Si vous travaillez dans le domaine de la sécurité, vous connaissez la chanson : la visibilité est une condition sine qua non.
Cela s'inscrit dans le droit fil des « 3e contrôles critiques pour les systèmes de contrôle industriel (ICS) – Visibilité et surveillance du réseau » du SANS, ainsi que des normes NIST CSF et ISA/IEC 62443, qui définissent précisément les exigences en matière de visibilité.
Il est toutefois difficile d'intégrer en toute sécurité la visibilité du réseau dans les environnements OT et ICS pour toutes les équipes qui en ont besoin :
- Les équipes chargées de la sécurité informatique et opérationnelle ont besoin de journaux pour surveiller les événements.
- Les équipes d'intervention en cas d'incident ont besoin de données pour prendre des décisions éclairées lors d'attaques.
- Les experts en criminalistique ont besoin de données pour comprendre comment une attaque s'est produite dans l'environnement OT et pour établir la chronologie des événements.
- Même les équipes chargées de la conformité ont besoin de documents pour prouver qu'elles ont fait preuve de diligence raisonnable.
La question n'est pas de savoir « comment » fournir un accès OT à ces équipes ; il s'agit plutôt de garantir cet accès sans laisser par inadvertance la porte ouverte aux pirates.
C'est làNetWall OPSWAT MetaDefender NetWall .
Au lieu de laisser chacune de ces équipes accéder à l'environnement OT, unediode de données unidirectionnelle MetaDefender NetWall transfère les journaux de l'OT vers l'IT, ce qui permet aux équipes de voir ce qui se passe sans ouvrir la porte aux menaces.
Qui a besoin des journaux OT (et pourquoi il ne suffit pas de « se connecter »)
Des référentiels tels que les « 3rd Critical Controls for ICS » du SANS, le NIST CSF et la norme ISA/IEC 62443 prévoient des règles claires en matière de visibilité.
Les outils de visibilité sont essentiels pour identifier les actifs, détecter les vulnérabilités et surveiller les menaces en temps réel, sans perturber les processus industriels critiques et sensibles.
Au sein d'une organisation, il existe différentes équipes pour lesquelles l'accès aux données OT en temps réel est indispensable.
Analystes du SOC (Centre des opérations de sécurité)
Les analystes SOC sont chargés de surveiller, de détecter, d'enquêter et de réagir aux alertes de sécurité.
En résumé, leur mission consiste à repérer les menaces avant qu'elles ne se transforment en catastrophes. Pour ce faire, ils ont besoin de journaux OT en temps réel afin de détecter les intrusions, les logiciels malveillants ou le trafic anormal.
Toutefois, si un pirate parvient à accéder directement à l'environnement informatique, il peut rapidement s'introduire dans les systèmes OT, ce qui fait peser un risque sérieux de violation de la sécurité OT.
C'est pourquoi les équipes SOC ne peuvent pas se contenter de simples méthodes de connexion pour accéder aux données OT en temps réel à des fins de surveillance.
Si le système SOC venait à être compromis, un pirate pourrait exploiter cette connexion pour s'introduire dans l'environnement OT.
Équipes de OT Security
Les équipes de sécurité OT assurent la protection des systèmes de contrôle industriels et des technologies OT, telles que les systèmes SCADA, les automates programmables (PLC) et les robots de fabrication, qui gèrent les infrastructures physiques.
Ces équipes ont besoin de journaux de sécurité pour mener des analyses forensiques et détecter les anomalies.
Accorder aux systèmes informatiques l'accès à l'environnement OT à l'aide d'outils de sécurité spécifiques à l'ICS et à l'OT n'est pas non plus une bonne idée.
Tout comme dans le cas du SOC, si ces systèmes informatiques venaient à être compromis, ils pourraient offrir aux pirates un accès direct aux opérations OT.
Équipes d'intervention en cas d'incident et d'analyse judiciaire
Si une anomalie ou une faille est détectée, les équipes chargées de la gestion des incidents et de l'analyse forensic sont mobilisées pour mener l'enquête et remédier au problème.
Ils ont besoin de journaux pour identifier, contenir et éliminer les attaques visant les systèmes OT, ce qui permet de prévenir de nouveaux incidents.
Cependant, ces équipes sont généralement sollicitées une fois que la compromission a déjà été confirmée, alors que les risques sont encore plus élevés.
Si les outils de réponse ou les identifiants sont compromis, un chemin d'accès à l'OT fournirait aux attaquants exactement ce dont ils ont besoin.
Par conséquent, les équipes chargées de la réponse aux incidents et de l'analyse informatique ne devraient pas disposer d'un accès direct à l'environnement OT via des identifiants de connexion.
Équipes de conformité et d'audit
En l'absence de registres, les normes de conformité ne sont pas respectées.
Les équipes chargées de la conformité et de l'audit ont besoin d'un stockage à long terme des journaux et d'un suivi fiable des événements pour se conformer aux exigences réglementaires et de reporting.
Cependant, il n'est ni nécessaire ni recommandé d'accorder aux auditeurs un accès direct à l'environnement OT.
Il est bien plus sûr et plus facile à contrôler de leur fournir les journaux et les rapports nécessaires en externe, plutôt que d'ouvrir un accès direct aux systèmes OT.
Pourquoi une diode de données ? Parce que la gestion des accès entrants est un véritable cauchemar
À ce stade, il est clair que le fait de permettre aux systèmes d'entreprise d'interroger directement les journaux OT engendre des risques élevés en matière de sécurité.
Une connexion mal sécurisée suffit à un pirate pour :
- Passer de l'informatique à l'ingénierie opérationnelle.
- Exfiltrer des données sensibles issues des environnements OT et ICS, notamment des informations relatives aux systèmes de contrôle telles que la marque et les modèles des automates programmables (PLC), les valeurs de processus, etc.
- Falsifier les journaux pour effacer leurs traces.
MetaDefender Netwall élimine ces risques en imposant au niveau matériel un flux de données unidirectionnel.
Les journaux sont envoyés, mais rien ne revient.
Nos équipes disposent des données dont elles ont besoin, tandis que l'environnement OT reste sécurisé et protégé.
Comment cela fonctionne-t-il ?
L'instance Splunk de l'environnement OT recueille les journaux de sécurité provenant de l'ensemble de cet environnement.
- La collecte porte sur les journaux des pare-feu,IPS , les journaux d'événements Windows et même les événements des automates programmables (PLC).
Plutôt que de permettre aux utilisateurs ou aux systèmes de l'entreprise d'accéder à l'environnement OT, OPSWAT NetWall transfère les journauxNetWall depuis le collecteur Splunk de l'environnement OT.
L'instance Splunk de l'entreprise reçoit alors une copie de ces événements via le protocole Splunk-to-Splunk.
Ainsi, les équipes chargées de la sécurité et de la conformité bénéficient de la visibilité dont elles ont besoin, sans créer de voies d'accès entrantes susceptibles d'exposer l'environnement OT à des risques.
Conclusion : une sécurité sans compromis
Si les équipes de sécurité de votre entreprise vous demandent les journaux OT, ne leur claquez pas la porte au nez en leur opposant un « non » catégorique.
Vous pouvez leur accorder les droits d'accès dont ils ont besoin, mais pas d'une manière qui expose l'ensemble de l'environnement.
La diode de donnéesNetwall OPSWAT leur offre la visibilité dont ils ont besoin tout en garantissantla sécuritédes systèmes OT.
En l'absence d'accès entrant, il n'y a aucun risque de compromission.
OPSWAT NetWall les bonnes données parviennent aux bonnes personnes, de la bonne manière.
Vous n'avez pas à choisir entre visibilité et sécurité.
Avec une diode de données, vous pouvez avoir les deux.
Contactez-nous pour découvrir comment OPSWAT NetWall vos équipes de sécuritéNetWall productives et garantit la sécurité de votre environnement OT.
