IOT et industrie : La vulnérabilité de la chaîne d'approvisionnement IoT menace la sécurité IIoT

La chaîne d'approvisionnement fournit des éléments de base pour l'IoT mais aussi des vulnérabilités. Les professionnels de l'informatique doivent se protéger des attaques malveillantes qui exploitent les failles de sécurité de la chaîne d'approvisionnement.

La plupart des entreprises qui construisent des produits à l'aide d'opérations basées sur l'IIoT sont susceptibles de garder un œil étroit sur la chaîne d'approvisionnement qui fournit un flux prévisible de matières premières et de services qui leur permet de produire des produits et de maintenir l'activité en plein essor.
Mais une deuxième chaîne d'approvisionnement sous-jacente est moins examinée. Et si la sécurité de cette chaîne d'approvisionnement est en quelque sorte compromise, les activités pourraient s'arrêter.
Cette chaîne d'approvisionnement négligée fournit les composants qui construisent une infrastructure IIoT. L'acheteur de ces appareils se trouve à la fin de la chaîne d'approvisionnement qui – du point de vue de la sécurité – manque de transparence suffisante dans la chaîne. En fait, il serait difficile de suivre les origines des éléments internes qui composent les dispositifs IIoT livrés.
Par conséquent, il n’est pas rare que des composants liés à l’IIoT soient livrés avec des vulnérabilités de sécurité exploitables. La complexité et la portée mondiale de la chaîne d'approvisionnement IIoT ne font qu'aggraver le problème – un seul appareil peut être fabriqué à partir de pièces fournies par des dizaines de fabricants de composants.
«Des dizaines de composants fabriqués par des entreprises du monde entier rebondissent à travers plusieurs niveaux de fournisseurs et d'intégrateurs jusqu'à ce qu'ils soient placés sur une carte, testés et emballés par l'OEM», comme indiqué dans «Finite State Supply Chain Assessment», un rapport 2019 de Finite State, une entreprise de cybersécurité IoT.
Les risques pour les infrastructures IIoT sont réels et nombreux
La plupart des opérateurs de réseau reconnaissent les risques de la chaîne d'approvisionnement IIoT, mais des vulnérabilités spécifiques sont difficiles à isoler. Ces déploiements sont souvent de grande envergure, allant au-delà des murs d’un fabricant aux expéditeurs, commerçants et autres partenaires commerciaux. Et au fur et à mesure que le réseau s'étend et inclut des points d'intégration supplémentaires, le risque qu'un morceau de code malveillant ne se reproduise ne fait qu'augmenter. En effet, le code lui-même n'est peut-être pas malveillant mais peut présenter un port ouvert qui peut compromettre les systèmes.
"Le simple fait de voir de première main combien de vulnérabilités ont tendance à se trouver dans les systèmes embarqués – c'est là que les propriétaires d'actifs ne réalisent pas que ces vulnérabilités existent dans leurs systèmes", a noté Matt Wyckhouse, PDG de Finite State.
Une fois qu'un environnement IIoT est violé, des acteurs malveillants peuvent l'utiliser comme une entrée pour s'enfoncer davantage dans les systèmes d'entreprise. Les systèmes de contrôle industriel (ICS) et d'autres systèmes de production peuvent être menacés, mais si des intrus peuvent échapper aux obstacles de sécurité et approfondir encore davantage les applications clés de l'entreprise et les données associées peuvent également être exposées. Tout cela est attribuable à un micrologiciel douteux qui a pénétré dans la chaîne d'approvisionnement qui produit des capteurs, des actionneurs et d'autres IIoT opérationnels.
«Lorsqu'une vulnérabilité est signalée, il faut un certain temps au fabricant pour réagir à cette vulnérabilité, obtenir un correctif, puis pour que les propriétaires d'actifs exécutent la mise à jour de cet appareil et exécutent la dernière version du micrologiciel», a expliqué Wyckhouse , décrivant comment même les vulnérabilités connues peuvent persister.
Dans «L'état de la cybersécurité industrielle», un rapport d'enquête de juillet 2019 mené par l'ARC Advisory Group pour Kaspersky, un fournisseur de sécurité, plus d'un quart (26%) des répondants ont déclaré qu'ils considéraient «les menaces de tiers, comme l'approvisionnement chaîne ou partenaires »comme une préoccupation majeure, et 44% ont déclaré que c'était une préoccupation mineure. Fait intéressant, tous les autres problèmes de sécurité majeurs – tels que les ransomwares (70%) et les attaques ciblées (68%) – pourraient être lancés contre une entreprise via une brèche dans la chaîne d'approvisionnement.
[ For more on IoT security, register for our IoT Security Summit this December.]
Dans la même enquête, 28% des personnes interrogées ont indiqué qu’il était «très probable» ou «très probable» que le SCI ou le réseau de contrôle industriel de leur entreprise soit visé.
Le «Global Connected Industries Cybersecurity Survey», un autre sondage réalisé en 2019 par Irdeto, une société de sécurité basée aux Pays-Bas, a souligné que de nombreuses entreprises ont déjà été brûlées par des attaques invasives IoT: «L'étude a révélé de manière alarmante que seuls 17% des appareils IoT utilisaient ou fabriqués par de grandes entreprises n’ont pas subi de cyberattaque au cours des 12 derniers mois. »
Comment les chaînes d'approvisionnement IIoT sont compromises
En règle générale, la plus grande préoccupation concernant la chaîne d'approvisionnement qui alimente les lignes de production d'une entreprise est que l'activité de production peut être interrompue, entraînant un ralentissement ou un arrêt de la production. Pour la chaîne d'approvisionnement de l'IIoT, la menace est beaucoup plus secrète et peut prendre des semaines ou des mois avant que ses effets ne se manifestent.
En règle générale, lorsqu'une corruption de la chaîne d'approvisionnement IIoT se produit, elle est davantage le résultat d'un effet domino, qui masque la source de la vulnérabilité.
«Les attaquants ont certaines victimes à l'esprit, mais au lieu de s'attaquer directement aux victimes, ils s'adressent à des fournisseurs industriels d'IoT de niveau 2, compromettent leurs sites Web et remplacent les micrologiciels et logiciels légitimes par des versions Trojanized», a décrit Eric Byres, PDG d'Adolus, un société qui fournit un service de vérification du micrologiciel.
Les administrateurs de réseau IIoT inconscients qui entreprennent une maintenance réseau appropriée peuvent involontairement faire proliférer le code hostile. «Ils vont immédiatement le télécharger et l'emporter dans leur usine», a déclaré Byres, «et soudain, il y a ce malware qui règne maintenant à l'intérieur de leur usine, à l'intérieur des pare-feu, à l'intérieur de tout.»
Avec un pied dans la porte, les intrus peuvent se frayer un chemin à partir des réseaux industriels et ensuite violer les réseaux de données d'entreprise. «Les méchants attaquent un site et ils obtiennent comme cet effet multiplicateur crédible», a poursuivi Byres. "C'est un sacré bon retour sur investissement pour un attaquant."
La plupart des environnements IIoT incluent des centaines ou des milliers d'appareils plus anciens – des capteurs et autres composants qui peuvent être en place depuis une décennie (ou plus). Les experts conviennent que plus l'équipement est ancien, plus il est susceptible de présenter un risque de sécurité car il est en retard dans les supports et les mises à jour.
Par exemple, le rapport Finite State décrivait un composant fabriqué par Huawei qui incluait du code utilisant une version d'OpenSSL publiée en 2003 – et qui était bien connu (et documenté) comme extrêmement vulnérable.
Certaines failles de sécurité de la chaîne d'approvisionnement IIoT peuvent avoir été insérées intentionnellement – soit de manière innocente, soit avec des motifs malveillants. Un exemple est une porte dérobée. Une porte dérobée dans un logiciel permet d'accéder aux parties centrales du micrologiciel et, par conséquent, au composant lui-même sans avoir à passer le processus d'authentification habituel.
Les portes dérobées bien intentionnées sont souvent laissées ouvertes par les fabricants de composants pour fournir un point d'entrée aux techniciens pour prendre en charge et surveiller l'appareil. Souvent appelés ports de débogage, ces portes dérobées permettent également un accès facile aux acteurs malveillants. De même, les interfaces de programmation d’applications (ou API) destinées à permettre l’intégration avec les systèmes de contrôle industriels peuvent offrir par inadvertance un autre moyen de compromettre le fonctionnement d’un appareil. Les portes dérobées les plus néfastes sont souvent laissées entrouvertes par les pays sur leurs produits exportés, car ils espèrent les utiliser plus tard pour balayer la propriété intellectuelle (PI) ou d'autres données.
En général, la chaîne d'approvisionnement IIoT est plus Far West que bien contrôlée.
«L'IoT est toujours une technologie largement non réglementée en termes de normes de sécurité», a noté «IoT Supply Chain Security: Overview, Challenges, and the Road Ahead», un document de recherche publié par Muhammad Junaid Farooq et Quanyan Zhu de la Tandon School de l'Université de New York d'ingénierie. «Il n’existe aucun contrôle sur la chaîne d’approvisionnement en amont du point de vue du propriétaire de l’appareil. Tous les fournisseurs ne sont pas prêts à articuler clairement leurs pratiques de cybersécurité et à divulguer leurs informations sur la chaîne d'approvisionnement. »
Cibles des acteurs malveillants et ce qu’ils veulent
Les incursions de la chaîne d'approvisionnement IIoT peuvent entraîner l'une des situations compromises que nous avons constatées causées par d'autres types de brèches de réseau. Mais, étant donné leur nature et leur fonction mêmes, les dispositifs IIoT «qui fuient» peuvent entraîner diverses activités malveillantes et perturbations.
Le ransomware se distingue toujours comme une motivation clé pour une attaque. Cela est également vrai pour de nombreuses infiltrations de la chaîne d'approvisionnement IIoT, car les mauvais acteurs peuvent retarder ou affecter négativement la production jusqu'à ce qu'un paiement de rançon soit effectué.
Les interruptions de production peuvent faire des ravages encore plus graves dans un environnement industriel. En modifiant le flux de données à partir de capteurs et d'autres appareils IIoT, les paramètres de la machine peuvent être manipulés, ce qui, à son tour, peut causer des problèmes invisibles dans le processus de fabrication qui peuvent entraîner des produits défectueux ou des machines d'usine telles que des dispositifs robotiques pour fonctionner dans un environnement dangereux. manière.
Un rapport de mars 2020 OT Security Best Practices a noté que les violations du système de contrôle industriel peuvent avoir des effets profonds: «Certains d'entre eux incluent des risques importants pour la santé et la sécurité des vies humaines, des dommages graves à l'environnement et des problèmes financiers tels que des pertes de production, et impact négatif sur l'économie d'un pays. »
Certains secteurs verticaux sont également devenus des cibles clés.
«Si vous voulez un environnement riche en cibles avec de nombreux objectifs intéressants, passez à l’énergie, au réseau électrique, au pétrole et au gaz», a déclaré Adolus Byres. "Et maintenant, un autre environnement riche en cibles que nous voyons est médical en raison de la pandémie."
Wyckhouse de Finite State désigne également les soins de santé comme une cible de choix. «Nous assistons actuellement à une augmentation des attaques destructrices et potentiellement mortelles dans le secteur des soins de santé au cours des deux dernières semaines, avec des attaques de ransomwares détruisant des hôpitaux au milieu de la pandémie.»
Un gros salaire n’est pas toujours l’objectif des attaquants. Parfois, les informations, comme dans le cas de la propriété intellectuelle (PI) critique, en sont l’objectif.
Passer à travers les mailles du filet dans un environnement IIoT pour accéder au réseau de données d'entreprise est également un stratagème courant. «La surface d'attaque augmente et devient de plus en plus compliquée chaque jour», a déclaré Wyckhouse. «Il y a certains cas où nous devrions nous inquiéter d'un acteur utilisant la chaîne d'approvisionnement comme mécanisme d'accès initial.»
Comment faire face aux faiblesses de la chaîne d'approvisionnement IIoT
Pour la plupart des entreprises, la création d'un environnement IIoT plus sécurisé sera une entreprise importante, simplement en raison du grand nombre d'appareils sur les réseaux et de leur histoire complexe. Vous aurez une longueur d’avance si vous disposez déjà d’un inventaire détaillé et complet de ces appareils. Si ce n’est pas le cas, c’est ici que vous commencez.
Une fois que vous avez établi la configuration du terrain, une évaluation des risques de la chaîne d'approvisionnement est la prochaine étape. Identifiez les risques «macro», tels que les situations de rançon, la corruption de données ou le vol IP. Mais l'évaluation des risques devra également atteindre un niveau plus granulaire, où chaque périphérique est évalué pour la vulnérabilité potentielle et comment cette vulnérabilité peut être aggravée en une intrusion réseau plus large.
Un examen plus approfondi des réseaux de l'entreprise et de leur intégration s'impose également. Il peut être possible, par exemple, d'isoler un IIoT d'Internet en utilisant l'espacement aérien pour séparer l'environnement technologique des opérations des réseaux informatiques.
Les fournisseurs de dispositifs IIoT doivent également être évalués, afin de comprendre le niveau de leurs efforts de sécurité. Le meilleur moment pour cela est lorsque votre entreprise évalue les produits à acheter, car «le moment du cycle de vie d'un appareil où l'opérateur a le plus d'influence sur le fabricant est lors de l'achat de cet appareil», selon Wyckhouse.
Si les achats d'appareils IIoT sont nombreux et fréquents, il serait judicieux de mettre en place un processus d'évaluation formel pour s'assurer que tous les fournisseurs et produits sont correctement contrôlés.
"Ne prenez pas simplement un petit bout de papier qui dit:" Nous prenons la sécurité au sérieux ", a noté Byres. «Obtenez un rapport approprié de leur part ou adressez-vous à un tiers et obtenez une analyse appropriée, et déterminez vraiment si votre fournisseur fait ses devoirs en matière de sécurité.»
Vous pouvez également exploiter des ressources telles que la base de données nationale sur les vulnérabilités (NVD) du National Institute of Standards and Technology (NIST) pour consulter sa liste de vulnérabilités et d'expositions communes (CVE).
De nouvelles classes de services et d'applications émergent, spécifiquement pour faire face à la situation de la chaîne d'approvisionnement de l'IIoT. Adolus et Finite State sont des exemples d'entreprises proposant des services qui aident les utilisateurs à déterminer la sécurité des équipements qu'ils ont déjà installés ou envisagent.
Adolus a commencé comme un projet du département américain de la sécurité intérieure avant de devenir un service disponible dans le commerce. Il repose sur une base de données qui collecte des informations publiées et anecdotiques liées à des milliers d'appareils IoT, y compris une compilation de toutes les vulnérabilités connues. Les utilisateurs finaux ou les fabricants d'appareils peuvent accéder à la base de données pour tracer la lignée d'un composant et trouver des détails sur ses composants et ses fournisseurs.
«Notre technologie consiste à construire cette nomenclature logicielle», a déclaré Eric Byres, PDG d'Adolus. «Ainsi, nous pourrions avoir une provenance complète non seulement du produit de base que vous venez d'acheter et d'installer, mais également de tous les composants qui l'accompagnent.»
L'état fini adopte également une nouvelle approche de ce problème. La technologie de l’entreprise peut analyser efficacement le micrologiciel pour déterminer s’il présente des risques pour une infrastructure IIoT. Cela est particulièrement important car, comme le souligne le PDG de Finite State, Matt Wyckhouse, «lorsqu'une mise à jour du micrologiciel est appliquée, ce micrologiciel remplace tous les logiciels de cet appareil. Il le remplace complètement et, par conséquent, il peut changer complètement le profil de risque de l'appareil. »

Laisser un commentaire