시스코의 OT-IT 통합 보안 전략
많은 사람이 네트워킹을 생각할 때 시스코를 떠올리곤 하지만 산업용 네트워킹 시장에서는 그렇지 않은 경우가 있다. 과거에는 제조 현장, 철도, 유틸리티 같은 산업용 도메인에서 산업용 네트워킹 관련 자재를 전문 공급업체에 의존했지만 현재는 그렇지 않다. 시스코는 현재 산업용 이더넷 네트워크 시장에서 글로벌 1위의 벤더로 등극했으며, IHS 조사 결과에 따르면 현재 시스코는 모든 범주에서 성장하는 유일한 메이저 공급 업체다. 현재 국내에서도 본격적인 비즈니스 확장을 시도하는 중이다.
스마트 팩토리나 인더스트리얼 4.0은 결국 IT-OT 융합으로 귀결된다. 이러한 상황에서 시스코 IoT는 OT 환경 내 산업 자산 애플리케이션 및 데이터를 상호 연결한다. 이를 통해 혁신적인 비즈니스 통찰력을 얻을 수 있는 엔드투엔드 IoT 포트폴리오를 제공하고 있다.
시스코 IoT는 위 그림 과 같은 같은 분야에 집중한다.
우선 다양한 산업용 네트워크 장치를 통해 신뢰할 수 있는 네트워크 환경을 구성하고, 이러한 연결을 운영 환경으로 확장한다. 또한, 다양한 네트워크 관리 솔루션을 제공해 산업 자산 및 네트워킹 장치를 규모에 맞게 관리할 수 있다. 시스코는 데이터 자체에도 주목한다. 적절한 데이터를 적시에 올바른 위치로 효율적이고 안전하게 이동시킬 수 있는 방안을 제시한다. 데이터에는 여기에는 엣지 컴퓨팅을 도입하는데, 현장에서 신속한 의사결정이 가능하도록 현장 데이터 프로세스를 엣지에서 처리할 수 있는 인프라와 컨트롤 플레인을 제공한다.
이러한 서비스들은 시스코 보안 솔루션들과 함께 제공되므로 비즈니스를 보호할 수 있다.
OT 보안 트렌드
전통적인 자동화 생산 시스템에서는 보안 이슈를 크게 고려하지는 않았다. 제조 시설은 안정적이고 효율적인 생산이 가장 중요하며 이는 현재도 유효하다. 그러나 스마트 팩토리, 인더스트리 4.0, 제조 지능화 같은 새로운 트렌드가 등장하며 더 많은 현장 디바이스의 생성과 연결을 기반으로 한다. 이를 통해 수집된 데이터는 새로운 비즈니스 인사이트 창출의 결과로 나타난다.
문제는 이 과정 속에서 인프라는 더 복잡해지고 더 많은 디바이스, 더 많은 기술의 활용에 의해 과거에는 신경 쓸 필요가 없었던 OT 보안 이슈가 발생한다.
IT에서는 이미 사이버 보안 운영 기술이 보편적으로 활용되고 있다. 사이버 위협으로부터 기업의 운영과 자산을 보호하는 일은 IT 주요 업무 중 하나다 그 반면에 OT는 생산 연속성을 보장하는 게 가장 중요하다.
따라서 OT에서의 운영 기술은 제어와 프로세스를 최적화하고 생산 설비를 잘 관리해서 생산의 다운타임을 막는 일이다. 그러나 IT-OT 부서 간 기술과 업무의 차이로 인해 생산성 저해가 발생한다.
협업 중에서 사이버 보안이 가장 큰 이슈다. OT 사이버 공격은 위 그림과 같이 존재하고 있으며, 피해 기업은 큰 손실액은 물론 기업 이미지에도 좋지 않은 영향을 받았다.
최근에는 정수시설 스카다 시스템에 해커가 침입해 인체에 치명적일 수 있는 화학물질의 양을 조절했던 사례가 있다. 불발로 끝났지만 국가기관 시설에 해커가 침입했다는 점, 설비를 제어 및 모니터링하는 스카다 시스템의 변수 조작을 시도했다는 점, 이로 인해 대규모의 인명 피해가 발생할 수도 있었다는 점은 OT 사이버 위협이 금전적 손실에만 머무르지 않는다는 사실을 인지하게 해주는 계기로 작용했다.
콜로니얼 파이프라인 석유 공급 시설 사이버 공격 사례로는 수많은 미국인이 한동안 주유를 할 수 없었다. 따라서 OT 사이버 공격은 기업이나 시설에만 머무르지 않는다는 사실을 일깨워주었다.
그러나 IT 환경의 위협 대비 OT 환경 보안 구축은 쉽지 않다. IT 환경은 이미 보안에 대한 대처를 하고 있다. 예를 들어 암호화(Encryption) 인크립션의 경우 IT에서는 흔한 기술이지만 OT 환경에서 통신에 대한 암호화가 잘 돼 있는 걸 보기 어렵다. 생산 자산에 대한 가시성도 매우 부족하다. 패치 역시 어렵다. 생산 환경에서 펌웨어나 보안 패치를 즉각적으로 진행하는 것은 불가능하다.
또한, 엔드 포인트 에이전트 설치는 대다수의 ICS 장비들에서는 적용 자체가 어렵다.
안티 바이러스 또한 OT 환경 내 모든 단말들에 대해 전체 모니터링을 하는 것이 이미 운영 중인 시설에서는 매우 어려운 일이다. 그렇다면 OT보안은 무엇부터 시작해야 할까?
가트너에서는 다음과 같은 단계적인 구축 방안을 제시한다. 시스코 전략은 가트너의 방안과 유사하지만 조금 더 단순하다.
1단계는 가시성 확보다. OT 환경 내 모든 자산을 파악하고, 자산 간 네트워킹 여부를 파악해야 한다.
2단계는 네트워크 세그멘테이션이다. 사이버 공격 시 추가적인 확산이 이루어지지 않도록 IDMZ를 구축하고 영역 분리 및 구분이 필요하다.
3단계는 실시간 위협 탐지다. 외부 위협에 대한 침입을 탐지하고 OT 비정상 행위를 탐지해야 한다.
4단계는 통합 SOC 운영이다. OT를 포함한 기업 전체 보안 이벤트에 대해 보다 빠른 분석 및 대응이 가능해진다.
보안 여정에서 OT 보안을 통합 SOC 수준까지 한 번에 구축하는 것은 현실적이지 않다. 따라서 산업 자산에 대한 가시성이 가장 먼저 충족되어야 한다. 패치할 수 있는 것은 패치하고, 컴퓨그레이션을 수정하고 원치 않은 통신 및 알 수 없는 원격 액세스 등을 감지하려면 무엇이 있는지 알아야 한다. 이 모든 정보를 사용해 네트워크를 분할하고 자산을 격리해 영역 간의 통신을 제어할 수 있다. 이렇게 하면 전체 네트워크로 확산되는 공격의 위험이 크게 줄어들고 패치할 수 없는 중요한 자산도 보호할 수 있다.
세분화를 사용하면 멀웨어 및 악성 트래픽을 쉽게 탐지할 수 있으며, 비정상적인 동작을 파악하고 처리할 수 있다. 이 모든 것이 가시성 확보에서 시작한다.
그림은 OT 환경 계층적 구분에 자주 사용되는 퍼즐 모델이다.
레벨 0부터 2까지의 영역은 셀-에어리어 존으로 표현된다. 각종 현장 기기, PLC, HMI, 스카다와 같은 ICS 장치가 포함되는 영역이다. 네트워크 관점에서는 설비 네트워크 및 레이어 2 액세스 레벨에 해당한다.
레벨 3 영역은 매뉴팩처링 존으로 표현된다. 제조업 생산 관리 시스템인 MES 및 주요 애플리케이션 서버를 포괄하는 영역이다. 네트워크 관점에서는 디스트리뷰션 또는 코어 네트워크에 해당한다.
그 위에는 엔터프라이즈 영역과 제조 영역이 구분되는 IDMZ 영역이 존재하고, 최상단 레벨 4~5 영역은 엔터프라이즈 IT 환경을 의미한다.
슬라이드 기준 레벨 0부터 레벨 3까지 시스코는 가시성 솔루션인 시스코 사이버 비전을 제공한다.
시스코 사이버 비전은 산업용 프로토콜을 디코딩해 산업 자산 프로토콜 및 통신 패턴을 분석하고 베이스 라인을 설정하며 편차를 경고해 운영 통찰력을 제공한다. 또한, 시그니처 기반 침입 탐지와 이상 탐지를 위한 적응형 머신러닝을 통해 취약한 자산을 식별하고 의심스럽고 악의적인 네트워크 동작을 식별한다.
레벨 3부터 레벨 5까지의 가시성은 시스코 스텔스워치(Stealthwatch)를 통해 확보할 수 있다. 스텔스워치 기존 인프라를 활용해 사설 네트워크에서 공용 클라우드까지 네트워크 트래픽에 대한 전사적 컨텍스트 가시성을 제공하는 네트워크 탐지 및 대응 솔루션이다. 또한 기존 네트워크 인프라의 엔터프라이즈 텔레메트리를 사용하는 포괄적인 가시성 및 네트워크 트래픽 분석 솔루션이기도 하다.
고급 위협 탐지 가속화된 위협 대응 및 간소화된 네트워크 세그멘테이션을 제공한다. 고급 행동 분석을 사용하면 네트워크에 누가 있고 그들이 무엇을 하는지 항상 파악할 수 있다.
암호화된 트래픽 분석을 통해 스텔스워치는 암호화된 트래픽에서 멀웨어를 탐지하고 아무 해독 없이 정책 준수를 보장할 수 있는 유일한 제품이다.
시스코 사이버 비전을 스텔스워치와 통합하면 OT 도메인을 포함한 기업 전체 위협을 모니터링할 수도 있다.
스텔스워치는 사이버 비전에서 확보한 OT 인사이트를 활용해 모니터링하는 네트워크 흐름에 컨텍스트를 추가하고 경보를 통해 ICS 자산을 정확히 찾아내 사고 대응 및 포렌식 속도를 높이기도 한다.
사이버 비전과 스텔스워치를 통해 네트워크의 가시성을 확보했다면 OT 네트워크 세그멘테이션 위협 탐지 차단 방안도 필요하다. 기업 보안팀은 앞서 확보한 OT 컨텍스트 정보를 시스코 파이어파워와 통합해 사이버 위협에 대한 문제 해결을 자동화하도록 설정할 수 있다. 예를 들어 사이버 비전에서 정의한 자산 프로필을 기반으로 OT 자산 필터링 정책을 적용할 수 있다. 특정 필터링 규칙을 자동으로 적용하고 시스코 사이버 비전에서 특정 보안 이벤트를 감지하면 해당 규칙을 변경하면 된다.
해당 시스코의 OT 보안 솔루션들은 기존 SIEM이나 SOC와 연동도 가능하다. 시스코의 보안 솔루션들은 시스 로그나 다양한 API를 지원해 전체적인 IT-OT 통합 보안 구축을 지원한다.
시스코 사이버 비전
OT보안의 경우 IT와 다른 현실적인 문제가 존재한다. 예를 들어 상호 의존적인 자동차 조립 라인에서 특정 장치 하나에서 멀웨어가 발견됐다고 가정해보자. 그렇다면 그럼 해당 감염된 장치를 격리할 수 있을까? 인라인 생산 방식 조립 라인의 경우 단일 장치를 정리하면 모든 생산이 중단되는 연쇄 오류가 발생할 수 있다. 따라서 OT보안의 컨텍스트를 이해함으로써 IT와 OT가 함께 협력하는 보안 기술과 정책이 필요하다. 시스코에서는 사이버 비전을 제시한다. OT 보안 핵심은 결국 OT 컨텍스트에 대한 이해이며, OT 콘텍스트를 확보하려면 OT 환경에 대한 가시성부터 확보해야 한다.
그러나 보통 OT 실무자분들은 산업 환경이 사이버 위협에 크게 노출돼 있지 않을 것이라고 생각한다. OT 환경은 기본적으로 폐쇄망이기 때문이다. 그러나 실제 산업 환경을 진단해 보면 예상보다 많은 보안 취약점들이 발견된다. 그러나 오피스 영역과 달리 제조 및 산업시설의 경우 현장의 자산 정보에 대한 가시성이 확보되어 있지 않다. 시스코 사이버 비전은 산업용 IoT를 위한 자산 인벤토리 및 보안 플랫폼으로, ICS 가시성을 확보하고 확인된 자산 정보 및 변화 확인을 통해 운영 인사이트를 얻을 수 있으며 비정상 행위 및 위협 탐지 기능을 제공한다.
사이버 비전은 업계 유일한 2티어 아키텍처를 제공한다.
첫 번째 구성 요소는 중앙 데이터 수집 분석 및 시각화를 담당한다. 또한 시스코 보안 솔루션 또는 서드파티 솔루션과 통합되는 시스코 사이버 비전 센터로 구성돼 있다.
두 번째 구성 요소는 네트워크 트래픽을 캡처하고 애플리케이션 흐름에서 DPI(Deep Packet Inspection)를 수행하는 엣지 센서다. 모든 분석 및 시각화는 사이버 비전 센터 내에서 수행되므로 엣지 센서는 가볍고 유연하며 비용 효율적이다.
센서 소프트웨어는 시스코의 산업용 스위치 또는 카탈리스트 9 시리즈 스위치와 같은 기존 시스코의 네트워크 장비에도 내장할 수 있다. 또한, DPI가 네트워크 요소 자체에 내장되어 있기 때문에 네트워크 트래픽 캡처를 위한 스팬(SPAN)이나, 포트 미러링이 필요하지 않다.
사이버 비전 솔루션 포트폴리오는 위 그림과 같다.
시스코 UCS 기반 어플라이언스를 제공하며, VM 이미지 제공을 통해 각사 서버에서 설치 및 운용할 수 있다.
또한 다양한 시스코의 산업용 스위치 라우터 혹은 카탈리스트9K 등을 사이버 비전 센서로 활용이 가능하며 레거시 환경을 위한 하드웨어 센서도 지원한다.
사이버 비전은 다양한 운영 및 배포 모델도 제공한다. 센터를 로컬 센터 혹은 글로벌 센터로 통합 운영이 가능하기 때문에 여러 공장이나 해외 공장을 운영하는 업체에게 유리하다. 센서 또한 다양한 위치에서 적용이 가능하므로 유연한 배포 시나리오를 확보할 수 있다.
시스코 사이버 비전 장점
사이버 비전의 가장 큰 장점은 2티어 아키텍처 자체다. 네트워크 센서를 통한 운영 방식이므로 SPAN을 통한 OOB(Out of Band) 구성이 불필요하다. 실제 DPI 심층 패킷 분석은 센서에서 수행하기 때문에 센터에는 경량의 메타 데이터만을 전송하는 형태다. 따라서 망 관리를 효율적으로 할 수 있으며 총 소유 비용 또한 절감된다.
사이버 비전은 OT 보안 위협 외에도 시스코 탈로스 팀에서 제공하는 IT 보안 위협 정보를 통해 OT-IT에 대한 통합 보안 위협 탐지가 가능하다. 시스코 탈로스의 인텔리전스 그룹은 세계 최고 수준의 연구원, 분석가 및 엔지니어로 구성된 세계 최대 위협 인텔리전스 팀 중 하나다.
사이버 비전 기업 사용자 또한 탈로스 팀으로부터 매주 업데이트되는 새로운 위험 및 시그니처 정보를 받아볼 수 있다.
대표적인 예로 사이버 비전은 일반 스노트(Snort) 커뮤니티 룰셋을 기본적으로 제공하며 탈로스 서브스크라이브 룰셋을 추가로 제공한다.
시스코는 사이버 비전을 중심으로 고객의 인더스 네트워크를 보호하기 위해 완벽하게 통합된 포괄적인 보안 제품 포트폴리오를 제공 중이다. 시스코는 시장에서 유일하게 완전히 통합된 OT보안 솔루션을 보유하고 있다. 사이버 비전은 시스코의 보안 제품에 OT 콘텍스트를 제공해 고유한 기능과 원활한 환경을 제공한다.
예를 들어 사이버 비전은 시스코 아이스(ISE)와 연동해 접근 제어 및 마이크로 세그멘테이션을 수행할 수 있고, 공격 차단을 위한 파이어파워, 포렌식 검색 등을 위한 스텔스워치와 통합할 수 있다.
사이버 비전은 시스로그 또는 REST API 기능을 통해 IBM Q레이더(QRadar), 스플렁크드와 같은 SIEM 솔루션과도 쉽게 연동된다. 시스코 사이버 비전은 산업 자동화 장치를 제어하는 데 사용되는 대부분의 산업용 프로토콜들을 디코딩할 수 있다. 또한, 네트워크 플로우를 캡처하고 어플리케이션 메시지를 디코딩하는 것만으로도 프로세스 이상 오류 잘못된 구성을 추적하고 자산 인벤토리 및 네트워크 웹을 구축할 수 있도록 다양한 산업용 독점 프로토콜을 지원한다. 지원되지 않는 산업용 프로토콜은 문의하면 비즈니스 중요도에 따라 추가 지원 또한 얼마든지 가능하다고 한다.
사이버 비전 주요 기능
사이버 비전은 자산에 대한 상세한 자산 정보를 제공한다. 예를 들어 자산의 펌웨어 및 하드웨어 버전, 시리얼 번호, PLC 랙 슬롯 구성 정보, 보유하고 있는 취약점 리스트, 다른 자산과의 관계, 커뮤니케이션 패턴 등을 식별한다. 자산들 간 트래픽 흐름에 대한 맵 기능을 통해 직관적으로 네트워크 현황을 파악할 수 있다.
또한, 컨트롤 시스템의 주요 변화를 감지하고 제어 시스템에 변수 변경 추적 등의 정보를 제공한다. 이 정보는 무결성 관련 모니터링 정보로 활용될 수 있다. 이는 OT 부서에게 운영 인사이트를 제공하는 효과를 갖는다.
사이버 비전은 다양한 위협 탐지 기능을 제공하기도 한다. 자산의 취약점에 대한 정보를 제공하여 해당 취약점이 악용되기 이전에 패치를 진행하거나 대안을 모색할 수 있도록 도움을 준다.
또한, 자체 IDS 엔진을 통해 악의적인 침입을 감지한다. 스노트 룰 기반의 시그니처 탐지나 포트 스캐닝, 인시큐어 통신 등을 탐지해 정보를 제공한다.
마지막으로 고객에서 관심 있는 항목, 예를 들어 자산 유형 장비 라인 유형, 서브넷 구분 등에 따라 프리셋을 설정하고 이를 기준으로 베이스라인을 설정하여 특정 프로세스 상태 또는 모니터링해야 하는 활동에 대한 변화 관리, 비정상 행위를 탐지할 수 있다.
사이버 비전 적용 사례
미국 전기차 회사인 한 기업은 기존 공장에 존재하는 다양한 문제점들을 파악했다. 네트워크 구성 오류로 인한 문제가 다수 발생했고, 인더스트리얼 네트워크 표준화 및 가시성이 부족하다는 사실을 파악했다. 또한, 여러 셀에서 중복 IP를 사용하는 문제가 있어 많은 외부 NAT 장비를 사용 중이기도 했다.
이와는 별개로 제조 지능화라는 트렌드에 맞게 OT 부서에서도 MES 정보를 활용해야 하는 니즈가 증가하고 있었다. 또한. 제조 현장에 대한 보안 위협에 대한 대비책이 필요하여 여러 솔루션들을 검토하기도 했다. 해당 업체는 OT 네트워크 트래픽을 확보하기 위해 별도의 OOB 네트워크를 구성하려 했는데, 비용뿐만 아니라 작업 공수, 성능에 영향을 받을 수 있다고 파악했다.
이러한 상황에서 시스코의 네트워크 보안 솔루션을 적용했다. 우선 인더스트리얼 네트워크 표준 디바이스로 시스코 IE3400, IE3400H를 플랫폼으로 표준화했다. 또한 중복 IP 문제를 해결하기 위해 L2 NAT 기술을 활용했으며, 다운링크 속도 또한 기가비트로 개선했다. 또한 컴퓨그레이션 파일을 SD카드에 배포해 구성 오류를 줄이고 배포 자동화를 수행했다. 무엇보다 장비 교체 시 OT 사용자가 쉽게 대응할 수 있는 장점도 확보할 수 있었다. OT 보안 이슈는 시스코 사이버 비전을 활용해 이미 표준화된 IE3400을 엣지 센서로 활용해 추가 투자 비용 없이 가시성 확보 및 위협 탐지 기능을 활용할 수 있었다. 또한, 시스코의 인더스트리얼 네트워크 관리 툴인 인더스트리얼 네트워크 디렉터를 시스템 운영에도 활용하고 있다.
해당 사례는 OT 보안과 인더스트리얼 네트워크 개선 작업이 매우 밀접한 연관성을 갖고 있다는 것을 알려준다.
다음은 OT 보안 표준화 및 확장과 관련된 사례다. 해당 업체는 전통적인 자동차 제조사로, OT 보안 표준화 오랜 기간 준비했다. 현장 분석 결과, OT 보안 핵심은 인더스트리 네트워크의 트래픽 또는 엔드 포인트에 대한 제한된 가시성 확보가 가장 중요한 문제라는 사실을 파악했다. 이에 보안 아키텍처를 플랜트로 확장하기 위한 IT 및 OT 부서 협력 강화를 시도했고 추후 샵 플로어(Shop Floor) IT 전담팀을 구축하기도 했다. 사이버 비전을 채택한 이후 전 세계 약 90여 개의 공장에 표준화 및 배포를 준비하고 있다.
해당 업체는 시스코 사이버 비전과 엣지 센서로 IE3400H 스위치를 중심으로 OT 보안 표준화를 진행 중이며, 보안 확장을 위해 시스코 ISE, 스텔스워치, IND 등을 추가로 적용했다.
전통 제조사들에게는 성공적인 OT 보안 안착을 위해 경영진의 강력한 지원, OT와 IT 부서 간의 협력, 네트워크와 함께 OT 표준화 진행, 기타 추가 보안 확장 등 여러 가지 고려 사항이 있다는 점을 일깨워주는 사례로 남았다.
시스코 사이버 비전 데모
공항 수화물 관리 시스템에는 수화물 관리를 위한 다양한 제어 시스템과 컴포넌트들이 존재한다. 수화물 구분을 위한 바코드 인식 센서, 컨베이어 구동을 위한 모터와 인버터, 운영 상황을 알려주는 HMI, 총 제어하는 PLC로 구성돼 있다. 또한, 여러 개의 단일 컨베이어들이 전체 수화물 관리 시스템에 네트워크로 연결돼 있다. 이 시스템에 설비 운영 문제가 발생해 문제 해결을 위한 트러블 슈팅을 위해 컨트렉터가 네트워크에 접속했다고 가정한다. 그런데 이 상황에서 해당 컨트랙터의 디바이스에 멀웨어가 존재했고, 네트워크에 연결된 다른 윈도우 기반 장치들을 감염시킨다. 이경우 가동이 중단되는 상황까지 발생될 수도 있다.
사이버 비전을 사용하고 있다면 기존 환경에는 존재하지 않던 새로운 디바이스가 연결되었음을 알 수 있으며, 이것은 이것은 컨트랙터의 랩톱이었으며 해당 랩탑으로 어떠한 장비와 연결을 시도했는지 확인할 수 있다.
전체 수화물 관리 시스템의 맵을 확인해보자. 해당 맵에서는 시스템 내에 어떠한 자산들이 존재하고 서로 어떻게 연결되어 있으며 여기에 어떠한 트래픽이 발생하였는지에 대해 확인할 수 있다.
특정 자산 하나를 상세히 들여다보면 사이버 비전 DPI를 통해 산업용 프로토콜을 분석해 자산의 상세한 정보를 확인할 수 있다. PLC에서도 펌웨어 버전 시리얼 번호 등 다양한 정보들을 확인할 수 있다.
시큐리티 탭에서는 해당 디바이스가 가진 알려진 취약점들에 대해 확인할 수 있다. 이를 통해 고객사에서는 내 자산들에 어떠한 취약점들이 있으며 계획에 의한 취약점 조치 또는 다른 대안에 대해 미리 준비할 수 있다.
액티비티 탭에서는 선택된 자산이 실제 어떠한 다른 자산들과 통신을 하고 있는지 확인 가능하다.
모니터 탭에서는 사전에 지정해 놓은 베이스라인 대비 어떠한 변화점이 발생했는지를 확인할 수 있다. 이러한 정보는 관리자가 실제 의도한 것인지, 혹은 추가 조사가 필요한 것인지를 판단할 수 있다. 또한 이를 리포트할 수 있다.
이렇게 사이버 비전은 ICS 네트워크 트래픽 분석으로 애플리케이션 레벨에서 변화를 감지하고 대응할 수 있는 솔루션이다.
맵에서 문제의 워크스테이션을 확인할 수 있는데, 사이버 비전뿐만 아니라 시스코의 다른 시큐리티 솔루션들과도 연동이 돼 있다. 문제의 워크스테이션은 멀웨와 통신이 이루어져 있음을 확인할 수 있다. ISE, 파이어파워, 스텔스워치 등과의 연동을 통해 사이버 비전에서 확보한 자산 정보를 어떻게 활용하는지 확인할 수 있다.
사이버 비전 데모는 ‘시스코 사이버 비전 데모’를 검색해서 위의 예제들을 확인할 수 있다.
글. 바이라인네트워크
<이종철 기자> jude@byline.network
