La visibilité ne suffit pas pour sécuriser les systèmes technologiques opérationnels

Pour toute personne novice dans la sécurisation d'un réseau de technologie opérationnelle (OT) ou de systèmes de contrôle industriels (ICS) contre les cybermenaces, obtenir une visibilité complète semblerait probablement être une première étape logique. Mais alors quoi ? Le fait est que la visibilité seule ne vous protégera pas. La visibilité ne bloquera pas les intrus, ne protégera pas les terminaux, n'arrêtera pas les logiciels malveillants, ne segmentera pas le réseau et n'empêchera pas les temps d'arrêt. Une meilleure solution ferait tout cela en temps réel plutôt que d'essayer de remédier après coup. Parce qu'une fois qu'un intrus est à l'intérieur de votre réseau, la visibilité ne le fera pas sortir.

En raison du déluge de menaces auxquelles les réseaux OT sont confrontés, ils nécessitent une solution à deux volets. Visibilité, absolument. Mais ils ont également besoin d'une protection de défense en profondeur qui détecte et bloque ces activités au fur et à mesure - et même avant - qu'elles se produisent.

Pour être efficaces, les défenses doivent être des solutions informatiques spécifiques à l'OT et non restylées. Les environnements OT peuvent être extrêmement délicats, souvent avec un mélange de technologies flambant neuves et vieilles de plusieurs décennies. Les applications peuvent être la production de pétrole et de gaz, la production d'électricité, la fabrication, le traitement de l'eau ou l'automatisation des bâtiments. Alors que l'informatique donne traditionnellement la priorité à la confidentialité, les solutions natives OT sont conçues pour donner la priorité à la continuité au sein de ces environnements uniques.

Les attaques OT deviennent plus intelligentes, effrontées et courantes

De 2010 à 2020, il y a eu moins de 20 cyberattaques connues sur des infrastructures critiques. En 2021, il y avait plus d'attaques connues en un an qu'au cours des 10 précédentes, qui ont encore doublé en 2022. Et les attaques étaient plus effrontées, comme des acteurs parrainés par l'État détournant un véhicule de livraison, infectant sa cargaison OT et l'envoyant sur son chemin. Ce sont les types d'incidents auxquels les solutions informatiques traditionnelles ne sont pas préparées.

Une approche de défense en profondeur

La sécurité informatique traditionnelle, et plus encore la sécurité du cloud, a tendance à tout voir comme un problème logiciel à la recherche d'une solution logicielle. Ce n'est pas le cas dans le monde très physique des usines automatisées ou des opérations d'infrastructure, où de multiples vecteurs d'attaque exigent une défense à plusieurs volets qui va au-delà de la simple visibilité et fournit des outils pour prévenir et répondre aux menaces. Voici quelques mesures pratiques et efficaces que vous pouvez prendre.

Ne faites confiance à rien, analysez tout

Une façon d'aller au-delà de la visibilité est de tout scanner. Les périphériques de stockage, les ordinateurs portables des fournisseurs, les actifs remis à neuf et les actifs neufs de l'usine doivent tous être analysés physiquement avant de les connecter au réseau. Faites-en une politique et fournissez les appareils nécessaires sous la forme d'appareils de numérisation portables dans les endroits vulnérables. Ces appareils doivent rendre le processus de numérisation simple et pratique pour que les responsables des installations et des opérations se conforment à vos politique d'inspection de sécurité. Des outils d'analyse appropriés doivent également collecter et stocker de manière centralisée les informations sur les actifs lors de chaque inspection, prenant en charge à la fois les stratégies de visibilité et de protection.

Protégez les terminaux

Si vous travaillez avec un système Windows ou si vous souhaitez utiliser une technologie antivirus basée sur un agent, déployez une solution logicielle qui est également capable de détecter les changements inattendus du système, tels que les logiciels malveillants, les accès non autorisés, les erreurs humaines ou les reconfigurations de périphériques, et les prévenir avant qu'ils n'affectent les opérations.

Une protection efficace des terminaux nécessite une solution spécialement conçue pour les environnements OT. Une véritable solution OT aura une compréhension approfondie de milliers de combinaisons d'applications et de protocoles OT. De plus, il fera plus que simplement reconnaître ces protocoles ; il approfondira les commandes de lecture/écriture pour une protection agressive et proactive.

Sécuriser les actifs en production

Dans la sécurité OT, la disponibilité est primordiale et une solution proactive native OT est recommandée. Une solution native OT aura une compréhension approfondie des protocoles permettant de maintenir la disponibilité des opérations connues et fiables.

Mais la défense en profondeur signifie aller au-delà de l'identification d'une attaque ou d'une reconfiguration potentielle pour la prévenir. Ainsi, patching virtuel, listes de confianceet une segmentation OT pour bloquer les intrusions ou empêcher et isoler le trafic malveillant de se propager sur le réseau sont également recommandés. Il existe des appliances physiques natives OT qui ne touchent pas réellement les appareils qu'elles protègent, mais qui restent simplement sur le réseau pour détecter et empêcher les activités malveillantes d'atteindre les actifs de production.

Ne vous arrêtez pas ; Les attaquants ne le feront pas

Les environnements OT sont le dernier front des cyberguerres car ils sont riches en cibles et très, très vulnérables. Ils ont besoin d'une protection spécialisée car personne ne veut entrer un lundi matin ou après un jour férié pour trouver une alerte disant: «Bienvenue à nouveau. Il y a une brèche en cours. Si vous préférez une alerte indiquant : "Il y a eu une tentative de violation à 3h00 samedi, mais elle a été empêchée et vous êtes prêt à partir", vous aurez besoin d'une défense en profondeur native OT. approche qui va au-delà de la visibilité pour prévenir les attaques de manière proactive.

À propos de l’auteur

Austen Byers est directeur technique chez Réseaux TXOne. Il dirige les efforts de l'entreprise en matière de conception, d'architecture, de direction technique d'ingénierie et de leadership. Byers est un leader d'opinion recherché dans le domaine de la sécurité numérique des technologies opérationnelles (OT), avec plus de 10 ans d'expérience dans le domaine de la cybersécurité. Il a pris la parole lors de nombreux événements de l'industrie en tant qu'expert en la matière pour donner un aperçu de l'état de la cybersécurité industrielle et des subtilités des violations OT et pour fournir des stratégies pour aider les organisations à protéger leurs actifs et leurs environnements.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/ics-ot/visibility-is-just-not-enough-to-secure-operational-technology-systems