Vulnérabilités "Forever-Day" dans les environnements ICS/OT

Vulnérabilités "Forever-Day" dans les environnements ICS/OT

Télécharger le livre blanc

Résumé Exécutif

Ce rapport se concentrera sur ce que nous appelons une vulnérabilité ou un bug de "Forever Day" et leur contexte et importance dans les environnements industriels.

  • Introduction

    • Qu'est-ce qu'une vulnérabilité "Forever-Day" ?

    • Pourquoi est-elle particulièrement courante et critique dans les environnements industriels ?

  • Différents types de vulnérabilités "Forever-Day"

    • Protocoles et standards hérités

    • Systèmes d'exploitation non supportés

    • Produits en fin de vie (EOL).

    • Mauvaise conception de l'infrastructure

  • Impact et exemples d'attaques ciblées "Forever-Day"

  • Mappage Mitre ATT&CK et chaîne cyber kill

  • Atténuations

Introduction

Qu'est-ce qu'une vulnérabilité "Forever-Day" ?

Pour ajouter un peu de contexte, nous allons expliquer chaque type de vulnérabilité XXXXX-day ici.

Vulnérabilité Zero-day :

Commençons par la vulnérabilité zero day,

Une vulnérabilité zero-day est une vulnérabilité dans un système ou un appareil qui a été révélée mais n'est pas encore corrigée. Elle a été découverte par un chercheur mais est encore inconnue du fournisseur, et il n'existe ni correctif, ni atténuation, ni solution pour la résoudre. Le terme "zero-day" se réfère au temps que disposent les fournisseurs pour résoudre la faille avant que les pirates ne puissent l'exploiter.

Dans le domaine de la cybersécurité, on entend souvent parler de la découverte d'une vulnérabilité zero-day, notamment parce qu'elle peut être très lucrative pour le chercheur puisque les hackers éthiques qui découvrent des vulnérabilités zero-day sont généralement récompensés financièrement par le fournisseur. C'est considéré comme un grand accomplissement pour les hackers éthiques d'en trouver une.

Pour les hackers malveillants, en revanche, ils vendent souvent les vulnérabilités zero-day à d'autres groupes de hackers et acteurs de la menace des États-nations. Une fois acquises, les vulnérabilités zero-day sont très convoitées et généralement déployées uniquement par un seul acteur de menace contre un nombre limité de cibles à haute valeur pour réduire le risque que la vulnérabilité zero-day soit découverte.

Vulnérabilités One day/N day :

Nous avons également des vulnérabilités One-day,

Les vulnérabilités One-day sont des vulnérabilités connues pour lesquelles un correctif ou une atténuation est disponible mais n'a pas encore été appliqué. Le terme "une journée" fait référence à la période entre la divulgation de la vulnérabilité et la correction des systèmes affectés.

Parfois, ces vulnérabilités sont appelées vulnérabilités "n-day" car la période est souvent beaucoup plus longue qu'une journée, puisque la [moyenne de temps pour appliquer un correctif](https://resources.infosecinstitute.com/topics/vulnerabilities/time-to-patch-vulnerabilities-exploited-in-under-five-minutes/#:~:text=For example%2C the average time,to push out a patch.) (MTTP) se situe entre 60 et 150 jours.

Malheureusement, l'exploitation des vulnérabilités one-day est souvent accélérée par la publication de code d'exploitation Proof-of-Concept (PoC) avant que les utilisateurs affectés aient suffisamment de temps pour mettre à jour leurs systèmes. Cette pratique semble s'être aggravée ces derniers mois alors que les fournisseurs de cybersécurité et les chercheurs tentent de montrer leurs compétences techniques, malgré les dommages qu'elle cause.

Alors que les acteurs de la menace plus sophistiqués vont rétroconcevoir un correctif pour comprendre quel problème il visait à résoudre et développer leurs propres exploits sur la base de leurs conclusions, les acteurs moins techniques adopteront le code PoC disponible publiquement. Cela permet à la vulnérabilité d'être exploitée par des acteurs moins sophistiqués qui n'auraient autrement pas eu cette capacité sans assistance externe.

Un exemple récent et pertinent de vulnérabilités one-day sont les CVE-2024-1708, une faille de contournement d'authentification, et CVE-2024-1709, une faille de traversée de path, dans les serveurs ScreenConnect de ConnectWise. (Effet de terrain)

Vulnérabilité Forever-Day :

"Forever day est un jeu de mots sur "zero day"

Aussi appelé iDays, ou "jours infinis" par certains chercheurs.

Une vulnérabilité "forever-day" est une vulnérabilité que le fournisseur ne corrigera pas. Cela se produit généralement lorsque le fournisseur ou l'auteur d'origine ne maintient plus le produit. Ils peuvent ne plus être en activité ou l'auteur a pu passer à autre chose et abandonner le projet.

Vous pouvez éviter de vous retrouver avec des vulnérabilités Forever Day dans vos systèmes en arrêtant d'utiliser des technologies obsolètes et en commençant à utiliser des appareils ou logiciels qui sont activement maintenus.

Nous pourrions également parler de vulnérabilités insecure-by-design résultant du non-respect des meilleures pratiques de sécurité lors du processus de conception, mais dans certains cas, les vulnérabilités insecure-by-design peuvent être sécurisées par la mise en œuvre d'une mitigation, quand ce n'est pas possible, nous pouvons parler de vulnérabilité forever day.

Pourquoi est-ce particulièrement courant et critique dans les environnements industriels ?

Les systèmes de contrôle industriel (ICS) et les technologies opérationnelles (OT) ont souvent des cycles de vie s'étendant sur des décennies. Dans des secteurs tels que la fabrication, l'énergie et l'infrastructure critique, l'équipement est conçu pour fonctionner de manière fiable pendant de longues périodes, dépassant souvent largement la durée de vie typique des logiciels.

Ces systèmes sont difficiles et coûteux à mettre à jour ou à remplacer. Une fois déployés, le coût, le temps et les perturbations opérationnelles associés aux mises à jour ou aux remplacements rendent difficile le maintien de la conformité aux normes de sécurité en évolution et aux correctifs de sécurité.

Dans de nombreux environnements industriels, la sécurité est souvent considérée comme un point secondaire - ou pas du tout - par les ingénieurs ou le personnel informatique.

La section suivante explorera des exemples de composants obsolètes que l'on trouve couramment dans les environnements ICS/OT.

  • Protocoles de communication et standards (comme Modbus par exemple)

  • Systèmes d'exploitation (comme DOS OS ou ancienne version de Windows)

  • Produits en fin de vie tels que PLC, HMI et autres appareils hérités, comme des imprimantes (qui pourraient être un point d'entrée dans le réseau) et un vieux ventilateur (qui pourrait créer une situation de surchauffe si piraté)

  • Logiciel à part (comme le buzz autour de ABB WebWare Server par exemple)

  • Simplement par certaines vulnérabilités de sécurité dans la façon dont l'infrastructure a été étudiée et construite (réseau plat et manque de vigilance)

Différents types de vulnérabilités "Forever-Day"

Protocoles et standards hérités

Les systèmes SCADA/ICS se différencient des systèmes d'information traditionnels de plusieurs manières. Probablement la distinction la plus importante est la variété des protocoles de communication. Contrairement aux systèmes informatiques traditionnels avec leurs protocoles TCP/IP standardisés, les systèmes SCADA/ICS se caractérisent par une variation significative dans leurs protocoles de communication. Ils pourraient utiliser Modbus ou DNP3 ou d'autres protocoles de communication (comme vous pourriez le voir dans notre rapport PLC). Mais nous allons parler du plus célèbre ici pour l'exemple :

Modbus

Modbus est un protocole de communication open-source positionné au niveau 7 du modèle OSI initialement développé en 1979 par Modicon (désormais Schneider Electric) pour les systèmes d'automatisation industrielle. Il est principalement utilisé pour connecter les systèmes de contrôle et d'acquisition de données (SCADA) avec des contrôleurs logiques programmables (PLC) et d'autres appareils, facilitant la communication dans les environnements industriels. Modbus fonctionne sur un modèle client-serveur et est simple, ce qui le rend populaire dans la gestion de l'énergie, la fabrication et d'autres contextes industriels.

Préoccupations de sécurité : Le protocole Modbus original a été conçu sans souci de sécurité, car il était destiné à des environnements industriels fermés et isolés. Cela se traduit par plusieurs vulnérabilités :

  • Absence d'authentification : Modbus n'inclut aucune forme d'authentification. Un attaquant n'a qu'à créer un paquet avec une adresse valide, un code fonction et toute donnée associée.

  • Aucune cryptage : Toute communication sur Modbus se fait en clair. Un attaquant peut intercepter la communication entre le maître et les esclaves et discerner la configuration et l'utilisation.

  • Susceptibilité aux attaques par répétition : Parce qu'il n'y a pas de cryptage ou d'intégrité des messages, Modbus est très vulnérable aux attaques par répétition. Un attaquant pourrait intercepter les commandes légitimes de Modbus et les rejouer pour perturber les processus ou les opérations.

  • Pas de somme de contrôle : Bien que Modbus RTU utilise une somme de contrôle de message, lorsque Modbus est implémenté en TCP/IP, la somme de contrôle est générée dans la couche de transport, pas dans la couche d'application, permettant à l'attaquant de falsifier les paquets Modbus.

  • Risques de contrôle des diffusions : Le protocole n'a pas de protections pour prévenir ou limiter les commandes de diffusion, ce qui signifie qu'une seule commande peut affecter plusieurs appareils simultanément. Un attaquant exploitant cela pourrait perturber de grandes parties d'un système industriel.

DNP3 (Distributed Network Protocol)

DNP3 a été développé dans les années 1990 par Westronic, Inc. pour améliorer l'interopérabilité dans les systèmes SCADA et a ensuite été standardisé par l'IEEE. Il est couramment utilisé dans le secteur des services publics, en particulier pour les systèmes d'eau et d'électricité, pour contrôler les équipements sur de longues distances. DNP3 est plus complexe et fiable que Modbus et inclut des fonctionnalités pour la détection d'erreurs, l'horodatage et le rapport basé sur les événements.

Préoccupations de sécurité : DNP3 a également été développé sans sécurité intégrée, car il supposait des environnements isolés. Cela mène à des vulnérabilités similaires :

  • Aucun cryptage natif : Bien que le protocole inclue la vérification d'erreurs, il ne crypte pas les données, le rendant vulnérable à l'interception et à l'écoute clandestine.

  • Absence d'authentification dans le DNP3 de base : Le DNP3 de base manque de mécanismes d'authentification des messages, le laissant vulnérable aux usurpations et aux commandes non autorisées. Un attaquant pourrait injecter des commandes malveillantes qui perturbent les opérations du système.

  • DNP3 avancé avec authentification sécurisée (DNP3-SA) : Plus tard, le DNP3 a été étendu pour inclure une authentification sécurisée (DNP3-SA) sous IEEE 1815-2012. Cependant, l'adoption de cette version sûre est incohérente, et de nombreux systèmes hérités utilisent encore la version non sécurisée.

  • Vulnérabilité aux attaques par déni de service (DoS) : En raison de l'absence de contrôle d'accès strict, les systèmes DNP3 peuvent être ciblés par des attaques DoS, submergeant le système et perturbant les communications.

Systèmes d'exploitation non supportés

Les systèmes d'exploitation obsolètes et non supportés sont toujours présents et continuent de représenter un risque sérieux dans de nombreuses organisations industrielles, selon un nouveau rapport de la société de cybersécurité industrielle CyberX.(1) Certaines personnes peuvent encore dépendre du système d'exploitation sur disque (DOS), tandis que d'autres ont peut-être fait une transition partielle vers Windows 3.1, Windows 2000, Windows XP ou même une ancienne version de Linux.

DOS

MS-DOS (acronyme de Microsoft Disk Operating System, également connu sous le nom de Microsoft DOS) est un système d'exploitation pour les ordinateurs personnels compatibles x86 principalement développé par Microsoft. Collectivement, MS-DOS, sa requalification en IBM PC DOS, et quelques systèmes d'exploitation cherchant à être compatibles avec MS-DOS, sont parfois appelés "DOS" (qui est aussi l'acronyme générique de "système d'exploitation disque"). MS-DOS était le système d'exploitation principal pour les compatibles PC IBM pendant les années 1980, à partir de ce point, il a été progressivement remplacé par des systèmes d'exploitation offrant une interface utilisateur graphique (GUI), dans diverses générations du système d'exploitation graphique Microsoft Windows.

"Certains anciens systèmes matériels et logiciels peuvent encore s'appuyer sur MS-DOS pour fonctionner, notamment dans les systèmes industriels ou intégrés."

MS-DOS est très vulnérable pour plusieurs raisons, comme :

  • Il n'a aucun concept de comptes d'utilisateurs, de privilèges ou de contrôles d'accès.

  • Tout programme s'exécutant sous MS-DOS a un contrôle total sur le système entier, y compris la mémoire, les fichiers et le matériel

  • MS-DOS n'était pas à l'origine conçu pour les réseaux. Lorsque des fonctionnalités réseau ont été ajoutées par des extensions ou des outils tiers, aucun mécanisme de sécurité robuste (par exemple, cryptage, authentification) n'a été intégré donnant lieu à des risques d'écoute clandestine, d'accès non autorisé et d'attaques de l'homme au milieu.

  • Il est fortement susceptible aux virus et malwares, notamment aux virus de secteur d'amorçage et aux virus infectant les fichiers : Virus Michelangelo (secteur d'amorçage) et Virus Cascade (infection de fichiers) sont des exemples classiques.

  • Le système de fichiers d'allocation (FAT) utilisé par MS-DOS manque de quelconque fonctionnalité de sécurité, comme les autorisations de fichiers ou le cryptage. Tout utilisateur ou programme peut lire, modifier ou supprimer des fichiers sans restriction.

Windows XP

Windows XP est encore utilisé dans certains environnements industriels. Il a pris fin le 8 avril 2014 lorsque le support pour Windows XP a cessé. De plus, XP manque tout simplement de nombreuses fonctionnalités de sécurité qui rendent les versions plus récentes de Windows plus sûres. En fait, Windows 11 possède déjà quelques nouvelles fonctionnalités qui rendent théoriquement le système plus sûr que Windows 10, et nous parlons de 20 ans de changements entre Windows 11 et Windows XP.

Par exemple, la plupart des systèmes d'exploitation utilisent des techniques comme la randomisation de la disposition de l'espace d'adressage (ASLR) et la prévention de l'exécution de données (DEP) pour se protéger contre les attaques basées sur la mémoire. ASLR randomise les adresses mémoire utilisées par les processus système et application, rendant plus difficile pour les attaquants de prédire où leur code malveillant sera exécuté. DEP, d'autre part, empêche le code de s'exécuter dans les zones de mémoire destinées à stocker des données, contrecarrant ainsi les tentatives d'exploiter les vulnérabilités. Windows XP n'avait jamais ASLR, et DEP n'a été ajouté qu'en SP2.

Pour aller plus loin, des fonctionnalités comme le Secure Boot, ajouté avec Windows 8 en 2011, garantissent que seul le logiciel vérifié par le micrologiciel du système est autorisé à s'exécuter lors du processus de démarrage. C'est autre chose qui manque visiblement à Windows XP. Windows XP, même en fin de vie, serait nettement plus sécurisé avec ces fonctionnalités présentes.(xda)

Dans Windows XP, les utilisateurs reçoivent par défaut un compte administrateur offrant un accès illimité aux fondations du système. Si le compte administrateur est compromis, il n'y a pas de limite au contrôle pouvant être exercé sur le PC. Windows XP Home Edition manque également de la capacité de gérer les politiques de sécurité et interdit l'accès à l'utilitaire Usagers et Groupes locaux. (wikipedia)

Beaucoup de CVE et tutoriels d'exploits sont présents sur Windows XP permettant l'exécution de code, débordement, fuite de mémoire...etc

Produits en fin de vie (EOL).

Dans une usine, certains appareils sont là depuis le début, cela peut être le cas pour les PLC/HMI, SCADA, HVAC, systèmes de contrôle d'éclairage, appareils réseau industriels comme les commutateurs ou les routeurs, systèmes robotiques, unités de puissance, imprimantes, CCTVs... Tout dans une usine peut devenir obsolète, créant des problèmes de sécurité et de cybersécurité ; même des éléments comme le HVAC ou les imprimantes peuvent avoir de terribles répercussions, comme la surchauffe des systèmes ou un mouvement latéral depuis les imprimantes affectant les systèmes.

**Le PLC-5 Allen-Bradley (Rockwell Automation)**

Ce PLC est un exemple parfait. C'était un modèle très populaire et largement utilisé dans l'industrie manufacturière, mais malheureusement, le modèle n'est plus maintenu, ce qui laisse place à des vulnérabilités persistantes dans les environnements qui l'utilisent encore. Les PLC de la famille Allen-Bradley PLC-5 utilisent le protocole DF1 Full Duplex.

Le protocole DF1 ne fournit pas de mécanismes de cryptage ou d'authentification, ce qui le rend vulnérable à l'accès non autorisé et à l'interception de données sur Internet.

Les vieux PLC et HMI, (pas nécessairement celui-ci), les informations d'identification par défaut sont faciles à trouver ou à forcer.

Si quelqu'un obtenait l'accès au PLC à distance ou physiquement, il lui serait facile de manipuler l'appareil pour lui donner les paramètres requis (s'ils ne sont pas déjà présents) pour les attaques. Exemple : la CVE-2012-4690 permet aux attaquants à distance de provoquer une dénégation de service via des messages qui modifient les bits de statut.

Vulnérabilités des imprimantes

Les imprimantes multifonctions (MFP) jouent un rôle fondamental dans les bureaux du monde entier.

Mais elles pourraient aussi être des portes d'entrée vers le réseau si elles ne sont pas suffisamment sécurisées ; il n'y a pas si longtemps, un hacker a attaqué 150 000 imprimantes laissées accidentellement accessibles via le web pour montrer ses compétences et sensibiliser sur la menace de l'accès à distance.

Cela pourrait être une porte d'entrée, mais aussi un moyen de simplement voler des informations sensibles qui ont été imprimées.

HVAC

Il y a eu plusieurs instances où les systèmes CVC (chauffage, ventilation et climatisation) ont été ciblés lors de cyberattaques, soulignant les vulnérabilités des infrastructures critiques dans les bâtiments et environnements industriels. Un article de HVAC&R News en Australie met en avant un rapport 2020 de Forescout dans lequel les systèmes CVC sont listés comme #2 sur la liste des 10 appareils IoT les plus risqués. La raison de cibler le CVC pourrait être : point d'accès, l'arrêter pour créer une surchauffe et un chaos supplémentaire lors d'une situation d'attaque…

Logiciels aussi

Il n'y a pas seulement le système d'exploitation et les appareils physiques qui peuvent ne pas être maintenus et vulnérables, mais aussi les logiciels.

C'est le cas par exemple du serveur ABB WebWare qui est une solution de supervision et gestion à distance qui ne sera pas corrigée même si elle permet d'exécuter du code malveillant à distance sur les ordinateurs exécutant l'application. (Sonatype).

Risque de cybersécurité lié à une conception d'infrastructure médiocre

Et pour terminer, nous allons parler du fait que la principale sécurité dans un réseau est le fait d'être plat ou d'avoir des points d'entrée facilement accessibles comme un WiFi public connecté au réseau interne ou pire. Réseau plat

Un réseau plat est un type d'architecture réseau ****où tous les appareils du centre de données peuvent se joindre ****sans avoir à passer par des appareils intermédiaires comme des routeurs. Dans un réseau plat, tous les appareils sont liés à un seul commutateur, ce qui signifie que tous les postes de travail connectés au réseau plat font partie du même segment de réseau. Étant donné que tous les appareils sont connectés à un seul commutateur, il devient l'une des conceptions de réseau les plus faciles à gérer. Il est également très économique.

Mais bien sûr, il pose des risques significatifs ! Un réseau plat manque généralement de frontières internes comme des sous-réseaux ou des VLANs. Alors que cette configuration est simple et facile à gérer, elle est vulnérable aux menaces de sécurité, y compris le mouvement latéral non restreint, qui peut exposer des données sensibles à travers tout le réseau.

Vous devez adopter un réseau segmenté et ajouter un contrôle d'accès strict ou votre réseau serait une cible facile pour tout attaquant.

Point d'entrée très facile

En outre, il serait terrible si vous aviez des points d'entrée comme des appareils accessibles via Internet ou un WiFi public lié à votre réseau interne (image dans le document PDF).

 

 

Mappage Mitre ATT&CK et chaîne cyber kill

TactiqueTechniqueNom de la techniqueContexteAccès InitialT0883Appareil accessible via InternetDes appareils comme des imprimantes, CCTV, ou HMI qui sont accessibles depuis Internet constituent un défaut terrible qui peut permettre à un attaquant d'accéder à tout votre réseau s'il est plat et non protégé.Accès InitialT0819Exploiter une application accessible au publicMême ici, si un appareil a des ports et services ouverts que peut exploiter un attaquant pour se déplacer dans le réseau ICS, c’est critique.Accès InitialT0817Compromission par passageDisposition des appareils hérités ou systèmes avec des connexions ouvertes non sécurisées (par exemple, appareils accessibles via Internet ou imprimantes) pourrait être exploité.Accès InitialT0847Réplication par médias amoviblesLes appareils anciens et non corrigés tels que PLC ou ordinateurs avec un ancien OS sont plus vulnérables à une attaque utilisant USB (par exemple) pour accéder au réseau.Accès InitialT0848Maître furinLes systèmes hérités qui utilisent des protocoles de communication non sécurisés comme Modbus ou DNP3, ou des systèmes avec des informations d'identification par défaut, peuvent permettre un accès non autorisé ou une manipulation des processus système (par exemple, manipulation PLC ou SCADA).Élévation de PrivilègesT0890Exploitation pour élévation de privilègesDes adversaires peuvent exploiter des vulnérabilités logicielles pour tenter d'élever des privilèges. Un maître furin dans un système pourrait exécuter des commandes ou manipuler le flux opérationnel en exploitant des techniques d'élévation de privilèges.Accès Initial / Mouvement LatéralT0866Exploitation des services à distanceLes vulnérabilités dans les protocoles obsolètes ou les systèmes qui ne supportent pas le cryptage ou l'authentification peuvent conduire à l'exploitation des services à distance.Mouvement Latéral / PersistanceT0812 / T0891Informations d'identification par défaut / Informations d'identification codées en durLes vieux PLC et appareils ont plus de chances d'avoir des identifiants par défaut inchangés ou de venir avec des informations d'identification codées en dur souvent jamais mises à jour, permettant aux attaquants de contourner la sécurité.Accès aux informations d'identificationT1110Force bruteLes anciens appareils sont plus susceptibles d'être vulnérables à la technique de la force brute pour obtenir des informations d'identification.Découverte / CollecteT0842 / T0830Sniffing du Réseau / Adversaire entre les lignesLes protocoles de communication non encryptés sont vulnérables au sniffing du réseau et aux attaques MitM.Inhibition de Fonction de RéponseT0814Déni de ServiceLes vulnérabilités dans les protocoles de communication, appareils, ou services pourraient permettre aux attaquants de lancer des attaques par déni de service, interrompant les opérations industrielles.

Atténuations

  • Mettre à jour et moderniser

    Priorisez la modernisation de vos systèmes, même si cela est difficile. Bien que cela puisse sembler une tâche ardue, allouer du temps et des ressources pour mettre à jour les politiques de sécurité et moderniser les appareils est bien plus gérable que de se remettre d'une attaque par ransomware. Avec le coût moyen de récupération ransomware atteignant près de 2 millions de dollars, les mesures proactives sont un investissement critique.

  • Ségrégation réseau

    La pierre angulaire de la sécurisation des environnements industriels est de ne pas adopter une conception de réseau plat. Une segmentation efficace nécessite d'isoler les actifs critiques au niveau 3 avec des réseaux routés plutôt que de se fier aux VLANs, qui peuvent créer un faux sentiment de sécurité, ajouter une complexité inutile et souvent ne pas empêcher le mouvement latéral en raison du routage inter-VLAN. Les protocoles comme 802.1x, bien que largement connus, sont coûteux à implémenter et maintenir et peuvent ne pas fournir une sécurité moderne suffisante. La véritable segmentation devrait créer des environnements sécurisés et isolés pour les systèmes critiques, avec un accès contrôlé.

  • Réaliser des audits

    Utilisez des cadres industriels tels que ISO 27001, NIS2, et NIST 800 pour évaluer la position de sécurité de votre organisation par rapport aux normes établies. Utilisez ces évaluations pour créer des plans d'action visant à renforcer les défenses. Si votre organisation manque d'expertise en cybersécurité interne, envisagez de faire appel à des services externes pour réaliser des audits complets.

En quoi Trout et SecurityHub peuvent vous aider

  • LAN Démilitarisé (réseaux définis par logiciel Air-Gap) : Les produits Trout permettent de créer des segments de réseau isolés et sécurisés pour protéger l'infrastructure critique.

  • Surveillance complète du réseau : SecurityHub fournit des outils avancés pour surveiller et identifier les tentatives d'accès malveillants en temps réel.

  • Règles de comportement des menaces : Utilisez des règles intégrées pour détecter et atténuer les menaces connues basées sur des modèles comportementaux.

  • Pratiques exemplaires guidées : SecurityHub offre des playbooks dédiés pour aider à maintenir des protocoles de sécurité solides et rester aligné avec les normes de l'industrie.

En résumé

Le paysage des vulnérabilités dans les systèmes de contrôle industriel (ICS) et les technologies opérationnelles (OT) souligne la nécessité critique de mesures de cybersécurité proactive. Des protocoles obsolètes et appareils en fin de vie à une mauvaise conception de réseau, ces vulnérabilités représentent des risques significatifs pour les opérations, la sécurité et l'intégrité des données.

Répondre à ces défis nécessite une approche multifacette : mise à jour des systèmes hérités, implémentation d'une segmentation réseau robuste, réalisation d'audits de sécurité réguliers, et adoption de solutions de sécurité tournées vers l'avenir. Bien que moderniser des systèmes de plusieurs décennies soit un processus complexe et gourmand en ressources, le coût de l'inaction - qu'il s'agisse de temps d'inactivité, d'incidents de sécurité ou d'attaques par ransomware - est bien plus grand.

Protéger l'avenir des opérations industrielles commence par sécuriser les systèmes d'aujourd'hui. Construisons ensemble une base plus sûre et plus résiliente.

Autres livres blancs de Trout

RAPPORT SUR LE MALWARE FROSTYGOOP : UNE ANALYSE COMPARATIVE