La vulnérabilité de la chaîne d'approvisionnement IoT constitue une menace pour la sécurité de l'IIoT

La plupart des entreprises qui fabriquent des produits à l'aide d'IIoT les opérations sont susceptibles de surveiller de près la chaîne d'approvisionnement qui fournit un flux prévisible de matières premières et de services qui leur permet de produire des produits et de maintenir l'activité commerciale.

Mais une deuxième chaîne d'approvisionnement sous-jacente est moins examinée. Et si la sécurité de cette chaîne d'approvisionnement est compromise d'une manière ou d'une autre, les affaires pourraient s'arrêter.

Cette chaîne d'approvisionnement négligée fournit les composants qui construisent une infrastructure IIoT. L'acheteur de ces appareils se trouve à la fin de la chaîne d'approvisionnement qui, du point de vue de la sécurité, manque de transparence suffisante dans la chaîne. En fait, ce serait un défi de suivre les origines des éléments internes qui composent les appareils IIoT livrés.

Par conséquent, il n'est pas rare que des composants liés à l'IIoT soient livrés avec des vulnérabilités de sécurité exploitables. La complexité et la portée mondiale de la chaîne d'approvisionnement IIoT ne font qu'aggraver le problème :un seul appareil peut être fabriqué à partir de pièces fournies par des dizaines de fabricants de composants.

"Des dizaines de composants fabriqués par des entreprises du monde entier passent par plusieurs couches de fournisseurs et d'intégrateurs jusqu'à ce qu'ils soient placés sur une carte, testés et emballés par l'OEM", comme indiqué dans "Finite State Supply Chain Assessment, " un rapport 2019 de Finite State, une société de cybersécurité IoT.

Les risques pour les infrastructures IIoT sont réels et nombreux

La plupart des opérateurs de réseau reconnaissent les risques liés à la chaîne d'approvisionnement de l'IIoT, mais les vulnérabilités spécifiques sont difficiles à isoler. Ces déploiements sont souvent de grande envergure, s'étendant au-delà des murs d'un fabricant jusqu'aux expéditeurs, marchands et autres partenaires commerciaux. Et à mesure que le réseau s'étend et inclut des points d'intégration supplémentaires, le risque qu'un morceau de code malveillant risqué ne se réplique ne fait qu'augmenter. En effet, le code lui-même n'est peut-être pas malveillant mais peut présenter un port ouvert qui peut compromettre les systèmes.

« Il suffit de voir par vous-même combien de vulnérabilités ont tendance à se trouver dans les systèmes embarqués. C'est là que les propriétaires d'actifs ne réalisent pas que ces vulnérabilités existent dans leurs systèmes », a noté Matt Wyckhouse, PDG de Finite State.

Une fois qu'un environnement IIoT est violé, les acteurs malveillants peuvent l'utiliser comme une entrée pour creuser davantage dans les systèmes d'entreprise. Les systèmes de contrôle industriel (ICS) et d'autres systèmes de production peuvent être menacés, mais si les intrus peuvent échapper aux obstacles de sécurité et aller encore plus loin, les applications d'entreprise clés et les données associées peuvent également être exposées. Tout cela est attribuable à un micrologiciel douteux qui a fait son chemin dans la chaîne d'approvisionnement qui produit des capteurs, des actionneurs et d'autres IIoT opérationnels.

« Lorsqu'une vulnérabilité est signalée, un fabricant met un certain temps à réagir à cette vulnérabilité, à obtenir un correctif, puis aux propriétaires d'actifs à exécuter la mise à jour sur cet appareil et à exécuter la dernière version du micrologiciel pour celui-ci », a expliqué Wyckhouse , décrivant comment même des vulnérabilités connues peuvent persister.

Dans « L'état de la cybersécurité industrielle », un rapport d'enquête de juillet 2019 mené par l'ARC Advisory Group pour Kaspersky, un fournisseur de sécurité, plus d'un quart (26 %) des répondants ont déclaré qu'ils considéraient « les menaces provenant de tiers, telles que l'approvisionnement chaîne ou partenaires » comme étant une préoccupation majeure, et 44 % ont déclaré qu'il s'agissait d'une préoccupation mineure. Fait intéressant, tous les autres problèmes de sécurité majeurs, tels que les ransomwares (70 %) et les attaques ciblées (68 %), pourraient être lancés contre une entreprise via une violation de la chaîne d'approvisionnement.

[ Pour en savoir plus sur la sécurité de l'IoT, inscrivez-vous à notre Sommet sur la sécurité de l'IoT en décembre.]

Dans la même enquête, 28 % des personnes interrogées ont indiqué qu'il était « très probable » ou « très probable » que le SCI ou le réseau de contrôle industriel de leur entreprise soit ciblé.

Le « Global Connected Industries Cybersecurity Survey », un autre sondage de 2019 mené par Irdeto, une entreprise de sécurité basée aux Pays-Bas, a souligné que de nombreuses entreprises ont déjà été brûlées par des attaques IoT invasives :fabriqués par de grandes entreprises n'ont subi aucune cyberattaque au cours des 12 derniers mois. »

Comment les chaînes d'approvisionnement IIoT sont compromises

Généralement, la plus grande préoccupation concernant la chaîne d'approvisionnement qui alimente les lignes de production d'une entreprise est que l'activité de production peut être interrompue, provoquant un ralentissement ou un arrêt de la production. Pour la chaîne d'approvisionnement IIoT, la menace est beaucoup plus secrète et peut prendre des semaines ou des mois avant que ses effets ne soient apparents.

Typiquement, lorsqu'une corruption de la chaîne d'approvisionnement IIoT se produit, c'est plutôt le résultat d'un effet domino, qui masque la source de la vulnérabilité.

« Les attaquants ont quelques victimes en tête, mais au lieu de s'attaquer directement aux victimes, ils s'adressent aux fournisseurs d'IoT industriels de niveau 2, compromettent leurs sites Web et remplacent les micrologiciels et logiciels légitimes par des versions trojanisées », a décrit Eric Byres, PDG d'Adolus, un société qui fournit un service de vérification du micrologiciel.

Les administrateurs de réseau IIoT involontaires qui entreprennent une maintenance de réseau appropriée peuvent involontairement faire proliférer le code hostile. "Ils vont immédiatement le télécharger et l'apporter dans leur usine", a déclaré Byres, "et tout à coup, il y a ce malware qui règne maintenant à l'intérieur de leur usine, à l'intérieur des pare-feu, à l'intérieur de tout."

Avec un pied dans la porte, les intrus peuvent se frayer un chemin depuis les réseaux industriels, puis pénétrer dans les réseaux de données d'entreprise. "Les méchants attaquent un site et ils obtiennent comme cet effet multiplicateur crédible", a poursuivi Byres. "C'est un sacré bon retour sur investissement pour un attaquant."

La plupart des environnements IIoT incluent des centaines ou des milliers d'appareils plus anciens :des capteurs et d'autres composants qui peuvent être en place depuis une décennie (ou plus). Les experts s'accordent à dire que plus l'équipement est ancien, plus il est susceptible de présenter un risque de sécurité car il prend du retard dans les supports et les mises à jour.

Par exemple, le rapport sur l'état fini décrivait un composant fabriqué par Huawei qui incluait du code utilisant une version d'OpenSSL publiée en 2003 — et était bien connu (et documenté) comme extrêmement vulnérable.

Certaines failles de sécurité de la chaîne d'approvisionnement IIoT peuvent avoir été insérées intentionnellement, soit innocemment, soit avec des motifs malveillants. Un exemple est une porte dérobée. Une porte dérobée dans un logiciel permet d'accéder aux parties essentielles du micrologiciel et, par conséquent, au composant lui-même sans avoir à passer le processus d'authentification habituel.

Les portes dérobées bien intentionnées sont souvent laissées ouvertes par les fabricants de composants pour fournir un point d'entrée aux techniciens pour prendre en charge et surveiller l'appareil. Souvent appelées ports de débogage, ces portes dérobées permettent également un accès facile aux acteurs malveillants. De même, les interfaces de programmation d'applications (ou API) destinées à permettre l'intégration avec des systèmes de contrôle industriels peuvent offrir par inadvertance un autre moyen de compromettre le fonctionnement d'un appareil. Les portes dérobées les plus néfastes sont souvent laissées entrouvertes par les pays sur leurs produits exportés, car ils espèrent les utiliser plus tard pour balayer la propriété intellectuelle (IP) ou d'autres données.

Généralement, la chaîne d'approvisionnement de l'IIoT est plus Far West que bien contrôlée.

« L'IoT est encore une technologie largement non réglementée en termes de normes de sécurité », a noté « IoT Supply Chain Security:Overview, Challenges, and the Road Ahead », un document de recherche publié par Muhammad Junaid Farooq et Quanyan Zhu de la Tandon School de l'Université de New York. de l'Ingénierie. « Il n'y a aucun contrôle sur la chaîne d'approvisionnement en amont du point de vue du propriétaire de l'appareil. Tous les fournisseurs ne sont pas prêts à énoncer clairement leurs pratiques de cybersécurité et à divulguer les informations de leur chaîne d'approvisionnement. »

Cibles des acteurs malveillants et ce qu'ils veulent

Les incursions dans la chaîne d'approvisionnement de l'IIoT peuvent entraîner l'une des situations compromises que nous avons vues causées par d'autres types de violations de réseau. Mais, étant donné leur nature et leur fonction, les appareils IIoT « qui fuient » peuvent entraîner diverses activités malveillantes et perturbations.

Les ransomwares se distinguent toujours comme une motivation clé pour une attaque. C'est également vrai pour de nombreuses infiltrations de la chaîne d'approvisionnement IIoT, car les mauvais acteurs peuvent retarder ou affecter négativement la production jusqu'à ce qu'un paiement de rançon soit effectué.

Les interruptions de production peuvent causer des ravages encore plus importants dans un environnement industriel. En modifiant le flux de données provenant de capteurs et d'autres appareils IIoT, les paramètres de la machine peuvent être manipulés, ce qui, à son tour, peut causer des problèmes invisibles dans le processus de fabrication, ce qui peut entraîner des produits défectueux ou des machines d'usine telles que des appareils robotiques pour fonctionner dans un environnement dangereux. manière.

Un rapport de mars 2020 OT Security Best Practices a noté que les violations du système de contrôle industriel peuvent avoir des effets profonds :impact négatif sur l'économie d'un pays. »

Certains secteurs verticaux sont également devenus des cibles clés.

"Si vous voulez un environnement riche en cibles avec de nombreuses cibles intéressantes, passez à l'énergie, au réseau électrique, au pétrole et au gaz", a déclaré Byres d'Adolus. "Et maintenant, un autre environnement riche en cibles que nous voyons est médical à cause de la pandémie."

Finite State’s Wyckhouse désigne également les soins de santé comme une cible de choix. « Nous assistons actuellement à une augmentation des attaques destructrices et potentiellement mortelles dans le secteur des soins de santé au cours des deux dernières semaines, avec des attaques de ransomware détruisant des hôpitaux au milieu de la pandémie. »

Un gros salaire n'est pas toujours l'objectif des attaquants. L'objectif est parfois l'information, comme dans le cas de la propriété intellectuelle (IP) critique.

Passer à travers les failles d'un environnement IIoT pour accéder au réseau de données d'entreprise est également un stratagème courant. "La surface d'attaque s'agrandit et se complique chaque jour", a déclaré Wyckhouse. "Il y a certains cas où nous devrions nous inquiéter du fait qu'un acteur utilise la chaîne d'approvisionnement comme mécanisme d'accès initial."

Comment faire face aux faiblesses de la chaîne d'approvisionnement IIoT

Pour la plupart des entreprises, la création d'un environnement IIoT plus sécurisé sera une entreprise importante, simplement en raison du grand nombre d'appareils sur les réseaux et de leurs histoires compliquées. Vous aurez une longueur d'avance si vous disposez déjà d'un inventaire détaillé et complet de ces appareils, et si ce n'est pas le cas, c'est par là qu'il faut commencer.

Une fois que vous avez établi la configuration du terrain, une évaluation des risques de la chaîne d'approvisionnement est la prochaine étape. Identifiez les risques « macro », tels que les situations de rançon, la corruption de données ou le vol d'IP. Mais l'évaluation des risques devra également atteindre un niveau plus granulaire, où chaque appareil est évalué pour une vulnérabilité potentielle et comment cette vulnérabilité peut être aggravée dans une intrusion réseau plus large.

Un examen plus approfondi des réseaux de l'entreprise et de leur intégration s'impose également. Il peut être possible, par exemple, d'isoler un IIoT d'Internet en utilisant l'espacement pour séparer l'environnement technologique des opérations des réseaux informatiques.

Les fournisseurs d'appareils IIoT doivent également être évalués, afin que le niveau de leurs efforts de sécurité soit compris. Le meilleur moment pour cela est lorsque votre entreprise évalue les produits à acheter, car "le moment du cycle de vie d'un appareil où l'opérateur a le plus d'influence sur le fabricant est lors de l'achat de cet appareil", selon Wyckhouse.

Si les achats d'appareils IIoT sont nombreux et fréquents, ce serait une bonne idée de mettre en place un processus d'évaluation formel pour s'assurer que tous les fournisseurs et produits sont contrôlés de manière appropriée.

« Ne vous contentez pas de prendre un petit bout de papier qui dit : « Nous prenons la sécurité au sérieux » », a noté Byres. « Obtenez un rapport approprié de leur part ou adressez-vous à un tiers et obtenez une analyse appropriée, et déterminez vraiment si votre fournisseur fait ses devoirs en matière de sécurité. »

Vous pouvez également utiliser des ressources telles que la base de données nationale sur les vulnérabilités (NVD) du National Institute of Standards and Technology (NIST) pour consulter sa liste de vulnérabilités et d'expositions communes (CVE).

De nouvelles classes de services et d'applications font leur apparition, spécifiquement pour répondre à la situation de la chaîne d'approvisionnement IIoT. Adolus et Finite State sont des exemples d'entreprises proposant des services qui aident les utilisateurs à déterminer la sécurité des équipements qu'ils ont déjà installés ou envisagent.

Adolus a commencé comme un projet du département américain de la Sécurité intérieure avant de devenir un service disponible dans le commerce. Il repose sur une base de données qui collecte des informations publiées et anecdotiques relatives à des milliers d'appareils IoT, y compris une compilation de toutes les vulnérabilités connues. Les utilisateurs finaux ou les fabricants d'appareils peuvent exploiter la base de données pour retracer la lignée d'un composant et trouver des détails sur ses composants et ses fournisseurs.

« Notre technologie consiste à créer ces nomenclatures logicielles », a déclaré Eric Byres, PDG d'Adolus. « Nous pourrions donc avoir toute une idée non seulement du produit de base que vous venez d'acheter et d'installer, mais également de tous les composants qui l'accompagnent. »

L'état fini adopte également une nouvelle approche de ce problème. La technologie de l'entreprise peut analyser efficacement le micrologiciel pour déterminer s'il présente des risques pour une infrastructure IIoT. Ceci est particulièrement important car, comme le souligne Matt Wyckhouse, PDG de Finite State, « lorsqu'une mise à jour du micrologiciel est appliquée, ce micrologiciel remplace tous les logiciels de cet appareil. Il le remplace complètement et, par conséquent, il peut complètement changer le profil de risque de l'appareil. »