APT37, les fichiers LNK et les USB dans les environnements isolés

Un fichier LNK est un raccourci natif de Windows. Son apparence est impossible à distinguer de celle d'un dossier ou d'un document légitime, un détail qu'un pirate informatique exploiterait délibérément.

Derrière son apparence inoffensive, un fichier LNK compromis est capable de :

• Lancement de PowerShell ou d'autres interpréteurs natifs du système
• Exécution de scripts cachés stockés sur le périphérique amovible
• Mise en place et déclenchement de charges utiles sans nécessiter de connexion externe
• Exploiter des utilitaires fiables du système d'exploitation pour échapper à la détection

Le problème fondamental ne réside pas dans l'existence de la technologie USB , mais dans l'absence de cadre réglementaire régissant son utilisation. Dans de nombreux environnements OT, la situation actuelle révèle une lacune importante en matière de contrôle :

• Les supports amovibles sont insérés directement dans les postes de travail de production et d'ingénierie sans contrôle préalable
• Les fichiers sont ouverts sans que leur contenu ne fasse l'objet d'aucune vérification
• Il n'existe pas de vue d'ensemble centralisée permettant de savoir quelles données ont été transférées, quand et par qui
• Les règles relatives aux types de fichiers exécutables, tels que les fichiers LNK, EXE ou les fichiers de script, sont soit inexistantes, soit appliquées de manière incohérente

Se fier à la détection au niveau des terminaux après l'insertion d'un USB dans un système de production revient à adopter une approche réactive. Dans les environnements OT, une telle approche rend toute mesure de confinement d'une intrusion trop tardive. La meilleure approche sur le plan opérationnel consiste à mettre en place une inspection du contenu avant que les supports amovibles n'atteignent un système de production.

Un kiosque USB est une solution qui met en place un point de contrôle obligatoire et sécurisé entre l'environnement externe et la périphérie du réseau OT/ICS. Les supports amovibles étant traités par une station d'inspection adaptée avant leur utilisation, chaque périphérique est soumis à :

• Analyse antivirus à l'aide de plusieurs moteurs pour détecter les menaces connues
• Désactivation et reconstruction du contenu des fichiers afin de neutraliser les éléments actifs qu'ils contiennent
• Application d'une politique relative aux types de fichiers afin d'empêcher l'introduction de formats non approuvés dans l'environnement
• Contrôle au niveau du support pour évaluer l'intégrité du support lui-même
• Une journalisation complète des audits permettant d'assurer une traçabilité totale de chaque transfert

Un flux de travail de kiosque de numérisation correctement configuré considère par défaut les fichiers LNK et autres artefacts exécutables similaires comme des objets à haut risque. Concrètement, cela signifie :

• Les fichiers de raccourcis et de scripts sont automatiquement bloqués lors de la phase de vérification
• Le contenu exécutable est supprimé des types de fichiers autorisés
• Les structures de commande suspectes intégrées dans les fichiers sont identifiées et neutralisées
• Seuls les types de fichiers explicitement autorisés sont autorisés à être transférés dans l'environnement OT

Les barrières physiques offrent la meilleure garantie de sécurité lorsque les contrôles sont mis en œuvre au niveau de la couche physique. Une borne USB offre aux entreprises :

• Application centralisée des politiques dans l'ensemble des installations et des sites opérationnels répartis
• Une application cohérente des contrôles qui réduit la dépendance vis-à-vis du jugement individuel des utilisateurs
• Une visibilité opérationnelle complète sur toutes les activités liées aux supports amovibles
• Documentation prête pour un audit, garantissant la conformité aux cadres réglementaires et sectoriels
• Réduction de l'exposition aux risques pour les postes de travail d'ingénierie, les systèmes de sécurité et autres actifs à haut risque

Les environnements isolés ne sont pas compromis parce qu'ils sont connectés. Ils le sont parce que les supports amovibles sont considérés comme fiables par défaut. Face à des campagnes sophistiquées et ciblées visant les infrastructures critiques, cette hypothèse par défaut constitue un risque que les organisations ne peuvent plus se permettre d'assumer. Lorsque les supports amovibles font partie de votre flux de travail opérationnel, les solutions Media des périphériques et Media amovibles OPSWAT offrent des contrôles multicouches qui comblent cette faille.

Pour se prémunir contre les vecteurs d'attaque USB, MetaDefender Kiosk agit comme une station de scan physique pour protéger les actifs des entreprises. Il s'intègre à des solutions et technologies éprouvées et leaders du secteur afin de nettoyer les données avant qu'elles n'entrent dans des environnements critiques. Associé à des solutions telles que MetaDefender File Transfer™ (MFT) et MetaDefender Media , MetaDefender Kiosk couches de défense supplémentaires qui peuvent être ajoutées pour garantir la sécurité des transferts de fichiers et appliquer les politiques de scan.

MetaDefender Endpoint renforce la sécurité des terminaux et assure la protection des périphériques et des supports amovibles dans les environnements critiques. Il détecte et bloque activement les périphériques amovibles jusqu'à ce qu'ils aient été minutieusement analysés et vérifiés comme étant sains, avant de leur accorder l'accès au système.