Fonctionnalité sponsorisée La connectivité Internet a tout changé, y compris les environnements industriels de la vieille école. À mesure que les entreprises modernisent leurs opérations, elles connectent davantage de leurs machines au Web. C'est une situation qui crée des problèmes de sécurité clairs et actuels, et l'industrie a besoin de nouvelles approches pour y faire face.
L'adoption de l'Internet industriel des objets (IIoT) s'accélère. Recherche d'Inmarsat a révélé que 77 % des organisations interrogées ont entièrement déployé au moins un projet IIoT, 41 % d'entre elles l'ayant fait entre les deuxièmes trimestres de 2020 et 2021.
La même étude a également averti que la sécurité était une préoccupation majeure pour les entreprises qui se lançaient dans des déploiements IIoT, 54 % des personnes interrogées se plaignant que cela les empêchait d'utiliser efficacement leurs données. La moitié a également cité le risque de cyberattaques externes comme un problème.
Les solutions IIoT sont essentielles à la convergence de l'informatique et de l'OT (technologie opérationnelle). Les plates-formes OT, souvent des systèmes de contrôle industriels (ICS), aident les entreprises à gérer leurs appareils physiques comme les presses et les bandes transporteuses qui alimentent la production manufacturière ou les vannes et les pompes qui maintiennent l'eau municipale en circulation.
Ce faisant, ils génèrent d'énormes quantités de données utiles à des fins d'analyse. Mais intégrer ces informations dans les outils d'entreprise appropriés signifie combler le fossé entre l'informatique et l'OT.
Les opérateurs souhaitent également que ces systèmes OT soient accessibles à distance. Donner aux applications informatiques conventionnelles la possibilité de contrôler ces appareils signifie qu'ils peuvent être liés aux mêmes processus back-end définis dans les systèmes informatiques. Et permettre l'accès à distance aux techniciens qui ne peuvent pas ou ne veulent pas faire un aller-retour de plusieurs kilomètres juste pour effectuer un changement opérationnel peut également permettre d'économiser du temps et de l'argent.
Ce besoin d'accès à distance s'est accentué pendant la crise du COVID-19 lorsque la distanciation sociale et les restrictions de voyage ont empêché les techniciens d'effectuer la moindre visite sur site. Inmarsat a constaté que la pandémie était une cause profonde de l'adoption accélérée de l'IIoT, par exemple, 84 % déclarant qu'ils ont ou vont accélérer leurs projets en réponse directe à la pandémie.
Ainsi, pour beaucoup, la convergence de l'informatique et de l'OT est plus que pratique ; il est essentiel. Mais cela a également créé une tempête parfaite pour les équipes de sécurité. Un système ICS accessible de l'extérieur augmente la surface d'attaque des pirates.
Les attaques ICS en action
Parfois, cette convergence IT/OT peut être aussi simple que quelqu'un installant un logiciel d'accès à distance sur un PC dans une installation. C'est le montage qui permis pirates informatiques pour accéder aux systèmes de contrôle via l'installation d'un outil d'accès à distance à l'usine d'eau municipale d'Oldsmar, en Floride, en 2021, avant d'essayer d'empoisonner les résidents locaux avec de l'hydroxyde de sodium. Le PC que l'attaquant a compromis avait accès à l'équipement OT de l'usine. Le shérif de la ville a signalé que l'intrus invisible avait fait glisser le curseur de la souris devant l'un de ses employés.
On ne sait pas ce qui a poussé les pirates à essayer d'empoisonner des Floridiens innocents, mais certaines attaques ont des motifs financiers. Un exemple est l'attaque du rançongiciel EKANS qui frapper Honda en juin 2020, arrêtant les opérations de fabrication au Royaume-Uni, aux États-Unis et en Turquie.
Les attaquants ont utilisé le rançongiciel EKANS pour cibler les serveurs internes de l'entreprise, provoquant des perturbations majeures dans ses usines. Dans un selon une analyse de l’Université de Princeton de l'attaque, la société de cybersécurité Darktrace a expliqué qu'EKANS était un nouveau type de rançongiciel. Les systèmes de ransomware qui ciblent les réseaux OT le font normalement en frappant d'abord l'équipement informatique, puis en pivotant. EKANS est relativement rare dans la mesure où il cible directement l'infrastructure ICS. Il peut cibler jusqu'à 64 systèmes ICS spécifiques dans sa chaîne de destruction.
Les experts pensent que d'autres attaques ICS sont parrainées par l'État. Le malware Triton, d'abord dirigé contre les usines pétrochimiques en 2017, est encore une menace selon le FBI, qui attribue les attaques à des groupes russes soutenus par l'État. Ce logiciel malveillant est particulièrement dangereux, selon le Bureau, car il a causé des dommages physiques, un impact sur l'environnement et des pertes de vie.
Les solutions de sécurité standard ne fonctionneront pas ici
Les approches traditionnelles de la cybersécurité ne sont pas efficaces pour résoudre ces vulnérabilités OT. Les entreprises pourraient utiliser des outils de sécurité des terminaux, y compris des anti-malwares, pour protéger leurs PC. Mais que se passerait-il si le point de terminaison était un contrôleur logique programmable, une caméra vidéo compatible avec l'IA ou une ampoule ? Ces appareils n'ont souvent pas la capacité d'exécuter des agents logiciels capables de vérifier leurs processus internes. Certains peuvent ne pas avoir de processeurs ou d'installations de stockage de données.
Même si un appareil IIoT disposait de la bande passante de traitement et des capacités de puissance nécessaires pour prendre en charge un agent de sécurité intégré, les systèmes d'exploitation personnalisés qu'il utilise ne prendraient probablement pas en charge les solutions génériques. Les environnements IIoT utilisent souvent plusieurs types d'appareils de différents fournisseurs, créant ainsi un portefeuille diversifié de systèmes non standard.
Ensuite, il y a la question de l'échelle et de la distribution. Les administrateurs et les professionnels de la sécurité habitués à gérer des milliers de PC standard sur un réseau trouveront un environnement IIoT, où les capteurs peuvent se compter par centaines de milliers, très différents. Ils peuvent également se propager sur une vaste zone, en particulier à mesure que les environnements informatiques de pointe gagnent en popularité. Ils peuvent limiter leurs connexions au réseau dans certains environnements plus éloignés pour économiser de l'énergie.
Évaluation des cadres de protection ICS traditionnels
Si les configurations de sécurité informatique conventionnelles ne peuvent pas relever ces défis, alors peut-être que les alternatives centrées sur l'OT le peuvent ? Le modèle standard de référence est le modèle de cybersécurité Purdue. Créé à l'Université Purdue et adopté par l'International Society of Automation dans le cadre de sa norme ISA 99, il définit plusieurs niveaux décrivant l'environnement informatique et ICS.
Le niveau zéro traite des machines physiques - les tours, les presses industrielles, les vannes et les pompes qui font avancer les choses. Le niveau supérieur implique les dispositifs intelligents qui manipulent ces machines. Ce sont les capteurs qui relaient les informations des machines physiques et les actionneurs qui les pilotent. Ensuite, nous trouvons les systèmes de contrôle de supervision et d'acquisition de données (SCADA) qui supervisent ces machines, tels que les contrôleurs logiques programmables.
Ces appareils se connectent aux systèmes de gestion des opérations de fabrication au niveau supérieur, qui exécutent les flux de travail industriels. Ces machines assurent le fonctionnement optimal de l'usine et enregistrent ses données d'exploitation.
Aux niveaux supérieurs du modèle Purdue se trouvent les systèmes d'entreprise qui relèvent carrément du domaine de l'informatique. Le premier niveau contient ici les applications spécifiques à la production telles que la planification des ressources d'entreprise qui gère la logistique de production. Ensuite, au niveau le plus élevé se trouve le réseau informatique, qui collecte les données des systèmes ICS pour piloter les rapports commerciaux et la prise de décision.
Autrefois, lorsque rien ne communiquait avec quoi que ce soit en dehors du réseau, il était plus facile de gérer les environnements ICS en utilisant cette approche car les administrateurs pouvaient segmenter le réseau le long de ses limites.
Une couche de zone démilitarisée (DMZ) a été délibérément ajoutée pour prendre en charge ce type de segmentation, située entre les deux couches d'entreprise et les couches ICS plus bas dans la pile. Il agit comme un vide d'air entre l'entreprise et les domaines ICS, en utilisant des équipements de sécurité tels que des pare-feu pour contrôler le trafic entre eux.
Tous les environnements IT/OT n'auront pas cette couche, étant donné que ISA ne l'a cependant introduite que récemment. Même ceux qui le font font face à des défis.
Les environnements d'exploitation d'aujourd'hui sont différents de ceux des années 1990, lorsque le modèle Purdue a évolué pour la première fois et que le cloud tel que nous le connaissons n'existait pas. Les ingénieurs souhaitent se connecter directement aux opérations de gestion sur site ou aux systèmes SCADA. Les fournisseurs peuvent vouloir surveiller leurs appareils intelligents sur les sites des clients directement à partir d'Internet. Certaines entreprises aspirent à transporter toute leur couche SCADA dans le cloud, comme Severn Trent Water décidé à faire en 2020.
L'évolution de l'ICS en tant que service (ICSaaS), géré par des tiers, a encore brouillé les cartes pour les équipes de sécurité aux prises avec la convergence IT/OT. Tous ces facteurs risquent d'ouvrir de multiples trous dans l'environnement et de contourner tout effort de segmentation préalable.
Couper à travers tout le désordre emmêlé
Au lieu de cela, certaines entreprises adoptent de nouvelles approches qui s'aventurent au-delà de la segmentation. Plutôt que de s'appuyer sur des limites de réseau qui disparaissent rapidement, ils examinent le trafic au niveau de l'appareil en temps réel. Ce n'est pas loin des propositions originales de dépérimétrisation avancées par le Forum Jericho de l'Open Group au début des années XNUMX, mais l'analyse du trafic à tant de points différents du réseau était alors difficile. Aujourd'hui, les défenseurs sont mieux en mesure de garder un œil vigilant grâce à l'avènement de l'IA.
Darktrace est l'application certains de ces concepts au sein de son système immunitaire industriel. Au lieu de surveiller les signatures malveillantes connues aux frontières des segments de réseau, il commence par apprendre ce qui est normal partout dans l'environnement informatique et OT, y compris toutes les parties de cet environnement hébergées dans le cloud.
Établissant une ligne de base évolutive de la normalité, le service analyse ensuite tout le trafic pour détecter toute activité qui ne lui appartient pas. Il peut alerter les administrateurs et les analystes de sécurité de ces problèmes, car il fait pour un client manufacturier européen.
Le service est également autonome. Lorsqu'un client fait suffisamment confiance à ses décisions pour actionner l'interrupteur, le système immunitaire peut passer d'une simple alerte à une action proportionnelle. Cela peut signifier bloquer certaines formes de trafic, imposer le comportement normal d'un appareil ou, dans les cas graves, mettre complètement les systèmes en quarantaine, y compris les équipements des couches OT/ICS.
Les dirigeants de Darktrace espèrent que ce passage à un modèle plus granulaire d'analyse constante et omniprésente du trafic, combiné à une évaluation en temps réel par rapport au comportement normal connu, contribuera à contrecarrer la marée montante des cyberattaques ICS. Il est à espérer que cela permettra également aux entreprises de devenir plus agiles, en prenant en charge l'accès à distance et les initiatives ICS basées sur le cloud. À l'avenir, vous n'aurez plus à risquer que quelqu'un éteigne les lumières dans votre quête pour garder les lumières allumées.
Sponsorisé par Darktrace
- AI
- art de l'IA
- générateur d'art ai
- robot IA
- intelligence artificielle
- certification en intelligence artificielle
- intelligence artificielle en banque
- robot d'intelligence artificielle
- robots d'intelligence artificielle
- logiciel d'intelligence artificielle
- blockchain
- conférence blockchain ai
- cognitif
- intelligence artificielle conversationnelle
- crypto conférence ai
- de dall
- l'apprentissage en profondeur
- google ai
- machine learning
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- échelle ai
- syntaxe
- Le registre
- zéphyrnet
