사람들을 보호하는 기능을 합니다. 전통적인 물리보안과 재난복구와를 포함하는 위험관리 전략에는 OT 사이버 보안을 포함해야 합니다.

허가되지 않은 접근으로 부터 그들의 네트워크를 효과적으로 보호하기 위해서, 기업은 의심스러운 사이버 공격에 사용되는 가장 일반적인 공격 방법에 대해서 알아야 할 필요가 있습니다. 공격 벡터라는 것은  공격자들이 타겟에게 접근하는데 사용하는 방법 또는 길을 의미 합니다. 

사이버 공격의 요소들의 공통적인 특성은 아래와 같습니다.

  OT security solutions involve procedures and technologies used to monitor and regulate physical objects, processes and events. In addition, these technologies also serve to protect people, assets and information. A broad risk management strategy that includes traditional physical security and disaster recovery should incorporate OT cybersecurity.
  To effectively protect their networks from unauthorized access, organizations need to be aware of the most common attack vectors for malicious cyberattacks. An attack vector is a method or path that an attacker uses to access the target of the attack.
  Below are the common types of cyberattack vectors:

• 이동식 저장장치 - 내부 데이터 전송을 위한 USB 플래쉬 드라이브 또는 비슷한 장치는 잠재적으로 말웨어로 시스템을 감염시킬 수 있다. 
• 침해를 받은 장비 - 물류망에 있는 장비들은 공격에  취약할 수 있습니다. 완전히 바뀌는 기간동안, 장치의 펌웨어 들은 안 좋은 방향으로 교체가 되어질 수 있습니다.
• 허가되지 않은 연결 -  컴퓨터들, 노트북, 모바일 장치들은 연결된 엔드포인트의 형태로 공격에 취약할 수 있습니다.
• 원격 접근 - 공격자들은 네트워크 또는 장치들에 접근권한을 가지기 위해 원격접근으로 시스템을 탈취할 수 있습니다.
• 패치되지 않은 취약점 침투 -  공격자들은 허가되지 않은 조치를 취하거나, 다른 유저들이 가지고 있는 허가권한을 
• 피싱 - 전형적인 벡터 접근법으로 알려져 있습니다. 피싱은 믿을만한 사람 또는 회사의 계정을  이용하거나 피해자를 공격해서 얻은 정보를 활용하여 중요한 데이터를 찾아 내는 사회공학적 공격 방법 입니다.
• 약한 신분정보 - 신분정보의 노출이 되는 경우, 약한 암호와 그 암호의 재사용으로 인해 처음 공격자들이 접근해서 수직이동을 할 수 있게 하는 중요한 길 역할을 할 수 있도록 돕습니다. 최근에 Mirai와 같은 멀웨어 공격은 관리하고 있는 장치들과 IoT 연결 장치들에 약한 신분정보를 노출했습니다.

• Removable media. A USB flash drive or similar device for internal data transfer can potentially infect systems with malware.
• Compromised equipment. Equipment in the supply chain may be vulnerable. During the changeover, device firmware might be replaced.
• Unauthorized connections. Computers, laptops and mobile devices are forms of connected endpoint devices that may be vulnerable to attack.
• Remote access: An attacker could exploit a system with remote access to gain access to a network or device.
• Exploit unpatched vulnerabilities. Attackers could either perform actions they are not permitted to or inherit the permissions of other users by taking advantage of an unpatched vulnerability in an application or operating system.
• Phishing. This conventional vector approach is well-known. Phishing is a type of social engineering that seeks to get sensitive or important information by adopting the identity of a trustworthy person or organization and using that information to attack the victim.
• Weak credentials. Credential exposure serves as a conduit for initial attacker access and lateral movement because of weak passwords and password reuse. Recent malware attacks, such as Mirai, have exploited weak credentials on managed devices and IoT-connected devices.

OT 솔루션들에 대한 최고의 실습 / Best Practices For OT Solutions

기업들은 사이버보안 통제를 위해서 다른 계층과 우선순위를 사용한다. OT 보안 솔루션에 의해서 사용되는 보안 기술들은 아래와 같습니다.
Organizations use different classifications and priorities for cybersecurity controls. Security technologies used by OT security solutions include:

• 리스크 평가 / Risk assessment
• 컴플라이언스와 규격 / Compliance and standards
• 장비 목록 관리 / Inventory management
• 네트워크 보안 / Network security
• 취약 관리 / Vulnerability management
• 보안 정보이벤트 관리 SIEM / Security information and event management
• 멀웨어 보호 / Malware protection
• 깊은 보안 / Defense in depth
• 접근 통제 / Access control

https://securityintelligence.com/posts/why-ot-security-cannot-be-avoided/