한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
정확한 IoT 장치 식별을 위한 패시브 OS 핑거프린팅의 힘
기업 네트워크와 인터넷 전반의 IoT 장치 수는 2030년까지 290억 개에 이를 것으로 예상됩니다. 이러한 기하급수적인 증가로 인해 공격 표면이 의도치 않게 증가했습니다. 상호 연결된 각 장치는 잠재적으로 사이버 공격 및 보안 침해에 대한 새로운 경로를 만들 수 있습니다. Mirai 봇넷은 수천 개의 취약한 IoT 장치를 사용하여 중요한 인터넷 인프라와 인기 웹사이트에 대규모 DDoS 공격을 감행함으로써 이를 입증했습니다.
IoT 확산의 위험으로부터 효과적으로 보호하려면 지속적인 모니터링과 절대적인 제어가 중요합니다. 그러나 이를 위해서는 기업 네트워크 내의 모든 IoT 장치 및 운영 체제(OS)를 정확하게 식별해야 합니다. 이러한 지식이 없으면 IT 및 보안 팀은 대상 보안 제어를 효과적으로 구현하고, 네트워크 활동을 모니터링하고, 이상 현상을 식별하고, 잠재적인 위협을 완화하는 데 필요한 가시성과 이해가 부족합니다.
일반적으로 관리자는 네트워크 엔드포인트에서 실행되는 소프트웨어 에이전트가 할당한 고유한 장치 ID를 통해 장치와 OS를 식별하고 장치 식별을 위한 정보를 수집할 수 있습니다. 그러나 모든 운영 체제, 특히 임베디드 시스템 및 IoT 장치에 사용되는 운영 체제에 이러한 에이전트를 설치하는 것이 가능하지 않거나 실행 가능하지 않을 수 있습니다. 그 이유는 IoT 장치가 특정 기능을 수행하도록 설계되었으며 처리 능력, 메모리, 저장 공간과 같은 리소스가 제한된 경우가 많기 때문입니다. 추가 소프트웨어 에이전트를 지원하는 기능이 부족한 경우가 많습니다.
이러한 이유로 소프트웨어 설치를 포함하지 않고 특정 IoT 장치 요구 사항을 충족하도록 맞춤화되고 제거된 시스템과 동일하게 작동하는 식별에 대한 수동적 접근 방식이 필요합니다. 그러한 방법 중 하나는 네트워크 기반 지문 채취와 수동 OS 지문 채취입니다.
실제로 수동적 OS 핑거프린팅은 직접적인 상호 작용 없이 단순히 외모와 행동만으로 사람을 프로파일링하는 것과 같습니다. 마찬가지로 장치가 네트워크와 상호 작용하는 방식은 장치의 신원, 기능 및 잠재적 위험에 대해 많은 것을 알려줍니다. 소프트웨어 에이전트를 설치하는 대신 패시브 OS 핑거프린팅에는 장치에서 생성된 네트워크 트래픽 패턴과 동작을 분석하여 운영 체제를 확인하는 작업이 포함됩니다.
이 방법은 다양한 운영 체제에 특정한 트래픽 패턴과 동작을 저장하는 확립된 기술과 지문 데이터베이스를 사용합니다. 예를 들어 TCP 헤더 또는 DHCP(동적 호스트 구성 프로토콜) 요청에 설정된 특정 옵션은 운영 체제마다 다를 수 있습니다. OS 핑거프린팅은 본질적으로 장치의 네트워크 트래픽 패턴 및 속성을 알려진 OS 프로필과 일치시키고 이에 따라 트래픽을 분류하는 것입니다.
OS 핑거프린팅에는 여러 네트워크 프로토콜을 사용할 수 있습니다.
제한 사항에도 불구하고 네트워크 계층 전반에 걸쳐 여러 프로토콜의 동작과 속성을 분석하면 정확한 장치 식별에 도움이 될 수 있습니다. 관리자는 OS 핑거프린팅을 사용하여 액세스 제어 및 보안 정책과 관련하여 정보에 입각한 결정을 내릴 수 있습니다.
IoT 네트워크의 급속한 확장과 이로 인해 발생하는 취약점을 고려할 때 OS 핑거프린팅은 수동 장치 식별에 도움이 될 수 있습니다. 그러나 수동 OS 핑거프린팅은 광범위한 도메인 지식과 전문 지식이 필요한 어려운 작업입니다.
주요 과제는 확장성입니다. 엔터프라이즈 네트워크 전반에 걸쳐 수천 개의 트래픽 흐름에 걸쳐 고유 식별자를 수동으로 매핑하는 것은 불가능합니다. 이러한 과제를 극복하기 위해 조직은 클라우드 기반 통합 네트워크 및 보안 스택의 리소스와 규모를 활용할 수 있습니다. SASE(Secure Access Service Edge) 또는 SSE(Secure Service Edge)와 같은 클라우드 기반 보안 스택은 필요한 리소스에 액세스하고 기계 학습 알고리즘과 통계 분석을 통해 대량의 네트워크 트래픽 데이터에서 패턴과 동작을 추출할 수 있습니다.
네트워킹 및 보안 기능을 통합하면 침입 탐지 시스템, 방화벽 로그, 엔드포인트 보안 솔루션 등 다양한 소스에서 네트워킹 및 보안 데이터를 자동으로 수집하고 상호 연관시켜 네트워크 활동과 운영 체제 및 IoT 장치와의 관계에 대한 개요를 제공할 수 있습니다. .