Il y a eu un certain nombre de rapports d’attaques sur les systèmes de contrôle industriels (ICS) au cours des dernières années. En regardant d’un peu plus près, la plupart des attaques semblent avoir débordé de l’informatique traditionnelle. C’est normal, car les systèmes de production sont généralement connectés aux réseaux d’entreprise ordinaires à ce stade.
Bien que nos données n’indiquent pas à ce stade que de nombreux acteurs de la menace ciblent spécifiquement les systèmes industriels – en fait, la plupart des preuves indiquent un comportement purement opportuniste – le vent pourrait tourner à tout moment, une fois que la complexité supplémentaire des environnements OT compromettants promet de porter ses fruits. . Les criminels saisiront toutes les occasions de faire chanter les victimes dans des stratagèmes d’extorsion, et l’arrêt de la production peut causer d’immenses dégâts. Ce n’est probablement qu’une question de temps. La cybersécurité pour la technologie opérationnelle (OT) est donc d’une importance vitale.
La tromperie est une option efficace pour améliorer les capacités de détection et de réponse aux menaces. Cependant, la sécurité ICS diffère de la sécurité informatique traditionnelle de plusieurs manières. Alors que la technologie de tromperie à usage défensif comme les pots de miel a progressé, il reste des défis en raison de différences fondamentales comme les protocoles utilisés. Cet article a pour but de détailler les progrès et les défis lorsque la technologie de tromperie passe de l’informatique traditionnelle à la sécurité ICS.
La valeur de la tromperie : reprendre l’initiative
La technologie de tromperie est une méthode de défense de sécurité active qui détecte efficacement les activités malveillantes. D’une part, cette stratégie construit un environnement de fausses informations et de simulations pour tromper le jugement d’un adversaire, faisant tomber des attaquants sans méfiance dans un piège pour perdre leur temps et leur énergie, augmentant la complexité et l’incertitude de l’intrusion.
Dans le même temps, les défenseurs peuvent collecter des journaux d’attaque plus complets, déployer des contre-mesures, retracer la source des attaquants et surveiller leurs comportements d’attaque. Tout enregistrer pour rechercher les tactiques, techniques et procédures (TTP) utilisées par un attaquant est d’une grande aide pour les analystes de la sécurité. Les techniques de déception peuvent redonner l’initiative aux défenseurs.
Découvrez les dernières nouveautés en matière de cybersécurité avec des « Navigateur de sécurité 2023 » rapport. Ce rapport axé sur la recherche est basé sur des informations 100% de première main provenant de 17 SOC mondiaux et de 13 CyberSOC d’Orange Cyberdefense, du CERT, d’Epidemiology Labs et de World Watch et fournit une mine d’informations et d’informations précieuses sur le présent et l’avenir paysage des menaces.
Avec certaines applications trompeuses, par exemple les pots de miel, l’environnement d’exploitation et la configuration peuvent être simulés, incitant ainsi l’attaquant à pénétrer la fausse cible. De cette manière, les défenseurs pourront saisir les charges utiles que les attaquants déposent et obtenir des informations sur les hôtes de l’attaquant ou même sur le navigateur Web par JavaScript dans les applications Web. De plus, il est possible de connaître les comptes de médias sociaux de l’attaquant par JSONP Hijacking ainsi que de contrer l’attaquant via des « fichiers de miel ». On peut prédire que la technologie de tromperie sera plus mature et largement utilisée dans les années à venir.
Récemment, l’intégration des technologies de l’information et de la production industrielle s’est accélérée avec le développement rapide de l’Internet industriel et de la fabrication intelligente. La connexion de réseaux et d’équipements industriels massifs à la technologie informatique entraînera inévitablement une augmentation des risques de sécurité dans ce domaine.
Production à risque
Les incidents de sécurité fréquents tels que les ransomwares, les violations de données et les menaces persistantes avancées affectent gravement la production et les opérations commerciales des entreprises industrielles et menacent la sécurité de la société numérique. Généralement, ces systèmes sont susceptibles d’être faibles et facilement exploitables par l’attaquant en raison de leur architecture simple, qui utilise une faible puissance de traitement et une faible mémoire. Il est difficile de protéger ICS contre les activités malveillantes car les composants d’ICS sont peu susceptibles de prendre des mises à jour ou des correctifs en raison de leur architecture simple. L’installation d’agents de protection des terminaux n’est généralement pas possible non plus. Compte tenu de ces défis, la tromperie peut être un élément essentiel de l’approche de la sécurité.
- Conpot est un pot de miel peu interactif qui peut simuler les protocoles IEC104, Modbus, BACnet, HTTP et autres, qui peuvent être facilement déployés et configurés.
- XPOT est un pot de miel PLC hautement interactif basé sur un logiciel qui peut exécuter des programmes. Il simule les API de la série Siemens S7-300 et permet à l’attaquant de compiler, d’interpréter et de charger des programmes API sur XPOT. XPOT prend en charge les protocoles S7comm et SNMP et est le premier pot de miel PLC hautement interactif. Puisqu’il est basé sur un logiciel, il est très évolutif et permet de grands réseaux de leurres ou de capteurs. XPOT peut être connecté à un processus industriel simulé afin de rendre complètes les expériences des adversaires.
- CryPLH est un pot de miel Smart-Grid ICS peu interactif et virtuel simulant des automates Siemens Simatic 300. Il utilise des serveurs Web Nginx et miniweb pour simuler HTTP(S), un script Python pour simuler le protocole ISO-TSAP Step 7 et une implémentation SNMP personnalisée. Les auteurs ont déployé le pot de miel dans la plage IP de l’université et ont observé des tentatives de numérisation, de ping et de connexion SSH. On peut voir que la capacité d’interaction augmente progressivement de la simulation du protocole ICS à l’environnement ICS.
Avec le développement de la technologie de cybersécurité, la tromperie a été appliquée dans diverses circonstances comme le Web, les bases de données, les applications mobiles et l’IoT. La technologie de tromperie a été incorporée dans certaines applications de pot de miel ICS dans le domaine OT. Par exemple, les pots de miel ICS comme Conpot, XPOT et CryPLH peuvent simuler les protocoles Modbus, S7, IEC-104, DNP3 et autres.
En conséquence, la technologie de tromperie comme les applications de pot de miel ci-dessus peut compenser la faible efficacité des systèmes de détection des menaces inconnues et peut jouer un rôle important pour assurer la sécurité des réseaux de contrôle industriels. Ces applications peuvent aider à détecter les cyberattaques sur les systèmes de contrôle industriels et afficher une tendance générale des risques. Les vulnérabilités OT réelles exploitées par les attaquants peuvent être détectées et envoyées à l’analyste de la sécurité, ce qui conduit à des correctifs et à des renseignements en temps opportun. En plus de cela, il est possible d’obtenir une alerte rapide, par exemple avant que le ransomware n’éclate et d’éviter des pertes massives et un arrêt de la production.
Défis
Ce n’est pas une « solution miracle », cependant. Par rapport à la tromperie sophistiquée disponible dans la sécurité informatique traditionnelle, la tromperie dans les ICS est toujours confrontée à certains défis.
Tout d’abord, il existe de nombreux types de dispositifs de contrôle industriels ainsi que de protocoles, et de nombreux protocoles sont propriétaires. Il est presque impossible d’avoir une technologie de déception applicable à tous les dispositifs de contrôle industriels. Par conséquent, les pots de miel et autres applications doivent souvent être personnalisés pour l’émulation de différents protocoles, ce qui entraîne un seuil relativement élevé pour la mise en œuvre dans certains environnements.
Le deuxième problème est que les pots de miel de contrôle industriel virtuel pur ont encore des capacités de simulation limitées, ce qui les rend sensibles à l’identification des pirates. Le développement et l’application actuels de pots de miel ICS purement virtuels ne permettent que la simulation sous-jacente de protocoles de contrôle industriels, et la plupart d’entre eux sont open source, faciles à trouver par des moteurs de recherche tels que Shodan ou Zoomeye. Collecter des données d’attaque adéquates et améliorer les capacités de simulation des pots de miel ICS reste un défi pour les chercheurs en sécurité.
Enfin, les pots de miel de contrôle industriel à haute interaction consomment des ressources considérables et ont des coûts de maintenance élevés. Apparemment, les pots de miel nécessitent souvent l’introduction de systèmes ou d’équipements physiques afin de créer un environnement de simulation en temps réel. Cependant, les systèmes et équipements de contrôle industriels sont coûteux, difficiles à réutiliser et difficiles à entretenir. Même les dispositifs ICS apparemment similaires sont souvent remarquablement diversifiés en termes de fonctionnalités, de protocoles et d’instructions.
Est-ce que ça vaut le coup?
Sur la base de la discussion ci-dessus, la technologie de déception pour ICS devrait être envisagée pour l’intégration avec la nouvelle technologie. La capacité de simuler et d’interagir avec un environnement simulé renforce la technologie de défense. De plus, le journal d’attaque capturé par l’application de déception est d’une grande valeur. Analysé via des outils d’IA ou de Big data, il permet d’acquérir une compréhension approfondie de l’intelligence de terrain ICS.
Pour résumer, la technologie de déception joue un rôle vital dans le développement rapide de la sécurité des réseaux ICS et améliore l’intelligence ainsi que la capacité de défense. Cependant, la technologie est toujours confrontée à des défis et a besoin d’une percée.
Si vous souhaitez en savoir plus sur ce que les chercheurs occupés d’Orange Cyberdefense ont enquêté cette année, vous pouvez simplement vous rendre sur la page d’accueil de leur article récemment publié. Navigateur de sécurité.
Note: Cet article perspicace a été conçu de manière experte par Thomas Zhang, analyste de la sécurité chez Orange Cyberdefense.