home Technologie de fabrication Équipement de fabrication
Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Industrial Internet of Things >> Technologie de l'Internet des objets

Schneider Exec explique pourquoi Triton Malware est toujours important

L'année dernière, un mystérieux groupe de cyberattaquants a lancé une campagne de malware, connue depuis sous le nom de Triton ou Trisis, pour saboter le système d'arrêt de sécurité d'une installation au Moyen-Orient. Le malware Triton, découvert par la société de cybersécurité Dragos à la mi-novembre 2017, aurait pu causer des dommages catastrophiques, causant potentiellement des pertes en vies humaines et une pollution à grande échelle. Le malware, cependant, n'a pas atteint son objectif, car il a déclenché par inadvertance la procédure d'arrêt d'urgence du système de sécurité Triconex qu'il cherchait à supprimer, contribuant ainsi à sa découverte.

Triton est ainsi devenu un avertissement tangible des menaces de cybersécurité auxquelles sont confrontées les organisations industrielles modernes. Le collectif de hackers à l'origine de l'attaque, que Dragos surnomme Xenotime, continuera probablement « à provoquer un événement potentiel futur perturbateur – voire destructeur – », selon un article de Dragos. La cyberentreprise déclare avoir une "confiance modérée" dans cette possibilité, tout en notant que l'attaque fournit aux autres cybercriminels un plan pour cibler les systèmes instrumentés de sécurité dans leur ensemble.

Alors que certains fabricants dont l'équipement a été piraté par des pirates ont rejeté, minimisé ou même cherché à cacher de telles attaques aux publique, Schneider Electric a adopté une approche opposée. "Nous savions qu'il y avait un niveau de transparence qui allait être requis", a déclaré Andrew Kling, directeur de la cybersécurité et de l'architecture système de l'entreprise. « Une fois que la véritable nature de l'attaque a été comprise, nous avons réalisé la nature unique de celle-ci et la gravité de ce type d'attaque. Nous savions vraiment que cela allait être un appel à l'action pour l'ensemble de l'industrie », a déclaré Kling, qui a récemment écrit un article intitulé One Year After Triton :Building Ongoing, Industry-Wide Cyber ​​Resilience.

[ Sommet sur la sécurité de l'IoT est la conférence où vous apprenez à sécuriser l'intégralité de la pile IoT, du cloud à la périphérie en passant par le matériel. Obtenez votre billet maintenant. ]

Ce qui distingue Triton de la plupart des logiciels malveillants, c'est qu'il fait partie d'une poignée de types de logiciels malveillants ciblant spécifiquement les systèmes de contrôle industriels, et le premier logiciel malveillant connu ciblant les systèmes instrumentés de sécurité. "Ce n'était pas seulement une chose unique où une ancienne version héritée d'un produit a été attaquée, mais c'était une sorte d'attaque où quelqu'un a estimé qu'attaquer un système de sécurité était nécessaire pour atteindre son objectif", a déclaré Kling. "Et essayer de nous enfouir la tête dans le sable n'allait tout simplement pas être un comportement acceptable."

Dans quelle mesure pensez-vous que les gens de l'industrie sont au courant Malware Triton et la menace plus large d'attaques contre les systèmes de sécurité industrielle ?

Andrew Kling :C'est une excellente question. En tant que professionnel de la cybersécurité, je pense que cela devrait être à 100 % et absolu. Tout le monde devrait s'asseoir immédiatement et prendre des mesures pour remédier à la situation.

Nous avons mis en place un service de détection de logiciels malveillants pour nos clients de la gamme de produits Triconex. Nous savons combien de ces contrôleurs de sécurité Triconex nous avons produits. Nous savons comment détecter si ce malware est présent dans ces appareils. Et nous avons offert ce service à tous nos clients. De nombreux clients s'engagent maintenant avec nous pour détecter si des logiciels malveillants sont présents dans leurs appareils, et il n'y a aucun indicateur supplémentaire de compromission avec d'autres sites. Mais nous continuerons à exécuter le programme car nous pensons qu'il s'agit d'un service important pour nos clients. Je précise que c'est aussi unique. Comme je le sais, c'est le premier service à détecter directement les logiciels malveillants dans un dispositif de sécurité comme celui-ci.

Quel rôle voyez-vous Schneider Electric jouer pour aider à informer l'industrie sur cette menace ?

Kling : Il s'agit d'un appel à l'action, et pas seulement à nos clients de se lever et de dire :« Hé, nous devons faire attention à notre système de sécurité autant que nous prêtons attention à nos systèmes de contrôle de processus et à nos systèmes commerciaux. » Mais c'est un appel à l'action pour les fournisseurs de services, les fournisseurs de réseaux et les OEM comme nous.

Je fais partie de comités de normalisation où j'interagis avec mes pairs dans d'autres entreprises et ils conviennent que c'est quelque chose qui est pertinent pour eux. Schneider Electric a été ciblé car nous étions le système de sécurité qui était sur place lorsque ce client a été attaqué, mais il aurait tout aussi bien pu être l'un de nos concurrents. Ils apprécient le fait que nous soyons transparents et que nous expliquions comment l'attaque a eu lieu et quelles compétences ils ont utilisées contre ce client particulier dans cette attaque.

Que savons-nous à ce stade des attaquants à l'origine de l'attaque ?

Kling : Vous en savez probablement autant que moi.

En ce qui concerne l'attribution, nous savons très peu de choses sur qui cela peut être. Il y a eu beaucoup de spéculations et de presse sur les États-nations. Récemment, une société de logiciels malveillants a émis l'hypothèse que les compétences étaient peut-être inférieures à ce que l'on pensait à l'origine. Bien que je ne sache pas qui sont les attaquants, je sais que certaines compétences requises n'étaient pas négligeables. L'attaquant devrait comprendre comment fonctionne un système de sécurité comme celui-ci, ainsi que le processeur et les protocoles impliqués. Dans cette attaque, le système de contrôle distribué a été compromis, tout comme le système de contrôle de processus. Ce sont toutes des compétences que vous ne trouvez pas de manière courante. Quelqu'un devait avoir une motivation importante pour acquérir ces compétences pour mener à bien cette attaque.

Il est donc probable que les attaquants avaient une expérience limitée avec ce genre de machine ?
Oui, ou ils avaient une grande intelligence et étaient capables de s'adapter rapidement.

C'est de la spéculation, mais il est probable qu'ils avaient du matériel. Mais leur malware contenait plusieurs bogues – des bogues d'ailleurs que nous avons dû corriger pour comprendre ce que le malware était censé faire. Lorsque l'un de ces bugs a été rencontré, il a déclenché le système de sécurité. Le système a fait ce qu'il était censé faire et était un indicateur qu'ils n'avaient peut-être pas autant d'équipement que nous aurions pu le penser. Et ils utilisaient le site pour développer le malware

Nous savons que le malware était un RAT installé en mémoire. Ils avaient des capacités de lecture-écriture-exécution, mais nous n'avons jamais réellement récupéré quelle charge utile finale serait à installer dans ce RAT ?

Quels conseils donneriez-vous aux organisations industrielles qui s'inquiètent des cyberrisques pour leurs installations, mais qui ne savent pas quelles devraient être leurs principales priorités pour les défendre ?

C'est d'ailleurs une question que les gouvernements du monde entier m'ont posée aux clients sur lesquels appuyer maintenant.

Et j'ai une réponse :en tant que membre du groupe de travail ISA99, nous produisons la norme de cybersécurité IEC 62443. Il s'agit d'une famille de pièces qui explique ce qu'est un système de contrôle de processus sécurisé :des composants au réseau au système à la livraison du système à la maintenance du système. Donc, si vous êtes un client qui essaie de dire :« Je lance une offre pour acheter un nouveau système de sécurité ou un nouveau système de contrôle de processus pour mon usine », vous devriez commencer par dire dans leur cahier des charges. Votre produit doit être certifié selon cette norme. Des centaines d'années-homme de professionnels du monde entier ont été investies dans cette norme pour définir ce que signifie la sécurité pour l'espace des systèmes de contrôle d'automatisation industrielle. Vous devez tirer parti de tout le travail qui y a été effectué et rechercher des produits conformes à cette norme. Ils doivent rechercher des produits qui s'y conforment et des systèmes qui s'y conforment et des organismes de livraison qui s'y conforment. Et c'est ainsi qu'ils peuvent éviter d'avoir à devenir docteurs en cybersécurité pour comprendre le domaine. Au lieu de cela, ils peuvent tirer parti des doctorats qui ont consacré leur cœur et leur âme à la norme.

Il existe également des documents que le gouvernement américain produit à partir du NCCIC/ICS-CERT. Nous collaborons avec ces personnes sur les normes. La communauté de cybersécurité OT est une communauté très unie. Nous nous connaissons et travaillons régulièrement ensemble.


Technologie de l'Internet des objets

  • Embarqué
  • Capteur
  • Cloud computing
  • Technologie de l'Internet des objets

    1. L'usine numérique :qu'est-ce que c'est et pourquoi c'est important
    2. Pourquoi l'emplacement est important.
    3. Pensée intelligente dans les compteurs d'énergie intelligents :pourquoi la méfiance persiste-t-elle ?
    4. Bluetooth SIG Exec on Why Bluetooth Mesh IIoT Enabler
    5. Schneider Electric Exec s'ouvre sur l'IoT industriel et l'IA
    6. Pourquoi supportons-nous toujours les pannes de courant ?
    7. Comment implémenter l'authentification multifacteur et pourquoi c'est important
    8. Pourquoi le nombre de flûtes est important
    9. Pourquoi le Made in USA est-il important ?