Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Sécurité des systèmes de contrôle industriels : le guide du RSSI 2 Sécurité des

Sécurité des systèmes de contrôle industriels : le guide du RSSI 2 Sécurité des systèmes de contrôle industriels : le guide du RSSI | Splunk La grande convergence IT/OT Pendant des dizaines d’années, les équipes chargées de sécuriser les systèmes de contrôle industriels ont vécu avec un faux sentiment de sécurité. En cause : l’efficacité des pare-feu et la rareté des attaques sur les technologies opérationnelles, qui ont amené les équipes de sécurité à tracer une ligne entre sécurité OT et sécurité IT globale. Mais cette époque est désormais révolue. Les faiblesses de l’OT ont été mises au jour suite à une série d’attaques de grande envergure, aussi coûteuses que paralysantes pour les entreprises ciblées. Ces événements ont initié un durcissement de la réglementation qui vise à renforcer la sécurité dans les secteurs critiques comme les services d’électricité. Parallèlement à cette supervision réglementaire accrue, la convergence entre les services OT et IT traditionnels ne cesse de s’amplifier, les systèmes interagissant et se chevauchant de plus en plus en raison de l’augmentation de la connectivité et des données à la périphérie. Ces changements se traduisent par de nouvelles pressions pour les RSSI, qui doivent aujourd’hui considérer la supervision et la sécurisation des infrastructures stratégiques comme un aspect essentiel de leur rôle. 99 % des systèmes compromis seront des postes de travail et des serveurs des malwares seront conçus pour les postes de travail et les serveurs des opportunités de détection porteront sur des activités liées à des postes de travail et des serveurs des investigations seront effectuées sur des postes de travail et des serveurs de la durée d’implantation en cas d’intrusion, avant que des dispositifs OT stratégiques ne soient affectés, concerne des équipements informatiques commerciaux prêts à l’emploi Les postes de travail en réseau servent souvent de « porte d’entrée » aux attaquants pour accéder aux ressources OT. C’est ce que Mandiant, partenaire de Splunk dans le domaine de la threat intelligence, appelle la Théorie des 99. — McKinsey, Building cyber resilience in national critical infrastructure, juin 2021 Les transformations numériques qui ont permis d’obtenir des avantages métier recherchés, tels que les accès à distance et la maintenance prédictive, ont créé de nouvelles vulnérabilités ouvrant la voie aux cyberattaques. Ainsi, il est désormais possible pour des malfaiteurs moins aguerris de s’attaquer aux infrastructures. » Les technologies d’entreprise dans la ligne de mire des attaquants Les attaques OT ciblent généralement les systèmes d’exploitation, les bases de données, les réseaux, les messageries ou d’autres systèmes similaires Février 2021 Après avoir utilisé des identifiants d’accès à distance pour déjouer les systèmes de contrôle d’une usine de traitement de l’eau en Floride, des pirates ont modifié la concentration d’hydroxyde de sodium qui a atteint des niveaux dangereux. Juin 2021 JBS Foods, leader mondial du conditionnement de viande, a versé 11 millions de dollars à des cybercriminels pour restaurer ses données et reprendre ses opérations en Australie, au Canada et aux États-Unis. Mai 2021 Une organisation criminelle vendant des solutions RaaS (Ransomware-as-a- Service) a attaqué Colonial Pipeline, l’un des plus grands fournisseurs de pétrole et de gaz aux États-Unis. Cette attaque a affecté des millions de clients et coûté 4 millions de dollars à Colonial Pipeline. Septembre 2021 Une attaque par ransomware a paralysé les opérations de l’un des plus grands exploitants de silos à grain aux États-Unis. Il a fallu plus d’un mois à NEW Cooperative pour retrouver sa productivité d’avant l’attaque. Les organismes de réglementation réagissent aux attaques contre les systèmes ICS La convergence entre systèmes IT et OT a entraîné une hausse des ransomwares, des attaques ciblant les chaînes logistiques et des cyberattaques commanditées par les États. Sur le plan réglementaire, les organismes fédéraux tels que la NSA, le DHS et la Maison- Blanche n’ont pas tardé à réagir face à ces menaces. Par exemple, depuis le début de l’année 2021, la NSA (National Security Agency) a publié un avis de cybersécurité visant à renforcer la sécurité OT, la FERC (Federal Energy Regulatory Commission) a préconisé un contrôle réglementaire accru des gazoducs et l’EPA (Environmental Protection Agency) a annoncé des plans pour accélérer la cyber-résilience dans le secteur de l’eau. 3 Sécurité des systèmes de contrôle industriels : le guide du RSSI | Splunk 4 Sécurité des systèmes de contrôle industriels : le guide du RSSI | Splunk SIEM : la clé de la collaboration entre IT et OT Malgré la convergence IT/OT, la gestion de la sécurité reste cloisonnée dans de nombreux SOC. Le problème est double : les équipes en charge de l’IT d’entreprise manquent de visibilité sur la sécurité OT, tandis que les équipes de sécurité OT peinent à contrer les menaces émanant de nouvelles sources en raison d’un manque d’expérience en matière de cybersécurité. Et comme ces lacunes en termes de connaissances sont aggravées par une pénurie sectorielle de talents, les SOC sont soumis à une pression toujours plus forte pour répondre rapidement, efficacement et stratégiquement aux menaces. La solution ? Une vue unifiée et en temps réel des environnements IT et OT qui encourage la collaboration entre les équipes en charge de l’informatique, de la sécurité et des opérations, qui renforce la sécurité et la disponibilité et qui garantit sécurité et conformité. Les 5 principaux atouts d’une vue unifiée : Diminution des incidents et MTTR plus court pour les événements de sécurité Simplification de la corrélation des événements de sécurité sur plusieurs domaines et zones Rationalisation des activités de conformité réglementaire Partage de l’expertise IT et OT pour une cybersécurité de bout en bout Possibilité de corréler les événements physiques et de cybersécurité IT OT 5 OT Alertes basées sur les risques : une solution pour aider les équipes de sécurité à se concentrer sur ce qui compte le plus Le framework d’analyse des risques de Splunk permet aux équipes de sécurité d’identifier les actions qui augmentent le profil de risque des individus ou des actifs. Les alertes basées sur les risques réduisent le déluge d’alertes en fournissant, en plus des alertes, des analyses qui offrent un « descriptif d’alerte » dans l’optique d’aider les équipes de sécurité à gagner du temps et à prendre des décisions en fonction de leurs priorités. Par exemple, la connexion à un hôte à l’aide d’un compte fournisseur peut ne pas être atypique dans les environnements OT. Dans de nombreux cas, un tel événement n’a pas besoin d’être signalé comme un événement notable, mais il peut augmenter le risque associé à l’actif et à l’identité. Splunk, la solution pour obtenir une vue globale de vos environnements IT et OT Détectez rapidement les menaces grâce à une visibilité totale sur les réseaux IT et OT Niveau 5 Environnement d’entreprise Niveau 4 Environnement de bureau Niveau 3.5 Zone démilitarisée industrielle Niveau 3 Opérations ICS Niveau 2 Opérations sur site Niveau 1 Contrôle de base Niveau 0 Processus Pare-feu, Active Directory, supervision des points de terminaison Active Directory, gestion des correctifs, antivirus, DNS Serveurs Windows, stations de travail, bases de données, routeurs, commutateurs La technologie de l’information au sein de l’environnement OT constitue le principal vecteur de menace pour les entreprises Rôle traditionnel du SIEM d’entreprise Suite Splunk Security Operations avec extension OT Security Visibilité de bout en bout avec Splunk Rôle traditionnel des spécialistes de la sécurité OT Les quatre piliers de Splunk for OT security 6 Sécurité des systèmes de contrôle industriels : le guide du RSSI | Splunk Capacités étendues d’ingestion et de supervision des actifs OT Amélioration de la gestion des vulnérabilités OT, avec notamment la prise en charge du framework MITRE ATT&CK for ICS Intégration aux produits de sécurité OT pour une visibilité totale 1 2 3 4 Interfaces et rapports pour soutenir les audits et la conformité aux normes NERC CIP 7 Sécurité des systèmes de contrôle industriels : le guide du RSSI | Splunk Anatomie d’une attaque industrielle En février 2021, quand un pirate a augmenté la quantité de soude dans l’approvisionnement en eau potable d’une ville de Floride jusqu’à atteindre des niveaux mortels, c’est le mystérieux mouvement d’un curseur sur un écran qui a alerté le personnel de l’attaque. Cet exemple démontre clairement que l’OT n’est pas simplement un ensemble d’actifs physiques avec des protocoles associés. Les technologies IT jouent en fait un rôle important dans les technologies opérationnelles qui concentrent une majorité des vulnérabilités identifiées et exploitées par les attaquants. Intégrations pour une sécurité IT et OT globale : • Armis • Cisco Cybervision • Claroty • Dragos • Forescout OT • Industrial Defender • Nozomi • SCADAFence Splunk a largement investi dans l’intégration des sources de données pour de nombreux scénarios d’utilisation Scénarios d’utilisation pour une sécurité IT et OT globale : • Événements de sécurité notables • Inventaire des actifs • Vulnérabilités • Activités des points de terminaison • Trafic réseau • Gestion des correctifs Le principal avantage de Splunk, c’est de combler le fossé entre IT et OT. Splunk fournit un cadre de référence à chaque équipe ainsi qu’un langage commun qui favorise la collaboration. » — Chris Perez, Conseiller uploads/Management/ cisos-guide-to-complete-security-for-industrial-control-systems.pdf