Trois questions que chaque équipe de sécurité ICS devrait poser

"Barak Perelman a écrit un post intéressant sur trois questions que chaque équipe de sécurité ICS devrait demander que je voudrais partager."

La sécurisation des réseaux ICS est une tâche extrêmement difficile.

Principalement parce qu'ils manquent de nombreuses fonctionnalités de surveillance, de détection et de réponse des menaces que l'on trouve couramment dans les infrastructures informatiques.  Pour replacer la sécurité du système ICS dans son contexte, considérons les trois principales questions que chaque organisation devrait se poser pour sécuriser son réseau.

1. Savons-nous ce qui doit être protégé?

Pour protéger le réseau, la première étape consiste à créer un inventaire des technologies et des actifs critiques en place. Sans cette compréhension de base, il est impossible de le sécuriser. Généralement, les contrôleurs industriels (API, RTU, DCS) sont les composants les plus critiques des réseaux ICS, car ils sont responsables de l'ensemble du cycle de vie des processus industriels. Les contrôleurs d'automatisation assurent des opérations continues et sûres.

La sécurisation des contrôleurs nécessite une connaissance précise du microprogramme qu'ils exécutent, du code et de la logique qu'ils exécutent et de leur configuration actuelle. Toute modification du microprogramme, de la logique ou de la configuration du contrôleur peut entraîner des interruptions opérationnelles.

Comme la plupart des réseaux ICS ont été déployés il y a des décennies, il est courant que certains biens soient oubliés. La plupart des organisations n'ont pas une image claire des actifs critiques qui doivent être protégés dans leur environnement. Les processus manuels utilisés pour les documenter sont non seulement inexacts, mais ils sont également fastidieux et demandent beaucoup de ressources.

Ce manque de découverte et de gestion automatisées oblige de nombreuses entreprises à se fier à la documentation manuelle à l'aide de feuilles de calcul. Cette approche démodée non seulement entraîne l'épuisement des employés et des inexactitudes grossières, elle crée également des opportunités pour les violations de réseau.

La découverte et la gestion automatisées des actifs fournissent aux équipes de sécurité d'ICS un inventaire exact et à jour, leur permettant de planifier et de déployer des contrôles de sécurité efficaces.

Ce manque de découverte et de gestion automatisées oblige de nombreuses entreprises à se fier à la documentation manuelle à l'aide de feuilles de calcul.

Cette approche démodée non seulement entraîne l'épuisement des employés et des inexactitudes grossières, elle crée également des opportunités pour les violations de réseau.

La découverte et la gestion automatisées des actifs fournissent aux équipes de sécurité d'ICS un inventaire exact et à jour, leur permettant de planifier et de déployer des contrôles de sécurité efficaces.

2. Que se passe-t-il dans le réseau ICS?

Malheureusement, une grande partie de ce qui se passe dans les réseaux ICS est inconnue. Intrinsèquement différents des réseaux informatiques, ils manquent non seulement de contrôles de visibilité et de sécurité, mais utilisent également des technologies spécialisées et des protocoles de communication spécifiques aux fournisseurs. Cela rend les contrôles informatiques inappropriés pour ces environnements.

Certaines solutions de surveillance de réseau ICS se concentrent sur l'activité de l'application IHM / SCADA, qui se produit dans le plan de données des réseaux ICS. Cette activité est exécutée sur des protocoles de communication connus et standardisés, plus faciles à surveiller.

Cependant, les activités d'ingénierie de base exécutées sur les contrôleurs industriels, y compris les modifications apportées à la logique de contrôle, aux paramètres de configuration et aux  uploads/downloads de microprogrammes, ne peuvent pas être surveillées dans ces protocoles de réseau de plan de données. En effet, ces activités de plan de contrôle sont exécutées dans des protocoles propriétaires spécifiques au fournisseur, qui sont souvent non documentés et sans nom. Cela les rend très difficile à surveiller.

Dans les réseaux IT, la réalisation d'activités de plan de contrôle nécessite généralement des privilèges spéciaux. Cependant, la plupart des réseaux ICS ne disposent pas de contrôles d'authentification ou de cryptage. Par conséquent, toute personne disposant d'un accès réseau peut exécuter les activités ci-dessus. En outre, il n'existe pas de journaux d'audit ou de journaux qui capturent les modifications et les activités pouvant être utilisées pour prendre en charge les investigations médico-légales. Obtenir une visibilité sur les activités d'ingénierie exécutées dans le plan de contrôle industriel devrait être une priorité pour les équipes de sécurité du ICS. C'est là que l'activité malveillante et l'erreur humaine peuvent causer les plus grandes perturbations.

3. Pouvons-nous gérer et répondre efficacement aux événements de sécurité?

En raison de l'absence générale de visibilité et de contrôles dans les réseaux ICS, la plupart des organisations sont incapables de répondre aux événements de manière opportune et efficace. Leur incapacité à le faire non seulement affaiblit leurs défenses, mais augmente également les coûts globaux de l'atténuation.

La visibilité en temps réel sur les réseaux industriels est la clé de la sécurité ICS. Pour se protéger contre les menaces externes, les initiés malveillantes et les erreurs humaines, les organisations industrielles doivent surveiller toutes les activités ICS  qu'elles soient exécutées par une source inconnue ou un initié de confiance, et que les activités soient autorisées ou non.

Ce n'est qu'avec une visibilité totale sur l'activité réseau du plan de données et du plan de contrôle que les organisations peuvent appliquer des règles de sécurité et de gestion des accès efficaces qui déterminent qui est autorisé à effectuer les modifications, quand et comment.

L'implémentation de stratégies de sécurité précises peut également garantir que les équipes de sécurité ICS reçoivent des alertes en temps opportun lorsqu'une activité  non autorisée et inattendue se produit. Ceux-ci peuvent fournir les informations nécessaires pour identifier rapidement la source des problèmes et les atténuer afin de minimiser les perturbations et les dommages.