L’alerte CISA sur les dispositifs ICS et SCADA met en évidence les risques croissants pour la sécurité de l’IoT en entreprise

Le 13 avril, le ministère de l’Énergie (DoE), la Cybersecurity and Infrastructure Security Agency (CISA), la National Security Agency (NSA) et le Federal Bureau of Investigation (FBI) ont publié une Conseil conjoint sur la cybersécurité pour avertir que certains systèmes de contrôle industriel (ICS) et dispositifs de contrôle de supervision et d’acquisition de données (SCADA) peuvent être ciblés par des acteurs de menace persistante avancée (APT) qui ont la capacité d’obtenir un accès complet au système.

L’alerte avertit que les produits vulnérables incluent les automates programmables Schneider Electric, les automates OMRON Sysmac NEX et les serveurs OPC UA (Open Platform Communications Unified Architecture).

Une fois sur le réseau de technologie opérationnelle (OT), les acteurs APT peuvent utiliser certains outils personnalisés pour rechercher les appareils vulnérables, puis les exploiter et en prendre le contrôle.

L’avis a également noté un problème critique avec les postes de travail d’ingénierie basés sur Windows. Les systèmes de l’environnement OT, ou même du côté informatique, peuvent être compromis à l’aide d’un exploit ciblant les pilotes de carte mère vulnérables.

L’utilisation de ces techniques, de manière importante et inquiétante, pourrait permettre aux acteurs APT d’élever leurs privilèges, de se déplacer latéralement dans l’environnement OT vers d’autres appareils et de perturber ou de planter des appareils critiques.

Avec les événements récents, comme le Attaque du pipeline colonialqui a entraîné la fermeture de l’ensemble de l’environnement OT (bien qu’il ne provienne même pas d’appareils OT), ainsi que la montée des ransomwares et la menace d’acteurs étatiques nationaux politiquement motivés, les acteurs des infrastructures nationales critiques doivent agir rapidement.

Le DoE, la CISA, la NSA et le FBI exhortent les organisations, en particulier celles du secteur de l’énergie, à détecter et à atténuer les recommandations pour détecter l’activité APT et renforcer leurs dispositifs ICS/SCADA.

Le conseil a crédité des sociétés de sécurité telles que Dragos, Mandiant et Palo Alto Networks pour leurs contributions menant au conseil. Drago dévoilé il analyse le malware (surnommé PIPEDREAM) depuis début 2022.

conclusion
Il va sans dire que les acteurs de la menace trouveront continuellement un moyen de pénétrer les réseaux IoT et OT ; Cet avis n’est pas le premier du genre et ne sera pas le dernier.

Le problème délicat avec les réseaux OT est leur âge moyen (s’étendant souvent sur des décennies), leur histoire complexe (évoluant de manière organique avec une planification minimale) et la nature exigeante des appareils. Traditionnellement, les environnements OT ne se connectaient pas au réseau informatique comme ils le font aujourd’hui – ils étaient physiquement séparés et déconnectés du monde extérieur, ainsi que de l’entreprise et de toutes les fonctions liées à l’informatique. C’est ce qu’on appelle un “air gap”, mais c’est désormais chose du passé.

La transformation numérique et la connexion des systèmes OT et d’autres appareils au réseau élargissent la surface d’attaque et ouvrent les environnements industriels aux attaquants. Mais les priorités commerciales à l’origine de cette transition, ainsi que la nature des systèmes et appareils hérités qui doivent être constamment disponibles, signifient que la sécurité est souvent laissée pour compte.

L’alerte souligne à quel point il est important pour les entreprises de se préparer à répondre rapidement et de manière approfondie à ces types d’avis de sécurité IoT et OT, avant que des adversaires ne puissent en profiter.

Cela peut sembler trivial, mais les premiers points de l’appel incluent la modification de tous les mots de passe et le maintien de sauvegardes hors ligne, ce qui peut aider à atténuer les attaques par force brute et à faciliter une récupération rapide en cas d’attaque. Ceux qui travaillent dans des environnements industriels doivent s’assurer qu’ils disposent d’une solide posture de cybersécurité, y compris une visibilité et une surveillance adéquates, ainsi que des contrôles de périmètre et d’accès.

L’alerte note l’importance de la collaboration entre les parties prenantes de l’informatique, de la cybersécurité et des opérations, ce qui est particulièrement important pour garantir que la cybersécurité est appliquée efficacement dans ces environnements IoT et OT complexes avec leurs propres exigences uniques.

Leave a Comment