Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/
Blog
/
Naviguer dans le paysage de la cybersécurité des ICS et...
Naviguer dans le paysage de la cybersécurité des réseaux ICS et OT : Perspectives et solutions
Par
OPSWAT
Partager cet article
Introduction
Dans le domaine en constante évolution de la cybersécurité, les réseaux des systèmes Industrial (ICS) et des technologies opérationnelles (OT) constituent un sujet de préoccupation majeur. Ces systèmes sont non seulement essentiels à la continuité des activités commerciales, mais font également partie intégrante des infrastructures critiques d'un pays. L'équipe MetaDefender (anciennement Filescan Sandbox) OPSWAT surveille de près les risques liés aux ICS/OT et a observé des activités persistantes et potentiellement à fort impact.
Le paysage actuel des menaces
Les tendances récentes en matière de menaces de cybersécurité révèlent une évolution inquiétante des attaques : des groupes parrainés par l'État ont commencé à se spécialiser dans les ICS, comme Sandworm (Russie) et Volt Typhoon (Chine), tandis que les cybercriminels sont conscients de la gravité de l'impact sur les systèmes industriels. Les forces de sécurité reconnaissent l'importance de ces menaces pour tous les secteurs industriels, ce qui a conduit à la publication de rapports et de campagnes conjointes visant à renforcer la sécurité des SCI.
Problèmes persistants et recommandations
L'une des recommandations de longue date pour atténuer ces risques est de réduire l'exposition des systèmes. Cependant, la prévalence des systèmes exposés reste un problème préoccupant dans le paysage de la cybersécurité. Les techniques de reconnaissance et d'exploitation étant de plus en plus largement diffusées, la menace d'attaques opportunistes s'accroît, ce qui permet à des acteurs moins sophistiqués d'avoir un impact sur des systèmes critiques. Un rapport de septembre a mis en évidence une tendance alarmante : Les incidents de cybersécurité OT/ICS survenus au cours des trois dernières années ont dépassé le total des incidents signalés entre 1991 et 2000. Cette statistique souligne à elle seule l'escalade des défis auxquels sont confrontés les responsables de la sécurité de ces environnements.
Se défendre contre la menace
Cadres et mises à jour
Consciente de la nécessité d'une attention particulière, la société MITRE a mis au point une matrice ATT&CK spécifique aux SCI, afin de fournir un langage commun pour la communication intersectorielle et de permettre aux secteurs sous-représentés de tirer parti de ses cartographies, en favorisant une communication significative sur les risques et les menaces. Cette matrice relativement récente continue d'être méticuleusement mise à jour, la dernière version ayant été publiée le mois dernier.
L'interconnexion des sites IT et OT
Tout en se tenant informée de ces mises à jour, l'équipe OPSWAT MetaDefender souligne le lien intrinsèque qui existe entre l'informatique (IT) et les technologies opérationnelles (OT), car les ressources informatiques sont présentes à tous les niveaux du modèle de Purdue, et pas seulement au sommet.
La compromission de IT entraîne la compromission de l'OT. Les personnes interrogées sont principalement préoccupées par les incidents ICS impliquant des menaces de logiciels malveillants ou des attaquants qui pénètrent dans le réseau d'entreprise IT et en ont fait l'expérience. Ces brèches permettent souvent d'accéder à l'environnement ICS/OT et de s'y infiltrer. Les compromissions des systèmes IT conduisant à l'entrée de menaces dans les réseaux OT/ICS sont les plus fréquentes, suivies par les compromissions des postes de travail des ingénieurs et des services externes à distance.
Le rapport SANS 2023 sur la cybersécurité ICS/OT
parrainé par OPSWAT
Le dénominateur commun : Fichiers malveillants
Dans l'ensemble des cyberattaques visant les systèmes de contrôle industriel (ICS), la présence de fichiers malveillants est un facteur récurrent, quel que soit le vecteur d'intrusion, qu'il s'agisse des systèmes informatiques ou des systèmes opérationnels. C'est là qu'interviennent des solutions telles que MetaDefender . Ces outils sont conçus pour analyser minutieusement les fichiers transitant à travers les périmètres définis du réseau d'une organisation ; ils sont adaptés à différents contextes pour offrir des performances optimales, y compris dans les environnements isolés physiquement.
Sandbox Adaptive OPSWAT combine différents ensembles d'indicateurs de menaces à l'aide d'analyseurs développés en interne et d'autres outils largement reconnus, tels que les règles Yara. Les deux attaques précédemment mentionnées, celles de Volt Typhoon et de Sandworm, s'appuyaient fortement sur des binaires « Living-Off-the-Land » (LOLBINS), pour lesquels MetaDefender met en œuvre de nombreux indicateurs. Cependant, la première attaque constitue un bon exemple de combinaison d'indicateurs grâce à la disponibilité d'échantillons. La première charge utile signalée est un script batch contenant une commande Powershell encodée en base64 qui déclenche, entre autres, deux indicateurs intéressants pour ce cas.
Figure 1 Analyse de la charge utile de Volt Typhoon Lien du rapport
L'origine de l'indicateur précédent est l'émulation du script, où l'on peut également observer d'autres indicateurs pertinents. La capture d'écran suivante montre un autre indicateur de gravité plus élevée, déclenché à partir du contenu base64 décodé du script. En outre, les deux éléments identifiés sont mis en correspondance avec les techniques ATT&CK correspondantes de MITRE.
Figure 2 Analyse de la charge utile de Volt Typhoon Lien du rapport
De plus, cette même attaque impliquait l'utilisation d'échantillons de Fast Reverse Proxy qui, bien qu'ils aient été compressés au format UPX, ont pu être décompressés MetaDefender , ce qui a permis de faire correspondre plusieurs indicateurs supplémentaires au fichier extrait et d'identifier la menace.
Figure 3 Échantillon de FRP déballé de Volt Typhoon Lien du rapport
Figure 4 Yara identifie l'échantillon non emballé comme étant du FRP Lien du rapport
Conclusion
À mesure que le paysage des menaces évolue, nos défenses doivent elles aussi s'adapter. L'engagement OPSWAT en faveur de la sécurité des réseaux ICS et OT reste inébranlable, et l'équipe MetaDefender s'attache à fournir des solutions mises à jour en permanence pour relever ces nouveaux défis. Restez informés, soyez prêts et assurez votre sécurité.
Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT
les nouvelles qui font avancer l'industrie.
Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !
Restez à jour avec OPSWAT!
Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise,
de l'entreprise, des histoires, des informations sur les événements, et plus encore.
