Sécuriser l'IoT industriel :adopter une approche de nouvelle génération – Partie 2

Trevor Daughney, vice-président du marketing produit chez Exabeam

La numérisation des actifs industriels entraîne une prise de conscience croissante de l'importance de protéger les environnements OT connectés contre les cyberattaques qui endommagent la production, les installations et les actifs - et exposent des données sensibles, déclare Trevor Daughney, vice-président du marketing produit chez Exabeam

Comme nous l'avons découvert dans l'article précédent, les cybermenaces sont de plus en plus dirigées contre les systèmes de contrôle industriel (ICS) dans le but de fermer des lignes de production ou d'infliger des dommages physiques massifs aux équipements.

Avec l'augmentation des menaces sur les réseaux industriels, les employés responsables de la gestion et de la sécurisation de l'IT et de l'OT devront collaborer étroitement pour identifier les vulnérabilités potentielles et hiérarchiser les domaines où les failles de sécurité doivent être comblées. Ce faisant, les équipes informatiques et OT acquièrent la compréhension approfondie dont elles ont besoin des interrelations entre les environnements OT, les réseaux commerciaux et l'écosystème industriel au sens large lui-même - qui peut également incorporer des fournisseurs, des vendeurs et des partenaires.

Ce n'est pas une tâche facile si l'on considère comment, jusqu'à présent, les problèmes de sécurité informatique et OT ont été largement traités dans leurs silos respectifs. De plus, le défi de la sécurité des solutions OT n'est pas facile à surmonter.

Les systèmes à vide d'air ne sont pas une solution viable

Lorsqu'il s'agit de protéger les systèmes de contrôle industriels, de nombreuses organisations utilisent encore une approche connue sous le nom d'espacement d'air, ou sécurité par isolement, dans le but de renforcer la sécurité des systèmes OT existants contre les cyberattaques. Cependant, bien qu'efficace comme mesure de sécurité provisoire, l'espacement de l'air n'est pas une solution idéale à long terme. Et il ne devrait certainement pas être utilisé isolément. Prenez l'attaque du ver Stuxnet, par exemple, qui a été conçue pour pénétrer son environnement cible via une clé USB infectée – en traversant n'importe quel intervalle d'air. Avec l'existence de vers informatiques malveillants comme celui-ci, l'espacement seul n'est pas une sécurité adéquate.

Outre le fait que les systèmes à vide limitent considérablement la capacité des organisations à tirer parti des données en temps réel que ces systèmes génèrent pour réduire les coûts, réduire les temps d'arrêt et améliorer l'efficacité, de nombreuses architectures modernes d'aujourd'hui permettent désormais la connexion de l'ancien OT à Internet à des fins de commandement et contrôle opérationnels modernes. En effet, 40 % des sites industriels disposent d'au moins une connexion directe à l'internet public, ce qui place ces réseaux OT directement dans la ligne de mire lorsqu'il s'agit d'une exposition potentielle à des adversaires et des logiciels malveillants.

Maîtriser la complexité

Malheureusement, de nombreuses solutions de sécurité conçues pour le monde informatique n'ont pas été conçues sur mesure pour gérer les complexités des environnements OT connectés d'aujourd'hui. En effet, les appareils IIoT utilisés dans les systèmes OT n'ont pas été conçus pour être intégrés aux outils de surveillance et de gestion de la sécurité conçus pour les réseaux informatiques d'entreprise.

Les implications pour les organisations sont profondes :elles n'ont aucune visibilité sur les événements ou les actifs du réseau OT. Et sans une vue à l'échelle de l'entreprise de tous les risques potentiels, vulnérabilités et points d'infiltration potentiels, les capacités de détection rapide des menaces et de réponse de ces entreprises sont sérieusement compromises.

Ce n'est pas une bonne nouvelle pour les équipes de sécurité chargées de protéger les environnements IIoT contre un nombre croissant d'acteurs malveillants qui ciblent les systèmes de contrôle de plusieurs secteurs.

Résoudre les risques liés aux appareils avec UEBA

La bonne nouvelle est que la surveillance efficace et efficiente des appareils OT n'est pas une tâche impossible. Généralement conçus pour fonctionner sans intervention humaine, ces appareils « se comportent » d'une certaine manière. Par exemple, ils communiquent à l'aide de ports spécifiques, avec certaines adresses IP et appareils, à des heures prévues. Ces actions peuvent être réinterprétées comme un « comportement » et une analyse du comportement de l'entité utilisateur (UEBA) déployée pour augmenter les capacités de surveillance de la sécurité qui peuvent être intégrées à la gestion des informations et des événements de sécurité (SIEM) pour effectuer une surveillance complète de l'infrastructure de manière vraiment unifiée.

Plutôt que de passer des jours ou des semaines à utiliser l'ancien système SIEM pour interroger et faire pivoter manuellement chacun des centaines d'orthousandes de journaux par seconde générés par un seul point de contrôle OT, l'UEBA permet de découvrir plus rapidement et plus facilement les indicateurs de compromission.

En utilisant l'analyse pour modéliser un profil comportemental normal complet de tous les utilisateurs et entités dans l'ensemble de l'environnement, les solutions UEBA identifieront toute activité qui est incompatible avec ces lignes de base standard. Des analyses groupées peuvent ensuite être appliquées à ces anomalies pour découvrir les menaces et les incidents potentiels.

De cette façon, il devient possible de surveiller systématiquement les sorties volumineuses des appareils IIoT, aux côtés des appareils informatiques, pour détecter les menaces de sécurité potentielles. D'autres activités, telles que les connexions aux appareils, peuvent également être surveillées.

Adopter une approche intégrée de la sécurité

Comme nous l'avons vu, les limites des solutions IIoT, OT et IoT héritées et modernes sont persistantes, mais les entreprises peuvent prendre des mesures pour garantir l'intégrité de leurs opérations commerciales.

La clé ici est d'éviter une approche de « solution ponctuelle » et d'opter à la place pour une solution intégrée qui combine UEBA avec une plate-forme SIEM moderne pour offrir une vue à l'échelle de l'entreprise de la sécurité informatique et OT. qui permet une détection accrue des menaces, y compris des techniques difficiles à détecter comme le mouvement latéral.

Avec cela en place, une seule équipe SOC peut tirer parti du SIEM pour ingérer et analyser les données de toutes les sources de l'organisation et obtenir une vue en temps réel sur toutes les sécurités, y compris une visibilité complète de tous les appareils dans leurs environnements OT.

L'auteur est Trevor Daughney, vice-président du marketing produit chez Exabeam