home Technologie de fabrication Équipement de fabrication
Fabrication industrielle
Internet des objets industriel | Matériaux industriels | Entretien et réparation d'équipement | Programmation industrielle |
home  MfgRobots >> Fabrication industrielle >  >> Industrial Internet of Things >> Technologie de l'Internet des objets

Comment planifier votre réponse aux incidents de cybersécurité ICS

Les organisations qui exploitent des systèmes critiques doivent planifier et se préparer à répondre aux cyberincidents des systèmes de contrôle industriel (ICS), qu'ils soient causés par des initiés non intentionnels ou des attaquants malveillants.

Une planification appropriée de la réponse aux cyberincidents (IR) d'ICS minimise les pertes financières dues aux temps d'arrêt du système, à la perte de données, aux primes d'assurance plus élevées, à l'image ternie de l'entreprise et à la diminution de la sécurité des employés et du public. Ce document s'applique uniquement aux SCI (par exemple, les systèmes de contrôle de supervision et d'acquisition de données, les systèmes de gestion des bâtiments), car la plupart des organisations ont déjà mis en place un plan IR (IRP) des technologies de l'information (TI). Il fournit une vue de haut niveau des étapes IR, explique Robert Talbot, responsable informatique senior, Parsons Bureau de la sécurité de l'information et Jack D. Oden, chef de projet principal, Parsons Critical Infrastructure Operations.

Justification

Les SCI d'aujourd'hui sont généralement gérés par des interfaces homme-machine basées sur Windows ou LINUX, communiquent via des protocoles Internet et se connectent au réseau local de l'entreprise et à Internet. La nouvelle architecture offre des avantages significatifs, notamment des économies de coûts, une dépendance réduite vis-à-vis des fournisseurs d'équipements propriétaires et un transfert de données plus facile/plus rapide vers le service comptable et la haute direction.

Malheureusement, les avantages s'accompagnent d'une augmentation des risques dus aux cyberattaques sur Internet. Il ne s'agit plus de savoir s'il y aura une attaque, mais quand. Aucune entreprise ou organisation ne peut empêcher toutes les cyberattaques, mais la plupart des organisations ICS restent mal préparées.

Préparation pré-incident

Bien qu'il soit judicieux de créer une équipe IRP et IR (IRT) pour ICS, la prévention des cyberincidents permet d'économiser du temps et de l'argent. Alors que les bureaux fonctionnent efficacement sans e-mail pendant une journée ou plus, ICS ne peut pas se permettre des temps d'arrêt. Le contrôle de l'accès ICS réduit les voies disponibles pour les attaquants pour insérer des logiciels malveillants. Étant donné que la plupart des attaques ICS proviennent de l'entreprise, cet accès doit être sécurisé en premier. De plus, des systèmes de détection d'intrusion reconnaissant les protocoles ICS sont récemment apparus sur le marché, permettant de déterminer comment un attaquant a obtenu l'accès au système.

Certaines étapes de base réduisent les effets d'un incident et permettent de remettre le SCI en ligne plus rapidement. Le test périodique des bandes de sauvegarde garantit la disponibilité des configurations ICS de sauvegarde fonctionnelles. L'utilisation de systèmes de détection d'intrusion capables de protocoles propriétaires est essentielle, car les systèmes propriétaires sont sensibles aux cyberattaques et vulnérables aux personnes connaissant le système.

Préparation de la réponse aux incidents

Constituer une équipe de réponse aux cyberincidents

L'assemblage d'un cyber IRT est la première des deux étapes importantes du développement d'une capacité IR efficace. L'équipe doit être composée d'ingénieurs et d'administrateurs ICS, d'administrateurs réseau et système, d'opérateurs d'installations et de représentants de l'informatique, de la cybersécurité, des ressources humaines, des communications et des services juridiques. L'IRT doit se coordonner avec divers organismes chargés de l'application de la loi, les régulateurs de l'industrie et les fournisseurs.

La composition de l'IRT doit équilibrer le personnel interne et les experts externes expérimentés dans les domaines des RI, de la criminalistique, de la collecte et de la conservation de preuves, des attaques et des exploits ou de divers autres domaines de la cybersécurité. Les experts externes peuvent être plus rapides et plus approfondis, tandis que le personnel ICS a une connaissance des systèmes.

Créer un plan de réponse aux incidents

Un IRP efficace est aussi important que l'IRT. Une fois qu'un SCI tombe en panne, les intervenants ont besoin de temps pour trouver la source et l'étendue de l'infection malgré la pression organisationnelle.

Une fois le plan examiné et finalisé par l'ensemble de l'IRT, plusieurs tâches importantes doivent être accomplies :

Plan de réponse aux incidents

Portée et objectif

L'IRP s'applique aux incidents de cybersécurité ICS suspectés ou vérifiés. Il décrit les directives générales pour la détection, la classification et la réponse aux incidents de cybersécurité ICS afin de minimiser les interruptions des opérations ICS.

Procédures de gestion des incidents

Suivre des procédures éprouvées permettra un redémarrage plus rapide de la production et réduira les risques d'erreurs. Plusieurs sites Internet présentent les bonnes pratiques que l'IRT peut utiliser pour développer des procédures spécifiques à l'entreprise.

Identification des incidents

Trouver, contenir et éradiquer les violations au cours des premières 24 heures est crucial. Les administrateurs ICS doivent travailler avec le personnel IR rapidement mais avec soin pour caractériser avec précision la situation comme un cyberincident ou simplement comme un dysfonctionnement du système.

Notifications

Lorsqu'un incident a été confirmé, le responsable de l'IRT, le responsable de la sécurité de l'information, la direction générale et le service juridique doivent être informés. Le cas échéant, les forces de l'ordre doivent être contactées.

Confinement

Il est essentiel d'identifier les systèmes infectés, lorsqu'ils sont infectés, et le point d'entrée utilisé. Avec une bonne segmentation du réseau et des connexions externes sécurisées, le pare-feu et d'autres journaux peuvent aider à déterminer quand le malware est entré dans le réseau. Pour un cybercrime, conserver les preuves et maintenir la chaîne de possession ; une preuve compromise est inadmissible devant un tribunal. Identifiez également tout témoin.

Éradication

Une fois contenus, les logiciels malveillants doivent être nettoyés de chaque système infecté et registre Windows. S'il reste des traces, les systèmes seront réinfectés lorsqu'ils seront reconnectés au réseau.

Restauration du système

Avant de redémarrer le système, restaurez les données corrompues à l'aide de données de sauvegarde non corrompues. En cas de doute sur le moment où les logiciels malveillants sont entrés dans le système, rechargez le système d'exploitation et les applications à partir des sauvegardes d'origine.

Leçons apprises

L'IRT doit formaliser les enseignements tirés pour documenter les réussites et les opportunités d'amélioration et pour normaliser l'IRP.

Défis

Une IR réussie dépend de la planification et du financement d'un incident, et elle doit faire partie du programme global de gestion des risques de l'entreprise. Étant donné qu'aucune entité ne fournit à la fois le financement de la cybersécurité informatique et ICS, une certaine diplomatie et des devoirs sont nécessaires. Habituellement, un responsable de haut niveau comprend l'importance d'un IRT. S'il est recruté en tant que champion de l'équipe, ce responsable peut convaincre d'autres cadres supérieurs de fournir des membres à l'équipe.

Les évaluations à elles seules ne sécurisent pas les systèmes. L'établissement de contrôles est mieux réalisé en engageant une organisation externe qualifiée pour effectuer des évaluations de vulnérabilité informatique et ICS.

Bien que le monde informatique ait réalisé il y a plus de 20 ans que les cyberincidents entraînaient des pertes financières, le monde ICS a mis du temps à reconnaître les avantages de la cybersécurité, malgré des incidents tels que Stuxnet et les attaques de point de vente Target™.

Conclusion et recommandations

Des attaques très médiatisées ont fait prendre conscience de la nécessité de sécuriser le SCI et de posséder une capacité IR grâce à un IRP efficace et un IRT bien formé. Un changement de culture est nécessaire pour faire progresser la prévention et la récupération des cyberincidents. Le changement arrive, mais lentement. Les entreprises doivent accélérer le développement de la cyber IR pour les SCI.

Les auteurs de ce blog sont Robert Talbot, responsable informatique principal, Parsons Information Security Office et Jack D. Oden, chef de projet principal, Parsons Critical Infrastructure Operations

Voici le lien vers l'anthologie complète


Technologie de l'Internet des objets

  • Embarqué
  • Capteur
  • Cloud computing
  • Technologie de l'Internet des objets

    1. Comment planifier une migration cloud réussie
    2. Comment tirer le meilleur parti de vos données
    3. Dans quelle mesure votre consommation d'énergie est-elle écologique ?
    4. Évaluer votre risque informatique – comment et pourquoi
    5. Rénovation de la cybersécurité
    6. Il est tôt pour l'intelligence artificielle dans la cybersécurité ICS
    7. Une liste de contrôle de sécurité ICS
    8. Comment planifier votre rêve ERP – Session 2
    9. Comment fonctionnent les systèmes SCADA ?