Nous utilisons l'intelligence artificielle pour les traductions de sites et, bien que nous nous efforcions d'être précis, il se peut que les traductions ne soient pas toujours exactes à 100 %. Nous vous remercions de votre compréhension.
Domicile/
Blog
/
Naviguer dans le paysage de la cybersécurité des ICS et...
Naviguer dans le paysage de la cybersécurité des réseaux ICS et OT : Perspectives et solutions
par
OPSWAT
Partager cet article
Introduction
Dans le monde en constante évolution de la cybersécurité, les systèmes de contrôle Industrial (ICS) et les réseaux de technologie opérationnelle (OT) représentent un domaine de préoccupation important. Ces systèmes sont non seulement essentiels à la continuité des opérations commerciales, mais ils font également partie intégrante de l'infrastructure critique d'un pays. L'équipe MetaDefender Sandbox (anciennement Filescan Sandbox) d'OPSWAT a surveillé avec diligence les risques liés aux ICS/OT et a observé des activités persistantes et potentiellement à fort impact.
Le paysage actuel des menaces
Les tendances récentes en matière de menaces de cybersécurité révèlent une évolution inquiétante des attaques : des groupes parrainés par l'État ont commencé à se spécialiser dans les ICS, comme Sandworm (Russie) et Volt Typhoon (Chine), tandis que les cybercriminels sont conscients de la gravité de l'impact sur les systèmes industriels. Les forces de sécurité reconnaissent l'importance de ces menaces pour tous les secteurs industriels, ce qui a conduit à la publication de rapports et de campagnes conjointes visant à renforcer la sécurité des SCI.
Problèmes persistants et recommandations
L'une des recommandations de longue date pour atténuer ces risques est de réduire l'exposition des systèmes. Cependant, la prévalence des systèmes exposés reste un problème préoccupant dans le paysage de la cybersécurité. Les techniques de reconnaissance et d'exploitation étant de plus en plus largement diffusées, la menace d'attaques opportunistes s'accroît, ce qui permet à des acteurs moins sophistiqués d'avoir un impact sur des systèmes critiques. Un rapport de septembre a mis en évidence une tendance alarmante : Les incidents de cybersécurité OT/ICS survenus au cours des trois dernières années ont dépassé le total des incidents signalés entre 1991 et 2000. Cette statistique souligne à elle seule l'escalade des défis auxquels sont confrontés les responsables de la sécurité de ces environnements.
Se défendre contre la menace
Cadres et mises à jour
Consciente de la nécessité d'une attention particulière, la société MITRE a mis au point une matrice ATT&CK spécifique aux SCI, afin de fournir un langage commun pour la communication intersectorielle et de permettre aux secteurs sous-représentés de tirer parti de ses cartographies, en favorisant une communication significative sur les risques et les menaces. Cette matrice relativement récente continue d'être méticuleusement mise à jour, la dernière version ayant été publiée le mois dernier.
L'interconnexion des sites IT et OT
L'équipe OPSWAT MetaDefender Sandbox , tout en se tenant au courant de ces mises à jour, souligne le lien intrinsèque entre IT et OT, puisque les actifs IT sont présents à tous les niveaux du modèle Purdue, et pas seulement au sommet.
La compromission de IT entraîne la compromission de l'OT. Les personnes interrogées sont principalement préoccupées par les incidents ICS impliquant des menaces de logiciels malveillants ou des attaquants qui pénètrent dans le réseau d'entreprise IT et en ont fait l'expérience. Ces brèches permettent souvent d'accéder à l'environnement ICS/OT et de s'y infiltrer. Les compromissions des systèmes IT conduisant à l'entrée de menaces dans les réseaux OT/ICS sont les plus fréquentes, suivies par les compromissions des postes de travail des ingénieurs et des services externes à distance.
Le rapport SANS 2023 sur la cybersécurité ICS/OT
parrainé par OPSWAT
Le dénominateur commun : Fichiers malveillants
Dans l'ensemble des cyberattaques liées aux SCI, la présence de fichiers malveillants est un facteur constant, quel que soit le vecteur d'entrée, qu'il s'agisse de IT ou de systèmes OT. C'est là que des solutions telles que MetaDefender Sandbox entrent en jeu. Ces outils sont conçus pour examiner minutieusement les fichiers qui traversent les périmètres définis du réseau d'une organisation, adaptés à différents contextes pour une performance optimale, y compris dans les environnements protégés.
L'Adaptive Sandbox d'OPSWAT combine différents ensembles d'indicateurs de menaces en utilisant des analyseurs internes et d'autres largement connus tels que les règles de Yara. Les deux attaques précédemment citées de Volt Typhoon et Sandworm s'appuyaient fortement sur des binaires LOLBINS (Living-Off-the-Land binaries) pour lesquels MetaDefender Sandbox met en œuvre de nombreux indicateurs. Cependant, l'attaque la plus ancienne constitue un bon exemple de combinaison d'indicateurs en raison de la disponibilité d'échantillons. La première charge utile signalée est un script batch contenant une commande Powershell encodée en base64 qui déclenche deux indicateurs intéressants dans ce cas, parmi d'autres.
Figure 1 Analyse de la charge utile de Volt Typhoon Lien du rapport
L'origine de l'indicateur précédent est l'émulation du script, où l'on peut également observer d'autres indicateurs pertinents. La capture d'écran suivante montre un autre indicateur de gravité plus élevée, déclenché à partir du contenu base64 décodé du script. En outre, les deux éléments identifiés sont mis en correspondance avec les techniques ATT&CK correspondantes de MITRE.
Figure 2 Analyse de la charge utile de Volt Typhoon Lien du rapport
En outre, cette même attaque impliquait l'utilisation d'échantillons de Fast Reverse Proxy qui, bien qu'ils soient emballés dans UPX, MetaDefender Sandbox a pu les décompresser, ce qui a permis à plusieurs indicateurs supplémentaires de correspondre au fichier extrait et d'identifier la menace.
Figure 3 Échantillon de FRP déballé de Volt Typhoon Lien du rapport
Figure 4 Yara identifie l'échantillon non emballé comme étant du FRP Lien du rapport
Conclusion
Le paysage des menaces évolue, nos défenses aussi. OPSWAT L'engagement d'ICS envers la sécurité des réseaux ICS et OT reste inébranlable, et l'équipe de MetaDefender Sandbox s'engage à fournir des solutions activement mises à jour qui répondent à ces défis émergents. Restez informés, soyez préparés et restez en sécurité.
Obtenez les dernières mises à jour de la société OPSWAT ainsi que des informations sur les événements et les nouvelles qui font avancer l'industrie OPSWAT
les nouvelles qui font avancer l'industrie.
Suivez OPSWAT sur LinkedIn, Facebook, Twitter et YouTube pour en savoir plus !
Restez à jour avec OPSWAT!
Inscrivez-vous dès aujourd'hui pour recevoir les dernières mises à jour de l'entreprise,
de l'entreprise, des histoires, des informations sur les événements, et plus encore.
