Considérations relatives à la recherche de périphériques d'accès à distance pour la sécurité

Les équipes opérationnelles exécutant des systèmes industriels s'appuient sur des dispositifs d'accès à distance pour faire leur travail et pensent rarement aux considérations non techniques et non commerciales lors de l'achat. Mais l'histoire récente nous apprend que l'origine de l'appareil, et même des composants de l'appareil, importe beaucoup plus que nous ne le reconnaissons.

Les attaques de la chaîne d'approvisionnement sont graves

Une attaque de la chaîne d'approvisionnement est une catégorie d'attaque de cybersécurité où l'accès est obtenu en ciblant des éléments en amont de la chaîne d'approvisionnement. Un profane qui achète un appareil, peut-être pour mettre en service un équipement pendant le week-end, peut penser que le risque n'est pas suffisamment important pour influencer la décision d'achat, mais il l'est.

Les attaques de la chaîne d'approvisionnement sont extrêmement populaires pour les attaquants car, en infiltrant un fournisseur, ils peuvent accéder à de nombreux utilisateurs finaux. Par exemple, Stuxnet était une attaque efficace de la chaîne d'approvisionnement qui ciblait les API utilisés dans un programme d'enrichissement d'uranium. NotPetya, qui a causé des dommages estimés à 10 milliards de dollars à des organisations telles que Merck et Saint-Gobain, a été distribué via un logiciel de préparation des déclarations. Plus récemment, SUNBURST a donné un accès détourné à jusqu'à 18 000 organisations et a été distribué via le logiciel SolarWinds. Cela s'est produit plusieurs fois et continuera à cause du gain pour l'attaquant.

Attaques de la chaîne d'approvisionnement contre ICS via des dispositifs d'accès à distance

L'idée d'une attaque de la chaîne d'approvisionnement ciblant ICS via un dispositif d'accès à distance n'est pas seulement théorique - elle s'est déjà produite. En 2014, le logiciel malveillant Dragonfly a infecté de nombreuses organisations et a été distribué via les packages de configuration d'application Talk2M d'Ewon, qui est un logiciel utilisé pour fournir un accès VPN à l'équipement ICS. L'Institut SANS a fourni un document sur l'attaque et ses impacts, que vous pouvez lire ici.

Considérations avant d'acheter

Donc, revenons au profane qui achète un appareil afin qu'il puisse mettre en service un équipement :que doit-il faire ?

Dans les situations où vous n'êtes pas - et ne pouvez pas être - un expert, il est sage de regarder ce que font les experts. Dans le cas de la sécurité, l'un de ces experts serait le département américain de la Défense. Ils interdisent clairement l'achat et l'utilisation d'appareils, ou la conclusion de contrats avec des fournisseurs qui utilisent des appareils, auprès de certains fabricants étrangers en raison des risques dans la chaîne d'approvisionnement. Une note du DoD de juillet 2020 décrit cette pratique et peut être consultée publiquement ici. Une entreprise nommée d'importance est Huawei Technologies Company (et ses filiales et sociétés affiliées), en raison de la large utilisation de leurs puces, y compris dans les dispositifs d'accès à distance, tels que Tosibox.

Ainsi, un plat à emporter pour le profane ici peut être d'acheter domestique chaque fois que possible. Il convient de noter que l'achat de produits fabriqués dans le pays et de produits conçus avec des couches de sécurité profondes ne se fait pas facilement et nécessite généralement une prime de prix, mais vaut sans aucun doute le coût pour l'utilisateur, surtout pour l'accès à distance aux systèmes industriels.

Au-delà des risques de la chaîne d'approvisionnement, il existe de nombreuses considérations techniques et organisationnelles lors de la mise en œuvre de l'accès à distance. Je les ai explorées au sein d'un groupe de travail avec l'Organisation pour l'automatisation et le contrôle des machines (OMAC), qui a ensuite publié un guide pratique pour l'accès à distance aux équipements de l'usine que je recommande de lire.