Détection d'un comportement cybernétique anormal avant une cyberattaque

La promesse des technologies de fabrication avancées - également connues sous le nom d'usines intelligentes ou Industrie 4.0 - est qu'en mettant en réseau nos machines, ordinateurs, capteurs et systèmes, nous allons (entre autres) permettre l'automatisation, améliorer la sécurité et finalement devenir plus productifs et efficaces. Et il ne fait aucun doute que la fabrication a déjà bénéficié de cette transformation.

La connexion de tous ces capteurs et appareils à nos systèmes de contrôle industriel (ICS) et l'augmentation du travail et de la surveillance à distance se traduisent par la fabrication de réseaux plus vulnérables aux cyberattaques. Il s'agit d'une dynamique de plus en plus difficile alors que les fabricants déterminent comment adopter des normes commerciales de technologie de l'information (IT) compatibles avec leurs normes de technologie opérationnelle (OT).

De nouvelles capacités basées sur des normes aideront les fabricants

Le Centre national d'excellence en cybersécurité (NCCoE) du NIST, en collaboration avec le laboratoire d'ingénierie du NIST, a récemment publié un rapport démontrant un ensemble de capacités de détection d'anomalies comportementales (BAD) pour soutenir la cybersécurité dans les organisations de fabrication. L'utilisation de ces capacités permet aux fabricants de détecter des conditions anormales dans leurs environnements d'exploitation afin d'atténuer les attaques de logiciels malveillants et d'autres menaces à l'intégrité des données opérationnelles critiques.

En d'autres termes, les fabricants seront en mesure de surveiller en permanence les systèmes en temps réel ou quasi réel à la recherche de preuves de compromission. Le développement de cybercontrôles basés sur des normes est un aspect important des exigences de sécurité des fabricants.

Comment BAD Monitoring se traduit par une détection précoce des cybermenaces

La détection d'anomalies comportementales implique la surveillance continue des systèmes pour détecter des événements ou des tendances inhabituels. Le moniteur recherche en temps réel des preuves de compromission, plutôt que la cyberattaque elle-même. La détection précoce des incidents potentiels de cybersécurité est essentielle pour aider à réduire l'impact de ces incidents pour les fabricants. Les cyber-violations sont généralement détectées après l'attaque.

Les outils BAD sont implémentés dans des environnements ICS et OT et peuvent être surveillés par une interface de contrôle humaine, que de nombreux fabricants utilisent pour surveiller leurs opérations. L'opérateur serait en mesure de voir le trafic réseau et d'être alerté de l'ajout de tout appareil ou connexion autorisé ou non autorisé.

Par exemple, le système saurait quelles communications sont autorisées avec un automate programmable (PLC), ainsi tout nouveau contact générerait une alerte. De même, toute conversation anormale entre les machines connectées, les modifications de la logique de l'interface homme-machine (IHM) ou d'autres anomalies seraient notées.

La solution BAD est une approche modulaire relativement peu coûteuse et un moyen efficace de détecter les anomalies, mais les alertes BAD sont de nature passive et ne prendraient pas nécessairement des mesures correctives telles que l'arrêt du processus de production.

Les fabricants restent une cible pour les cyberattaques

Selon le département américain de la Sécurité intérieure, la fabrication était l'industrie la plus ciblée pour les attaques d'infrastructure en 2015, et les petites et moyennes entreprises (SMM) continuent d'être des cyber-cibles de premier plan.

La demande de cybersécurité est plus forte en raison de la dépendance croissante des fabricants à l'égard de la technologie et des données en tant que moteurs de productivité et d'efficacité. Les SMM ont traditionnellement été mis au défi de gérer les problèmes de cybersécurité pour diverses raisons :

• La combinaison de technologies de fabrication comprend l'informatique (réseaux et logiciels commerciaux tels que la messagerie électronique, la finance et les ERP) et l'OT (technologie opérationnelle, telle que les machines et les systèmes de contrôle).
• Le cyberespace est en concurrence avec de nombreux autres domaines en termes de financement, de sensibilisation et d'éducation.
• Il est difficile de dédier des ressources spécialisées au personnel interne.
• La cybersécurité n'a pas été une priorité dans la version OT, ce qui signifie que, comme l'IT et l'OT sont connectés, les vulnérabilités des systèmes hérités deviennent des responsabilités potentielles pour l'ensemble du réseau.

Quelles sont les prochaines étapes du NIST Labs et du NCCoE pour la cybersécurité

Le travail de développement de la capacité BAD a utilisé 16 cas de test, ou classifications. Certains étaient de simples alertes à un événement, comme des échecs de mot de passe et d'authentification, et d'autres impliquaient un certain niveau d'analyse, comme la notification d'installations logicielles non autorisées et une alerte de déni de service.

Le prochain projet conjoint du NCCoE et du laboratoire d'ingénierie du NIST, Protecting Information and System Integrity in Industrial Control System Environments, adopte une approche plus globale de la protection contre les piratages de l'intégrité des données. Ces capacités incluent :

• Surveillance des incidents et événements de sécurité ;
• Liste d'autorisation d'application ;
• Détection et atténuation des logiciels malveillants ;
• Gestion du contrôle des changements ;
• Authentification et autorisation de l'utilisateur ;
• Contrôle d'accès au moindre privilège ; et
• Mécanismes de vérification de l'intégrité des fichiers

Neuf fournisseurs et intégrateurs de fabrication ont signé des accords de coopération en matière de recherche et développement (CRADA) avec le NCCoE pour aider à développer la capacité.

Contactez votre centre MEP local pour obtenir des conseils d'experts en cybersécurité

Les experts en cybersécurité travaillant dans le secteur manufacturier considèrent l'éducation comme la clé de l'adoption du SMM. De plus en plus de SMM envisagent les cyberconsultations d'une manière similaire à la manière dont ils pourraient rechercher une expertise pour la finance ou l'assurance.

Si vous ne savez pas par où commencer avec la cybersécurité pour votre entreprise de fabrication, consultez cet outil d'évaluation et le cadre de cybersécurité du NIST. Vous pouvez également parcourir la collection NIST MEP de ressources de cybersécurité pour les fabricants.

Pour des besoins particuliers, la voie la plus rapide pour trouver des conseils appropriés est de contacter un expert en cybersécurité de votre centre MEP local.