IOT et industrie : Scénarios réels: comment le cloud industriel est piraté

Objet: Saviez-vous qu'une télécommande de téléviseur peut devenir un dispositif d'espionnage en détournant l'infrarouge qu'elle utilise pour communiquer avec un décodeur?
Point: Mais qui a besoin d'une télécommande quand vous pouvez simplement crier sur votre téléviseur? Le FBI dit que ce n'est pas sûr non plus: les pirates peuvent contrôler la caméra et le microphone d'un téléviseur intelligent pour enregistrer à distance la vidéo et l'audio de quiconque se trouve dans la pièce, ou utiliser le téléviseur non sécurisé pour accéder à votre routeur, puis à votre PC.
Item: Même une humble cafetière peut être détournée et transformée en une machine exigeant une rançon. Il en va de même pour les autres appareils IoT non sécurisés.
Cela ressemble à des scénarios de science-fiction, mais ce n’est pas le cas.
Bureau à domicile vulnérable
Alors, comment vos téléviseurs, télécommandes et machines à café se rapportent-ils au cloud industriel ou à vous au travail? Vous pourriez penser que le piratage à distance d'appareils comme ceux-ci est une possibilité éloignée – et de toute façon vous travaillez à la maison, comme des millions d'autres dans le monde à cause de Covid-19, donc il n'y a aucun moyen que cela puisse affecter le réseau d'entreprise de votre entreprise, ou le réseau de technologie opérationnelle (OT), ou tout système de contrôle industriel (SCI).
Mais vous auriez tort. Très mal.

Le passage constant de l'entreprise au cloud, les données traversant un «territoire hostile» et la prolifération des appareils en réseau créent une liste croissante de défis en matière de sécurité des données. Nous examinons en profondeur les risques et les solutions possibles dans notre prochain projet spécial sur la cybersécurité.

Parce que vous devez accéder à distance à ce réseau OT ou à ces ICS depuis votre bureau à domicile…
Oups. Oui. Votre bureau à domicile. Celui avec le VPN tiers potentiellement fuyant (car il ne l'a pas encore remplacé) et votre réseau Wi-Fi éminemment piratable, qui peut également contenir toutes sortes d'appareils IoT non sécurisés.
Et les nouvelles empirent. Parmi toutes les vulnérabilités d'ICS révélées au cours du premier semestre de cette année, plus de 70% peuvent être exploitées à distance, selon un rapport d'août du fournisseur de cybersécurité Claroty. De plus, l'exécution de code à distance est possible avec près de la moitié d'entre eux.
Claroty a analysé une combinaison de vulnérabilités publiées dans la base de données nationale sur les vulnérabilités et celles mentionnées dans les avis émis par l'équipe d'intervention en cas d'urgence cybernétique des systèmes de contrôle industriel (ICS-CERT). Les secteurs les plus touchés par les vulnérabilités de l'ICS-CERT étaient l'énergie, la fabrication critique et les infrastructures d'eau et de traitement des eaux usées.
La plupart des 26 découverts par la propre équipe de recherche de Claroty l'ont été dans des automates programmables et des postes de travail d'ingénierie. Les postes de travail sont en particulier des cibles souhaitables, car ils sont connectés à l’usine, aux API et à l’informatique.
Attaques croissantes
Les attaques contre ICS et OT sont en augmentation depuis un certain temps. En juillet, la situation est devenue suffisamment critique pour que la National Security Agency (NSA) des États-Unis et la Cybersecurity and Infrastructure Security Agency (CISA) du département américain de la Sécurité intérieure aient émis une alerte conjointe recommandant une action immédiate pour protéger les systèmes OT et ICS connectés à Internet contre la sécurité. violations. Citant la récente cyberattaque contre les réseaux d’eau israéliens, les agences ont appelé à une meilleure protection des infrastructures civiles et des actifs OT essentiels à la sécurité et à la défense des États-Unis.
Le nombre d'attaques contre des ordinateurs dans les ICS dans l'industrie pétrolière et gazière, ainsi que dans les systèmes de bâtiments et d'automatisation, a légèrement augmenté au cours du premier semestre de cette année, selon un rapport de septembre de Kaspersky. Le rapport a conclu: «Les menaces sont de plus en plus ciblées et plus ciblées et, par conséquent, plus variées et complexes.» Les principales sources sont Internet, les supports amovibles et les e-mails.
Les ordinateurs utilisés dans les systèmes d’automatisation des bâtiments sont potentiellement une porte dérobée pour les pirates, car ils sont souvent connectés aux réseaux d’entreprise, à Internet, aux e-mails d’entreprise, aux contrôleurs de domaine et aux systèmes de vidéosurveillance. Leur surface d'attaque est plus grande que les stations de travail d'ingénierie ICS et similaire aux ordinateurs du réseau informatique.
La société de cybersécurité basée sur l'IA Darktrace a trouvé des milliers d'appareils utilisant divers protocoles ICS sur des systèmes – tels que le CVC et les ascenseurs – dont les entreprises ne savaient pas qu'ils étaient connectés à leurs réseaux informatiques, Justin Fier, directeur de la cyber-intelligence et de l'analyse pour Darktrace, a déclaré à EE Times. Cela signifie que les systèmes IT-OT ne sont pas correctement segmentés, ce qui crée des angles morts de sécurité.
Timeline de l'attaque Darktrace.jpg
Une mauvaise segmentation entre les systèmes IT et OT peut conduire à des connexions très inhabituelles aux protocoles ICS, comme le montre cette chronologie des principaux événements d'un incident de sabotage industriel dans une organisation de transformation alimentaire. Une convergence IT / OT accrue crée de nouveaux angles morts sur le réseau et met en place de nouvelles voies vers les perturbations. (Paquet source: Darktrace)
«Avec la pandémie, des systèmes tels que le contrôle des bâtiments sont accessibles à distance par les ingénieurs et autres employés depuis leur siège social», a déclaré Fier. Pourtant, leurs réseaux Wi-Fi personnels peuvent être vulnérables aux pirates qui tentent de pénétrer dans le réseau de l'entreprise.
Justin Fier de Darktrace
Connexions non sécurisées
Comme de nombreux experts en sécurité vous le diront, les terminaux doivent être sécurisés pour réduire la vulnérabilité de l’ensemble du réseau aux attaques. La montée en puissance des périphériques IoT (IIoT) industriels non gérés est l'une des plus grandes menaces pour les réseaux industriels connectés au cloud, comme l'a noté Fier. Mais il en va de même pour les appareils IoT grand public.
Il s'agit de périphériques connectés au réseau inconnus des équipes informatiques et de sécurité, et donc invisibles pour elles. Ordr, un fournisseur de produits de sécurité pour l'IoT d'entreprise et les appareils non gérés, a trouvé plus de 5 millions d'appareils IoT et Internet des objets médicaux non gérés (IoMT) connectés aux réseaux des clients, y compris les déploiements dans les domaines de la santé, des sciences de la vie, de la vente au détail et de la fabrication.
Ces appareils ne sont pas conçus pour la sécurité et sont souvent achetés par des individus ou des équipes non soumis à l'approbation informatique. Des exemples sont les caméras de sécurité IP accessibles au réseau – régulièrement violées par des pirates informatiques – et les lecteurs de badges, tous deux achetés par le personnel de maintenance du bâtiment.
Selon le rapport 2020 sur l'adoption et les risques de l'IoT d'entreprise d'Ordr, même les appareils shadow IoT grand public tels que Amazon Alexa et les assistants virtuels Echo ont été fréquemment découverts attachés à des réseaux. Il en était de même pour une Tesla et une machine d'exercice Peloton. Dans certaines entreprises de soins de santé, les employés exécutaient des applications YouTube et Facebook sur des appareils d'IRM et de tomodensitométrie, qui utilisent souvent des systèmes d'exploitation hérités et non pris en charge.
«Nous avons découvert un nombre impressionnant de vulnérabilités et de risques concernant les appareils connectés», a déclaré Greg Murphy, PDG d'Ordr, dans un communiqué.
Un pas dans la bonne direction pourrait être la loi sur l'amélioration de la cybersécurité de l'IoT, adoptée en septembre par la Chambre des représentants des États-Unis. Le projet de loi vise à améliorer la sécurité des appareils IoT en obligeant le National Institute of Standards and Technology (NIST) à élaborer des recommandations pour le développement sécurisé, la gestion des identités, les correctifs et la gestion de la configuration des produits IoT. S'il est signé dans la loi, les agences gouvernementales fédérales ne pourraient acheter que des produits IoT conformes à ces recommandations, et le NIST devrait publier des conseils sur le processus coordonné de divulgation des vulnérabilités.
Un autre est le lancement en octobre de la plate-forme de divulgation des vulnérabilités de l'Internet des objets grand public par l'IoT Security Foundation (IoTSF). Ses objectifs sont «d'aider les fabricants IoT grand public à gérer le processus de reporting, de gestion et de divulgation coordonnée des vulnérabilités, de permettre aux chercheurs et utilisateurs en sécurité de signaler plus facilement les vulnérabilités aux fabricants IoT, et d'améliorer la sécurité IoT grand public», selon le site Web. Bien que le rapport de vulnérabilité soit largement considéré comme une exigence de base de la sécurité des appareils IoT, il s'agit toujours d'une nouvelle idée pour la plupart des fabricants d'appareils IoT grand public.
Le problème des tiers
Les employés mécontents ou autrement compromis peuvent être des menaces moins courantes que les États-nations externes ou les attaquants criminels – mais il suffit d'un seul pour déclencher une catastrophe de sécurité majeure:

Mais même si les employés sont bien formés aux habitudes de sécurité et que les appareils connectés au réseau sont visibles et sécurisés, les attaquants peuvent exploiter d'autres voies possibles.
Le grand saut dans l'identité des employés – employés, sous-traitants, fournisseurs, ordinateurs, appareils et applications – fait partie du problème: leur nombre même les rend difficiles à gérer, ainsi que leurs privilèges d'accès. Pourtant, ils sont souvent à l’origine de violations.
Dans une enquête de mai 2020 auprès des décideurs de la sécurité informatique et de l'identité, l'Identify Defined Security Alliance (IDSA) a constaté que l'automatisation, le DevOps et l'expansion des appareils connectés en entreprise ont entraîné une croissance spectaculaire de ces identités. Pas moins de 94% ont déclaré avoir subi une atteinte à leur identité dans le passé; 99% ont déclaré que ces violations étaient évitables. Mais moins de la moitié ont pleinement mis en œuvre les pratiques clés définies par l'identité recommandées par l'IDSA.
En particulier, les fournisseurs et sous-traitants tiers peuvent être une voie d'intrusion, que ce soit par malveillance ou par accident. L'étude mondiale de BlueVoyant sur la gestion des cyberrisques par des tiers a révélé que 80% des entreprises avaient subi une brèche de cybersécurité causée par des vulnérabilités de l'écosystème des fournisseurs au cours des 12 derniers mois, tandis que moins d'un quart surveillaient l'ensemble de leur chaîne d'approvisionnement, et près d'un tiers ne pouvait pas déterminer si un fournisseur tiers est un cyber-risque. Bien que le secteur manufacturier ait un taux de violation de tiers plus faible, il était toujours de 57%.
Comme le note le rapport Kaspersky, les mêmes systèmes d'automatisation des bâtiments auxquels un shadow IoT peut être attaché sont souvent détenus ou au moins gérés par des sous-traitants tiers. Même lorsqu'ils sont autorisés à accéder au réseau d'entreprise d'un client, cet accès peut ne pas être contrôlé par l'équipe de sécurité informatique du client. «Étant donné que la diminution des attaques de masse est compensée par une augmentation du nombre et de la complexité des attaques ciblées où nous constatons une utilisation active de divers outils de mouvement latéral, les systèmes d'automatisation des bâtiments pourraient s'avérer encore moins sécurisés que les systèmes d'entreprise au sein du même réseau. », Déclare le rapport.
La montée en puissance des ransomwares
Alors que les organisations qui dépendent de l'OT déploient de plus en plus d'appareils IoT et permettent aux travailleurs distants d'accéder aux réseaux OT, les cybermenaces se sont intensifiées. Le rapport de juillet sur les menaces OT / IoT de Nozomi Networks a examiné les menaces OT et IoT les plus actives au cours du premier semestre 2020. Il a révélé que les attaques de ransomwares exigent des rançons plus importantes et ciblent des organisations plus grandes et plus critiques. En particulier, les attaquants utilisent désormais des ransomwares compatibles OT, tels que SNAKE / EKANS et MegaCortex, ce qui indique que ICS peut être de plus en plus ciblé par des acteurs non étatiques.
Cette année, le service Mandiant de FireEye a vu au moins sept familles de ransomwares incorporant une certaine capacité à perturber OT, selon un récent blog de l'entreprise.

La société britannique de logiciels et de matériel de sécurité Sophos a constaté que parmi les organisations victimes d'une cyberattaque dans le cloud, la répartition des types d'attaques se lit comme les suspects habituels: 50% des entreprises ont été touchées par des logiciels malveillants sous une forme ou une autre, y compris des ransomwares (les répondants pouvaient sélectionner plusieurs options) . (Source: Sophos, «The State of Cloud Security 2020»)
Les attaques de ransomware constituent un quart de tous les cyber-incidents traités par l'équipe de réponse aux incidents X-Force d'IBM jusqu'à présent cette année, et 6% d'entre eux ont utilisé le SNAKE / EKANS ciblant ICS, a rapporté la société dans un blog de septembre. Les secteurs les plus ciblés sont la fabrication, les services professionnels et les organisations gouvernementales, tous avec une faible tolérance aux temps d'arrêt.
Fier de Darktrace a déclaré à EE Times que l'objectif des ransomwares avait changé. «Les attaques de ransomwares concernent désormais moins le cryptage des données pour de l'argent que la prise en otage d'une organisation entière ou d'une chaîne de montage», a-t-il déclaré. "Je pense que nous allons commencer à voir ce que j'appelle des attaques DNS ou de qualité de service à l'horizon, où les attaquants détiennent une rançon pour les opérations commerciales au lieu de simplement chiffrer des fichiers." Par exemple, le système de réfrigération intelligent d'un client avait des protocoles tellement peu sûrs que Darktrace pouvait démontrer une attaque de type Stuxnet, faisant baisser les températures de quelques degrés pour gâter les aliments.
Des conséquences financières imprévues
Bien que la récupération après une cyberattaque puisse être coûteuse et prendre beaucoup de temps, les conséquences majeures consécutives peuvent coûter encore plus cher et prendre plus de temps à récupérer. Une cyberattaque telle qu'un ransomware, en particulier celle qui entraîne des temps d'arrêt ou des arrêts, peut avoir des répercussions sur toute l'infrastructure d'une entreprise de fabrication ou de pétrole et de gaz pendant des mois. Ceux-ci peuvent inclure des temps d'arrêt prolongés et la réparation ou le remplacement de l'équipement en plus des tests et de la recertification, ainsi que des pertes de profits généralisées dues à l'incapacité de remplir les contrats, ou même un arrêt complet des opérations.
Parmi les exemples récents d'arrêts de fabrication, citons la cyberattaque contre Honda en juin qui a entraîné l'arrêt de la production dans le monde pendant quelques jours, probablement causée par le ransomware EKANS / SNAKE. En septembre, la société israélienne Tower Semiconductor a dû interrompre certaines opérations de fabrication après une cyberattaque.
Les entreprises confrontées à une violation signalent le plus souvent des pannes opérationnelles affectant la productivité, et un nombre important subit un impact direct sur les revenus. Les atteintes à la sécurité et à la réputation sont également inacceptables. (Paquet source: Fortinet)
Ron Brash, directeur des informations sur la cybersécurité pour la société de cybersécurité OT / ICS Verve Industrial Protection, utilise l'analogie des arrêts d'oléoducs pour démontrer ces conséquences consécutives. Bien que la plupart des fermetures d’oléoducs ne soient pas causées par des incidents de cybersécurité et que, dans de nombreux cas, la récupération après une cyberattaque peut être plus rapide qu’après l’arrêt d’un pipeline, les deux peuvent avoir des conséquences financières similaires qui vont bien au-delà des coûts de récupération du système.
Lors des incendies de forêt au Canada il y a quelques années, les oléoducs menacés par les incendies ont été fermés. Cela a durci le produit dans le pipeline, a déclaré Brash à EE Times. «Le diluant a dû traverser le pipeline pendant plusieurs mois pour décomposer le produit de sorte que le pipeline puisse ensuite être utilisé à son objectif principal», a déclaré Brash. «Mais le pétrole peut avoir des propriétés moins souhaitables, et celles-ci peuvent endommager les couches protectrices à l'intérieur du pipeline, dégradant l'infrastructure. Cela signifiait que le pipeline devait être réparé et réinspecté, et subir des approbations de sécurité ou autres. Toutes ces étapes ont effectivement créé une cascade de temps et de coûts supplémentaires au-delà des coûts occasionnés par la perte de revenus lors d'une panne normale ou d'un incident moins dommageable. »
Ron Brash de Verve Industrial Protection
D'autres coûts pourraient inclure l'incapacité de satisfaire les contrats pendant que la fabrication est interrompue, obligeant une entreprise à acheter des produits sur le marché libre et à vendre à perte. L'incapacité de redémarrer les opérations ou d'obtenir une recertification en raison d'un emplacement spécifique et des conditions de développement régional, ou à cause des coûts globaux, pourrait entraîner l'arrêt permanent de certaines ou de toutes les opérations.
De nombreux fabricants de produits emballés sont vulnérables aux perturbations en raison des pratiques de fabrication juste à temps qui maintiennent de faibles stocks de matériaux et de produits entreposés, a déclaré Brash. «Ces organisations croient souvent en la définition« vieille école »de la résilience, qui est essentiellement la redondance – plusieurs versions de la même chose.» Pourtant, une deuxième ou troisième ligne à elle seule ne suffit pas si un attaquant a des identifiants d'utilisateur et des codes d'accès pour les deux lignes, et que l'IT et l'OT sont connectés.
«Ce n’est pas la connectivité qui est en cause; c'est en grande partie dû à la façon dont il a été conçu », a déclaré Brash. «Nous devons gérer les risques en dehors de cela, et nous avons oublié comment faire cela dans la course pour plus de commodité. Je peux comprendre pourquoi; il peut s'agir de la peur d'une perturbation ou du manque de connaissances en interne.
«Mais vous pouvez faire des choses qui améliorent progressivement la situation, comme commencer par les bases de l'hygiène de la cybersécurité, et vous pouvez faire des choses comme avoir une défense en couches.»

Laisser un commentaire