ICS / Honey Pot / Cyber Kill Chain

ICS ( Industrial Control System )

- 산업 제어 시스템, 즉 산업 환경에서 자동화 및 제어를 위해 사용되는 시스템

 

• SCADA ( Supervisory Control And Data Acquisition ) - 대규모 시설에서 실시간 제어 및 모니터링을 위해 사용
• PLC ( Programmable Logic Controllers ) - 자동화된 제어 시스템을 구현하기 위해 사용, 프로그래밍된 로직에 따라 출력장치를 제어하는 역할을 함
• DCS ( Distributed Control System ) - 공정 제어 및 자동화를 위해 사용, 여러 개의 제어 유닛과 센서가 분산되어 있음, SCADA와 유사하지만 보다 복잡한 환경에서 사용

 

 

Honey Pot?

 

- 공격자를 설계한 시스템으로 유도하여 공격 취약점이나 기법에 대한 정보를 얻기 위해 설계한 시스템

- 새로운 공격 기법에 대한 연구를 위해 설계되었기에 실제 시스템과 유사함

- 공격자가 쉽게 공격할 수 있게 노출이 쉽게 되야하고 공격 가능하게 설계해야함

- 시스템에 대한 모든 패킷 및 로그를 수집할 수 있어야 한다.

 

 

Intelligence

- 데이터를 수집, 정리, 분석하여 보다 효율적인 의사결정을 할 수 있게 도와주는 정보

 

Cyber Threat Intelligence

- 공격자의 악의적인 행위를 파악하고 보안 사고가 일어나기 전, 일어나는 중, 일어난 후의 의사 결정을 도와주며 피해를 최소화하고 원인 분석, 운영 복구 시간 감축 등을 가능하게 하는 것

 

생성 과정

1. 정보 수집 : 다양한 소스에서 가져온 정보들을 수집하고 분류하는 과정
2. 정보 처리 : 정보 수집 과정들을 거친 다양한 정보들을 의미있는 형태로 변환하는 것, 즉 데이터 분석, 패턴 분석, 추론, 학습등의 과정이 포함되며 이때 Machine Learning, AI, 통계 분석 같은 기술들이 정보처리 과정을 지원
3. 판단과 결정 : 정보 처리가 된 모델들을 통해 의사결정을 하고 이때 문제의 복잡성과 상황에 따라 다양한 형태로 이루어질 수 있다.

THANDRA : Intelligence Cycle

Cyber Threat Intelligence

• Strategic Intelligence : 전문적인 사람을 대상으로 하며 전술, 기술 및 위협 행위의 절차를 개요로 설명
• Tactical Intelligence : 비전문가를 대상으로 보다 쉬운 분석을 중점적으로 하며 이해 목적이 강함
• Operational Intelligence : 조직이 잠재적인 위험에 대한 대응을 도와주며, 과거 전술적 인텔리전스를 통해 식별된 공격의 세부 정보를 조사하여 누가 했는지, 어떻게 수행했는지 및 무엇을 했는지에 대한 질문에 답할 수 있다.

Cyber Kill Chain

- 사이버 공격의 단계별 접근 방식을 설명하는 모델, 공격자가 공격을 제어하고 실행하는 과정을 단계적으로 설명하여 보다 효율적인 방어 방법을 제시

 

Medium : Cyber Kill Chain

 

 

---

참고 사이트

https://www.crowdstrike.com/cybersecurity-101/threat-intelligence/

What is Cyber Threat Intelligence? [Beginner's Guide]

https://medium.com/@haircutfish/tryhackme-cyber-kill-chain-room-a0ebcff024a9

TryHackMe Cyber Kill Chain Room

https://attack.mitre.org/tactics/ics/

Tactics - ICS | MITRE ATT&CK®