IOT et industrie : Les pros d'Infosec devraient-ils apprendre à se taire et à écouter?

Ajouter aux favoris «Ils avaient l'impression que seuls quatre appareils étaient connectés à leur réseau sur cette plate-forme pétrolière. Nous en avons trouvé 127 »

«J'étais à travers leur pare-feu. Nous avions compromis une banque. Sur Internet, à travers le pare-feu, boum: nous nous sommes assis sur une machine à l'intérieur de leur réseau. Je me souviens de l'euphorie absolue – et de l'arrogance avec laquelle je suis entré dans la réunion d'information ».
Charl van der Walt se souvient avec Computer Business Review d'une mission de test de pénétration, très tôt dans sa carrière, alors que nous discutons des défis de la sécurisation des environnements de technologie opérationnelle (OT) et de la mémoire – «il y a longtemps, avant que nous ayons des vecteurs de monétisation sophistiqués que nous avons maintenant »- lui semble une métaphore utile.
«Les geeks de la sécurité étaient tous très enthousiastes», se souvient van der Walt – maintenant responsable de la recherche sur la sécurité chez Orange Cyberdefense, le plus grand fournisseur de services de sécurité gérés en Europe – se souvient du briefing.
«Mais le propriétaire du système n'était absolument pas impressionné.
«Sa question était du genre« et alors? » [Laughs].
«Le problème était le suivant: nous n'avions aucune compréhension à l'époque du fonctionnement réel d'une banque. Nous avons compris le fonctionnement des ordinateurs, mais en liant cela, comme le font actuellement les attaquants, aux transactions SWIFT, etc. cette invite de shell sur la machine ne signifiait rien; cela n'avait aucune implication réelle pour eux. Notre hypothèse très naïve sur l'effacement des tableaux ou la modification des valeurs dans les cellules? Ce n’est pas ainsi que fonctionnent les banques. Ils avaient beaucoup de résilience intégrée dans leurs systèmes back-end.
«Je me demande s’il n’existe pas une vérité similaire en OT qui oblige les responsables de la sécurité à passer un peu plus de temps à comprendre comment ces systèmes fonctionnent, comment ces personnes travaillent; les réalités opérationnelles, avant de nous précipiter, les armes à feu?
Vulnérabilités de la technologie opérationnelle signalées par le fournisseur le plus affecté, 2019-2020. Crédit: Skylight Security.
OT est une priorité sur l'agenda de sécurité
Nous parlons alors que la sécurité OT devient de plus en plus importante dans l'agenda des entreprises et que les fournisseurs déploient de plus en plus d'offres, d'ateliers et de services d'engagement de tests d'intrusion spécifiques à la sécurité OT.
(Orange Cyberdefense construit lui-même un laboratoire OT tentaculaire pour tester et démontrer les attaques sur une gamme éclectique de technologies OT et IIoT, Microsoft a récemment acheté la société de sécurité OT CyberX et le fonds de capital-investissement Advent a conclu un accord révisé de 1,6 milliard de dollars pour l'entreprise spécialisée Forescout, parmi une vague d'activité récente de sécurité OT dans l'espace fournisseur / conseil).
Des incidents tels que la panne de l'usine américaine de Honda – à la suite d'une attaque réussie du ransomware Ekans – et une série de violations en Europe qui ont rapproché de manière inquiétante les attaquants d'infrastructures nationales critiques dans le secteur de l'énergie ont sans doute de nouveau focalisé les esprits sur un problème toujours difficile.
Merci, Internet des objets industriel…
La connectivité élargit la surface d'attaque dans de nombreux secteurs, alors que les entreprises cherchent à intégrer davantage d'outils et de processus qui leur permettent d'automatiser les systèmes, de collecter des données pour faciliter la maintenance préventive ou d'améliorer le contrôle à distance, et plus encore – le soi-disant Internet des objets industriel (IIoT) qui permet aux entreprises de créer des «jumeaux numériques», entre autres fonctionnalités.
La pression pour se connecter pour les entreprises est incessante, motivée en partie par la servitisation des fournisseurs et le passage à des modèles d'opex plutôt que de capex pour l'investissement matériel assorti de conditions.
Comme l'ancien directeur du GCHQ, Robert Hannigan, l'a récemment déclaré à Computer Business Review: «Les moteurs commerciaux à connecter sont de plus en plus puissants.
«Le monde dans lequel vous pouvez prétendre que les réseaux IT et OT ne seront jamais joints n'est pas le monde réel, pour le meilleur ou pour le pire. Il sera possible pour tout le monde de se couper, sauf pour un petit nombre de très petites entreprises.
"[But] les entreprises devront avoir une discipline de fer pour rester en sécurité. »
«Ils avaient l'impression que seuls 4 appareils étaient connectés à leur réseau alors qu'en réalité, nous en avons trouvé 127»
Le défi commence généralement par la visibilité: les entreprises qui déploient une gamme d'équipements OT ne réalisent souvent pas combien de leurs appareils ou interfaces se sont retrouvés sur des réseaux internes ou, en fait – comme avec Honda – ont des systèmes qui ont fini par faire face publiquement au l'Internet.
Comme l'explique Richard Orange, directeur régional UK&I chez Forescout, spécialiste de la sécurité OT: «À première vue, de grandes installations de plusieurs millions de livres peuvent sembler n'héberger qu'un nombre limité et bien documenté d'appareils connectés.
"Mais caché dans chacun d'eux se cache une multitude de composants différents, tous avec leurs propres protocoles et vulnérabilités."
«Les entreprises pharmaceutiques, par exemple, ont de grandes lignes de production mais négligent souvent de prendre en compte les composants individuels de chaque processus sur la ligne.
Il note: «Chaque processus se compose de dispositifs interconnectés tels qu'un maître API avec plusieurs cartes de contrôle communiquant via des commutateurs réseau intégrés vers des dispositifs esclaves tels qu'une centrifugeuse, un chauffage ou un mélangeur chimique… ces lignes sont souvent sensibles aux vulnérabilités connues en raison de la convergence connectivité réseau.
«Les services postaux sont un autre service d'infrastructure national qui pourrait présenter un risque en raison de l'utilisation de grandes machines discrètes telles que Siemens Mail Sorter (Siemens SIMATIC S7-300 Series). Bien que ceux-ci puissent sembler être de simples machines, les composants individuels ne le sont pas et peuvent exécuter des versions héritées de Windows.
«De même, dans le secteur de l'énergie, nous avons travaillé avec des entreprises qui gèrent des plates-formes pétrolières. Ils avaient l'impression que seuls quatre appareils étaient connectés à leur réseau alors qu'en réalité, nous en avons trouvé 127. C’est 123 points d’entrée potentiels pour les mauvais acteurs… »
Résoudre le problème
Outre la découverte d'actifs, dans quelle mesure des tests de pénétration plus réguliers doivent-ils faire partie de la construction d'environnements de sécurité OT plus robustes?
(Ces techniques mises à part, une analyse récente de Forescout suggère qu'il y a un long chemin à parcourir sur les bases: plus de 30% des appareils gérés dans la fabrication et plus de 35% dans le secteur de la santé exécutent des versions Windows non prises en charge, selon l'enquête inaugurale de la société sur la sécurité IoT 2020) .
Pourtant, des tests de stylet plus réguliers, par exemple, n’auraient-ils pas repéré la mauvaise segmentation du réseau qui semble avoir contribué à l’immobilisation des usines de Honda après une attaque de ransomware?
«C’est compliqué» est la réponse courante. Les raisons en sont diverses: que ce soit parce que vous ne pouvez tout simplement pas effectuer des analyses de port de base sur de nombreux environnements OT au cas où quelque chose tomberait («les usines sont difficiles à redémarrer», comme nous le rappelle un expert: «arrêter la production lorsque votre engagement disparaît le mal est la dernière chose que quiconque veut ») ou parce que l'expertise dans certains des coins les plus ésotériques du monde OT est étonnamment difficile à trouver.
«Une plus grande réduction des risques peut souvent être réalisée en améliorant d'autres éléments d'un plan de sécurité plus large»
Comme Tim Ennis, consultant senior en sécurité OT pour NTT Ltd – qui travaillait auparavant dans l'industrie nucléaire – le dit: «Les tests au stylo ne sont pas souvent effectués jusqu'à ce qu'un niveau de maturité plus élevé soit atteint …
«Une plus grande réduction des risques peut souvent être réalisée en améliorant d'autres éléments d'un plan de sécurité plus large, tels que: les projets de segmentation du réseau, la découverte d'actifs et l'évaluation des risques système, la réduction de la surface d'attaque grâce à des améliorations de la politique de renforcement du système et à l'amélioration du contrôle et de la surveillance de l'accès à distance à Environnements OT. »
Il frappe cependant une note optimiste, suggérant que les choses s'améliorent.
«De nombreux propriétaires d'actifs ont fait des progrès vraiment impressionnants au cours des dernières années et sont désormais en mesure d'effectuer eux-mêmes des exercices internes de l'équipe rouge.
«Les exercices et ateliers sur table utilisant des modèles d'arbres d'attaque et la collecte de renseignements open source sont de plus en plus courants et constituent un moyen très efficace d'identifier rapidement les scénarios d'attaque et les couches de défense existantes. Les autres avantages de ces exercices sont qu’ils peuvent être relativement rapides à exécuter, alors qu’un test de plume bien conçu, planifié et exécuté pour les environnements OT peut prendre beaucoup de temps à justifier et à exécuter. »
D'autres considèrent toujours leurs obligations comme une exigence de conformité à cocher.
(Ceux des secteurs réglementés, tels que la finance, le gouvernement et la santé, ont des exigences réglementaires telles que PCI DSS, FISMA, MARS-E, HIPAA, Sarbanes-Oxley et ISO qui exigent des tests de pénétration réguliers ou des exercices de l'équipe rouge.)
Et Carolyn Crandall, «Chief Deception Officer» chez Attivo pense que les entreprises devraient intensifier leur approche proactive de la sécurité.
(Les RSSI peuvent être pardonnés de penser «bien, quand vous nous ressourcez correctement»: la sécurité est souvent considérée comme un fruit à portée de main lorsqu'il s'agit de réduire les coûts…)
Elle note: «Les informations d'identification trompeuses ou les leurres Active Directory peuvent servir de systèmes d'alerte précoce en cas de tentative d'utilisation abusive ou de vol d'informations d'identification.
«Les équipes bleues devraient également effectuer régulièrement des exercices de détection afin que, lorsqu'elles font face à de réels compromis externes, elles sachent comment réagir, quelles sont leurs capacités et comment utiliser leurs outils.»
Et lorsqu'il s'agit d'une forme de test d'intrusion ou d'engagement d'une équipe rouge tierce, les parties «doivent comprendre quels contrôles, capacités ou outils spécifiques l'organisation souhaite évaluer et quelles exigences de conformité réglementaire elles évaluent. Une fois que l'organisation a établi les limites, les contraintes et les lignes directrices de l'évaluation, elle peut continuer », note-t-elle.
Et cela peut également nécessiter des compétences générales à l'ancienne.
Beaucoup dans l'espace OT restent sceptiques face à de tels engagements. Selon eux, le service informatique n’a pas nécessairement d’excellents antécédents en matière d’expédition de produits sécurisés. Beaucoup, en effet, considèrent l'informatique comme le problème, pas la solution et les pressions exercées par les entreprises pour renforcer la connectivité ne sont que du sel dans la plaie.
L'établissement de bonnes relations est essentiel pour surmonter cela.
Comme le note Charl van der Walt d’Orange Cyberdefense: «Les OT ne sont pas des muppets. Ce sont souvent des ingénieurs, ils font quelque chose d'assez difficile depuis longtemps et savent une chose ou deux sur la façon dont cela fonctionne, où il est vulnérable et ce qui compte. Il est très important de pouvoir démontrer que vous comprenez leur activité et leur technologie. Vous devez instaurer la confiance. "

Laisser un commentaire