De plus en plus de vulnérabilités exposent notre infrastructure nationale critique (CNI) aux cyberattaques d'acteurs malveillants à motivation géopolitique ou d'espionnage industriel, cherchant à causer des perturbations, des dommages économiques ou des dommages à la santé et au bien-être. être des citoyens. Ces vulnérabilités se retrouvent dans les systèmes de contrôle industriel (ICS) qui sont critiques pour le fonctionnement du CNI. Si les acteurs de la menace prennent le contrôle de l'un de ces systèmes, ils peuvent modifier leur fonctionnement ou les empêcher complètement de fonctionner, ce qui pourrait avoir des conséquences considérables. Pour empêcher les pirates de prendre le contrôle de leur SCI, les organisations de secteurs clés tels que l'énergie, la fabrication et la pharmacie doivent savoir quelles sont ces vulnérabilités et quelles mesures prendre pour les atténuer. À propos de l'auteur Amir Preminger est vice-président de la recherche chez Claroty
Vulnérabilités accrues
Nos recherches récentes ont révélé que le nombre de vulnérabilités de sécurité ICS publiées par la base de données nationale sur les vulnérabilités (NVD) et dans les avis de vulnérabilité signalés par l'équipe d'intervention en cas d'urgence cybernétique du système de contrôle industriel (ICS-CERT) avait augmenté d'année en année. Nous avons constaté que le nombre d'avis ICS-CERT publiés au premier semestre 2020 était supérieur de près d'un tiers à celui de la même période en 2019, les 365 vulnérabilités signalées par NVD en 2020 ayant augmenté de 10.3 % par rapport à l'année précédente. Pour des industries spécifiques, ces augmentations étaient encore plus importantes. Par exemple, le secteur de l'eau et des eaux usées a connu une augmentation de 122,1 % des vulnérabilités ICS-CERT, la fabrication critique a connu une augmentation de 87,3 %, tandis que le secteur de l'énergie était de 58,9 %. Cette croissance est due à un certain nombre de facteurs, notamment le fait que les ICS sont désormais plus connectés à Internet que jamais auparavant, mais leur mise à jour avec les derniers correctifs peut être problématique. Il est également important de noter que cette augmentation est également due en partie à une prise de conscience accrue de ces vulnérabilités, et que les chercheurs et les fournisseurs accordent la priorité à leur identification et à leur résolution de la manière la plus efficace possible.
Une plus grande connectivité
Traditionnellement, les ordinateurs ICS et les réseaux de technologie opérationnelle (OT) sur lesquels ils opèrent ont été complètement isolés (ou isolés) des réseaux informatiques, ce qui rend presque impossible pour les acteurs de la menace de les attaquer à distance. Cependant, dans un souci d'efficacité accrue grâce aux technologies d'automatisation, les entreprises intègrent de plus en plus leur infrastructure OT dans leurs réseaux informatiques. Au fur et à mesure que cela devient plus courant, la responsabilité de la gestion de la sécurité du réseau OT incombe de plus en plus aux équipes de sécurité informatique, dont beaucoup supposent à tort qu'elles peuvent simplement appliquer les protocoles de sécurité informatique avec lesquels appliquer sont familiers au réseau OT. Cependant, ce n'est pas le cas car, par exemple, la disponibilité prime sur la protection des données dans les réseaux OT, ce qui signifie qu'il est difficile d'effectuer des activités de sécurité informatique standard telles que les correctifs et les correctifs. maintenance logiciel. Malgré cela et d'autres différences flagrantes entre l'IT et l'OT, les entreprises suivent leurs plans d'intégration IT/OT sans en être plus avisées.
Fonctionnement à distance
Nos recherches ont révélé que plus de 70 % des vulnérabilités publiées par NVD peuvent être exploitées à distance, soulignant que les réseaux OT vides sont désormais exceptionnellement rares. Par exemple, l'une des façons dont l'entrefer a été comblé est l'utilisation de postes de travail d'ingénierie (EWS) qui se connectent aux réseaux IT et OT par nécessité. Un tel lien en fait une cible attrayante pour les acteurs de la menace, car une fois qu'ils ont infiltré le réseau informatique, ils peuvent utiliser le serveur Web intégré pour basculer vers le réseau OT. Après avoir pris le contrôle, les pirates peuvent accéder à d'autres zones de l'OT, y compris les contrôleurs logiques programmables (API), qui leur permettent de manipuler les processus physiques. L'étude a également révélé que les produits EWS contenaient plus de la moitié des vulnérabilités découvertes, tandis que les API en représentaient un quart. En utilisant ces vulnérabilités, les acteurs de la menace peuvent effectuer des actions telles que l'exécution de code à distance (RCE), ce qui leur permet d'envoyer des commandes à distance pour définir le dwell et effectuer un mouvement latéral. . Le RCE était possible avec près de la moitié des vulnérabilités identifiées (49 %), suivi par la capacité à lire les données applicatives (41 %), à provoquer un déni de service (DoS) (39 %) et à contourner les mécanismes de protection (37 %).
Divulgation des vulnérabilités
Bien que cela puisse sembler contre-intuitif, le partage des vulnérabilités découvertes avec la communauté ICS est essentiel pour tenir les acteurs de la menace à distance. Cela permet non seulement aux fournisseurs et aux chercheurs de trouver de nouvelles méthodes pour atténuer ces risques, mais avertit également les autres utilisateurs des mêmes systèmes de prendre des mesures pour limiter la capacité des acteurs de la menace à exploiter ces vulnérabilités. Certains peuvent être réticents à partager leurs connaissances car ils pensent que cela pourrait en faire une cible pour les acteurs de la menace, mais il est important de noter que si un fournisseur est affecté par un grand nombre de vulnérabilités, cela ne signifie pas nécessairement la posture de sécurité. Au lieu de cela, cela signifie plus probablement que l'entreprise consacre des ressources au test de ses produits afin de trouver de manière proactive ces vulnérabilités et de travailler pour les résoudre. Pour aider l'industrie dans son ensemble, les organisations CNI devraient mettre en place un système pour collecter automatiquement des informations sur les vulnérabilités divulguées et les comparer à leur propre SCI. Cependant, cela ne peut être efficace que si tous les fournisseurs sont ouverts sur leurs vulnérabilités et disposés à les partager.
Protéger ICS n'est pas toujours facile
Les SCI sont des systèmes intrinsèquement complexes et multiformes et il n'existe pas de solution simple pour atténuer toutes les vulnérabilités actuelles. Au lieu de cela, une approche à plusieurs niveaux est nécessaire. Comme le montrent nos recherches, CNI et les principales industries manufacturières doivent prendre des mesures pour protéger les connexions commutées. Ceci est plus important que jamais car de nombreux travailleurs doivent faire fonctionner des systèmes à distance en raison des restrictions sur les verrouillages COVID-19. Des autorisations d'accès granulaires qui permettent aux travailleurs d'utiliser uniquement les fonctionnalités exactes nécessaires pour effectuer leur travail doivent être introduites pour empêcher les acteurs de la menace de se déplacer facilement sur le réseau et de basculer entre les appareils. En contrôlant ces autorisations avec l'authentification multifacteur (MFA), les organisations peuvent contrecarrer les pirates qui utilisent des techniques telles que la force brute pour déchiffrer les mots de passe et accéder au réseau. La MFA aide également à atténuer certains des dangers posés par l'ingénierie sociale, dans laquelle les acteurs de la menace utilisent de faux e-mails et sites Web pour inciter les employés à révéler leurs informations de connexion. Pour réduire davantage le danger des menaces basées sur l'ingénierie sociale, les employés doivent également recevoir une formation sur la façon de repérer les e-mails malveillants et sur la marche à suivre s'ils en reçoivent un. De plus, la collaboration entre les équipes de sécurité IT et OT est essentielle pour assurer la sécurité de l'ensemble de l'environnement ICS. De cette façon, toutes les vulnérabilités du réseau informatique peuvent être analysées pour déterminer si elles auront un impact sur OT et vice versa. Une telle capacité ne peut être efficace que si vous avez une vision unifiée des réseaux OT et informatiques, ainsi que des experts qui comprennent les nuances entre eux. Comme la connectivité entre l'OT et l'IT augmente inévitablement en raison des exigences d'une plus grande efficacité, les vulnérabilités potentielles qui doivent être atténuées augmenteront également. Par conséquent, il est maintenant plus important que jamais que les équipes de sécurité travaillant au sein de CNI mettent en œuvre des mesures leur permettant de détecter et de répondre rapidement et efficacement à toute menace, qu'elle se produise dans le réseau informatique ou OT.