Protéger les infrastructures critiques grâce à la surveillance des performances des applications

Compte tenu des récentes attaques contre les infrastructures existantes, la cybersécurité des systèmes embarqués intégrés dans l'infrastructure critique est peut-être encore plus cruciale que leur sécurité physique.

Alors que l'administration du président Biden entame ses efforts pour investir 2 900 milliards de dollars dans des infrastructures critiques (telles que le réseau énergétique, les réseaux de communication nationaux et les réseaux de transport) et avec l'annonce récente de l'attaque dévastatrice du ransomware DarkSide paralysant le pipeline colonial sur la côte est, le la vulnérabilité des systèmes existants et proposés aux acteurs malveillants est une fois de plus un sujet brûlant. En effet, compte tenu des récentes attaques contre les infrastructures existantes, la cybersécurité des systèmes embarqués intégrés aux infrastructures critiques est peut-être encore plus cruciale que leur sécurité physique.

Se défendre contre les exploits de ces réseaux d'appareils massivement interconnectés représente un défi de taille pour les développeurs d'appareils, les développeurs de code et les experts en cybersécurité. Les opérateurs doivent surveiller les systèmes embarqués non seulement pour garantir le bon fonctionnement de l'appareil et vérifier en permanence toute activité malveillante. Les pannes non identifiées entraînant des pannes d'appareils, qu'elles soient dues à des pannes matérielles ou à des attaques criminelles, peuvent avoir des effets dévastateurs à grande échelle.

Construire l'infrastructure la plus robuste et la plus défendable nécessite la mise en œuvre de systèmes qui évaluent la fiabilité des appareils embarqués à tous les niveaux :matériel, micrologiciel et logiciel. Dans cet article, nous examinons les progrès des efforts de cybersécurité pour les applications qui contrôlent les dispositifs IoT d'infrastructure et comment les tendances de la surveillance des performances des applications affectent la conception des systèmes embarqués.

Infrastructure critique contre infrastructure informatique

Les problèmes de sécurité concernant l'IoT dans les infrastructures critiques sont considérables, car de nouveaux investissements dans les infrastructures ajouteront des millions d'appareils connectés intégrés qui doivent être surveillés et protégés. Chaque nouveau système embarqué et chaque connexion qu'il établit représentent une opportunité d'attaque.

Figure 1. Au fur et à mesure que des millions d'appareils connectés embarqués sont créés, les problèmes de sécurité deviendront plus prononcés car il y a maintenant beaucoup plus d'appareils qui doivent être surveillés. (Source :freepik)

Infrastructure critique est malheureusement un terme vague. Pour éviter toute confusion, définissons nos définitions. L'OT, ou la technologie opérationnelle, fait référence au matériel physique qui est utilisé pour aider à surveiller les appareils et contrôler tous les processus physiques. L'informatique, ou technologie de l'information, fait référence au logiciel utilisé pour traiter les informations au sein de ces appareils. Mais les frontières entre l'OT et l'IT sont de plus en plus floues à mesure que le monde physique est mis en ligne. Le terme IoT a été utilisé pour désigner ce phénomène.

L'infrastructure informatique est également incontestablement essentielle à l'écosystème IoT et peut être un sous-ensemble du terme générique. Pour nos besoins, l'infrastructure critique fait référence à l'infrastructure du plan américain pour l'emploi de Biden.

En utilisant la définition du Patriot Act des États-Unis de 2001, cela inclut les systèmes dont la dégradation «aurait un impact débilitant sur la sécurité, la sécurité économique nationale, la santé ou la sécurité publiques nationales, ou toute combinaison de ces questions».

L'IoT et les systèmes embarqués seront les principaux composants de la nouvelle infrastructure et amélioreront les capacités de l'infrastructure existante.

Bien que l'infrastructure critique et l'infrastructure informatique soient distinctes, la sécurité des deux est primordiale. Les attaques contre l'infrastructure informatique sont beaucoup plus faciles à perpétrer, mais peuvent avoir des effets tout aussi désastreux, comme on l'a vu dans les attaques contre les systèmes d'approvisionnement en eau ces dernières années.

Cybersécurité des systèmes embarqués d'infrastructures critiques

Les cyberattaques importantes contre les infrastructures, associées à l'augmentation générale de la cybercriminalité, ont conduit les gouvernements du monde entier à accorder une grande attention aux appareils IoT et à la sécurité des systèmes embarqués.

À la fin de l'année dernière, le Congrès américain a adopté l'IoT Cybersecurity Act of 2020, qui renforce les normes de sécurité pour le déploiement d'appareils IoT par les organisations gouvernementales. Bien que la loi ne s'applique pas de manière générale à toutes les implémentations IoT dans les infrastructures critiques, il est probable qu'elle aura des effets d'entraînement qui imprègnent l'industrie.

Alors que le Congrès débattait de la loi sur la cybersécurité de l'IoT, le National Institute of Standards and Technology (NIST) a publié deux documents qui guideront les futures normes de sécurité de l'IoT. La ligne de base de base de la capacité de cybersécurité des appareils IoT définit des normes de sécurité minimales pour protéger les appareils IoT et leurs données.

Les activités fondamentales de cybersécurité pour les fabricants d'appareils IoT décrivent les étapes que les fabricants d'appareils IoT doivent suivre pour évaluer les contrôles de cybersécurité à intégrer dans un appareil. La surveillance continue du système est un domaine d'intérêt particulier.

L'Union européenne renforce également ses réglementations en matière de cybersécurité pour faire face aux menaces liées aux infrastructures. À la fin de l'année dernière, l'UE a commencé à envisager des amendements à sa directive sur la sécurité des réseaux et des systèmes d'information.

Les développeurs de systèmes embarqués suivent ces développements juridiques au fur et à mesure qu'ils se produisent. Bien qu'ils soient actuellement plus ambitieux qu'opérationnels, ils finiront par conduire à des exigences de conception de dispositifs spécifiques.

Tendances de la surveillance des performances des applications

Pour des idées spécifiques sur la future conception de la cybersécurité des systèmes embarqués, les développeurs peuvent se pencher sur les tendances dans d'autres domaines de performance et de sécurité informatiques, tels que la surveillance des performances des applications réseau (APM).

Cependant, les applications qui surveillent et contrôlent les systèmes embarqués dans les infrastructures critiques sont une cible pour les pirates informatiques dédiés. L'APM sera un aspect essentiel du maintien de la sécurité des infrastructures critiques. Les développeurs de systèmes embarqués doivent savoir comment les outils APM interagiront avec leurs appareils et comment les tendances de l'APM affecteront les exigences de conception des systèmes embarqués.

Rationalisation de la collecte et de la transmission des données

Les réseaux existants rencontrent déjà des problèmes de bande passante avec les appareils connectés. Imaginez à quel point le problème s'aggravera lorsque le nombre d'appareils connectés augmentera d'un ordre de grandeur ou plus. Et si des problèmes de réseau perturbent la connexion entre un appareil intégré et son système de surveillance à distance, l'appareil est plus vulnérable aux attaques.

Investir dans les services d'un administrateur réseau expérimenté et bien formé peut être une solution. L'administration de réseau devrait croître en tant que carrière de plus de 42 000 emplois d'ici l'année prochaine, et il est facile de comprendre pourquoi. Les administrateurs réseau sont chargés de superviser l'installation des systèmes de sécurité réseau, de mettre en œuvre des améliorations dans les réseaux selon les besoins et d'installer ou de réparer le matériel et les logiciels.

L'IA locale, comme discuté précédemment, peut être une autre solution. Les développeurs APM étudient également des méthodes de compression sans perte améliorées pour assurer la transmission de données de qualité avec des exigences de bande passante limitées. Les développeurs de systèmes embarqués doivent continuer à rechercher des algorithmes de compression de données embarqués plus efficaces.

Utilisation de l'intelligence artificielle et de l'apprentissage automatique

Les dernières années ont vu une dépendance accrue à l'IA et à l'apprentissage automatique pour améliorer l'APM. A tel point que Gartner a défini le domaine des AIOps. AIOps vise à déplacer l'objectif de l'APM de l'identification et de la correction réactives des problèmes à l'identification proactive des problèmes avant qu'ils ne surviennent.

Figure 2. L'un des développements les plus importants au cours des dernières années a été la dépendance croissante de l'APM à l'égard de l'intelligence artificielle. (Source :pixabay)

De plus, AIOps applique l'IA pour automatiser les activités de remédiation suite à l'identification d'un problème. Les développeurs de systèmes embarqués peuvent également considérer l'IA comme un outil principal pour créer une fonctionnalité d'identification proactive des cyberattaques au niveau de l'application.

Alors que l'intelligence artificielle est actuellement utilisée pour former des systèmes embarqués, une grande partie de la formation se déroule en dehors des appareils embarqués. La formation à distance fournit de plus grandes quantités de capacités de traitement plus puissantes pour traiter rapidement les grandes quantités de données qui alimentent le développement de modèles d'IA.

Cependant, il y a une utilisation croissante de l'IA à la périphérie, et les développeurs de systèmes embarqués devraient envisager la viabilité de l'IA embarquée pour effectuer des tâches de surveillance de la sécurité localement. Cependant, étant donné que les exigences de calcul des modèles d'IA sont élevées, les développeurs de systèmes embarqués doivent continuer à concentrer leurs efforts sur la réduction de la surcharge des méthodes d'IA traditionnelles afin de mieux les appliquer dans un environnement local.

Surveillance convergente des applications et des infrastructures

Chaque aspect du fonctionnement d'un système embarqué doit être protégé, qu'il s'agisse du matériel sous-jacent des applications qui s'exécutent dessus. Le recours à la surveillance des composants individuels cède la place à une vision plus globale du fonctionnement du système.

L'application des principes d'observabilité (de préférence en conjonction avec une surveillance robuste) peut fournir une meilleure compréhension globale des performances du système embarqué en temps réel, permettant une meilleure identification des anomalies et des attaques potentielles.

Automatisation

Il est pratiquement impossible pour les administrateurs réseau et autres professionnels de l'informatique de suivre manuellement toutes les données et analyses nécessaires à un programme de cybersécurité moderne. L'automatisation est donc un élément essentiel des futurs efforts de cybersécurité. Par exemple, alors que l'APM est efficace pour évaluer l'existence d'une attaque, il est plus efficace en conjonction avec des systèmes qui identifient automatiquement et de manière proactive les vulnérabilités.

Selon l'expert en cybersécurité Barbara Ericson de Cloud Defense, « Vous pouvez utiliser des scanners de vulnérabilité traditionnels et linéaires ou utiliser des scanners de vulnérabilité adaptatifs pour rechercher des éléments spécifiques en fonction de votre expérience antérieure. Heureusement, les scanners de vulnérabilités peuvent être automatisés si vous choisissez un bon logiciel de gestion des vulnérabilités. En automatisant vos analyses, vous vous assurerez que votre organisation est constamment évaluée pour les nouvelles menaces et vous n'aurez pas à gaspiller trop de main-d'œuvre sur des analyses planifiées régulièrement."

Les développeurs d'appareils intégrés doivent également continuer à améliorer l'automatisation de la surveillance des attaques potentielles sur les appareils ou leurs applications associées, ainsi que mettre en œuvre des efforts de correction automatiques pour les problèmes identifiés.

Conclusion

Alors que les États-Unis poursuivent des mises à niveau substantielles de leurs infrastructures, la quantité d'IoT dans les infrastructures critiques augmentera de manière exponentielle. Et cette augmentation s'accompagne nécessairement d'une augmentation de la menace de cyberattaques. Les développeurs d'appareils embarqués doivent se concentrer davantage sur la mise en œuvre de nouveaux contrôles de cybersécurité à bord pour garantir la fiabilité et la sécurité de l'infrastructure critique.