News
Armis identifie les dispositifs OT et ICS les plus risqués des secteurs à infrastructure critique
juin 2023 par Armis
Armis publie une nouvelle étude identifiant les dispositifs les plus risqués pour les secteurs à infrastructure critique : industrie, services publics et transport. Les données analysées à partir de la plateforme Armis Asset Intelligence and Security, qui suit plus de trois milliards d’actifs, ont permis d’identifier les dispositifs OT (Operational Technology) et ICS (Industrial Control Systems) présentant le plus de risques pour ces secteurs d’activité. Il s’agit des postes de travail techniques, des serveurs SCADA, des serveurs d’automatisation, des systèmes d’historiques et des contrôleurs logiques programmables (PLC).
La gestion des priorités et des vulnérabilités reste un problème
Selon l’étude d’Armis, parmi les dispositifs OT, les postes de travail techniques ont fait l’objet du plus grand nombre de tentatives d’attaque au cours des deux derniers mois, suivis par les serveurs SCADA. 56 % des postes de travail techniques présentent au moins une vulnérabilité CVE (Common Vulnerabilitie and Exposure) de gravité critique non corrigée. 16 % présentent une CVE publiée il y a plus de 18 mois et ayant déjà fait d’un détournement (weaponized CVE).
Les alimentations sans interruption (ASI) arrivent en troisième position parmi les types d’appareils ayant subi le plus de tentatives d’attaques au cours des deux derniers mois. Ces dispositifs sont essentiels pour la continuité en cas de coupure de courant. Or les données obtenues montrent que 60 % des ASI comportent au moins une CVE de gravité critique non corrigée. Une telle situation, comme l’a montré TLStorm, pourrait amener des criminels à endommager les appareils eux-mêmes ou les actifs qui y sont connectés.
Les contrôleurs logiques programmables (PLC) sont un autre exemple. 41 % d’entre eux présentent au moins une CVE de gravité critique non corrigée. Ces dispositifs anciens sont d’une grande importance. S’ils sont attaqués, ils pourraient entraîner l’interruption des opérations centrales. Or l’étude d’Armis montre qu’ils pourraient être exposés à des facteurs de risque élevés, notamment du fait de matériel et de microprogrammes en fin de vie.
D’autres dispositifs constituent un risque pour la fabrication, les transports et les services publics, car ils présentent au moins une CVE publiée avant janvier 2022 et ayant déjà fait l’objet d’un détournement (weaponized CVE). Il s’agit des lecteurs de codes-barres (85 %), des commutateurs industriels gérés (32 %), des caméras IP (28 %) et des imprimantes (10 %).
Les industries OT se caractérisent par la multiplicité de leurs sites, par des lignes de production et de distribution complexes, avec sur leurs réseaux, un grand nombre d’appareils gérés et non gérés. Dans ce contexte, il est très difficile de comprendre l’origine du risque et la nécessité d’y remédier, ce qui pose problème pour la gestion des vulnérabilités.
« Dans un environnement ICS, il est assez courant d’avoir des dispositifs vulnérables. Les professionnels ont donc besoin de savoir quels actifs se trouvent sur leur réseau et ce que font réellement ces actifs », explique Nadir Izrael, CTO et cofondateur d’Armis. « Avec des données contextuelles, les équipes peuvent définir le risque de chaque appareil pour l’environnement OT. Elles peuvent prioriser la correction des vulnérabilités, qu’il s’agisse de vulnérabilités critiques et/ou déjà exploitées, afin de réduire rapidement la surface d’attaque. »
Collaboration nécessaire entre les équipes OT et IT
Les industries OT ont considérablement évolué ces dernières années en raison de la convergence de la technologie opérationnelle (OT) et de la technologie de l’information (IT). Cet alignement est à l’origine d’une nouvelle phase de l’ère industrielle qui va permettre la collaboration entre ces deux domaines. Toutefois, dans la pratique, leur gestion unifiée reste à mettre en place. Les équipes OT se concentrent sur la maintenance des systèmes de contrôle industriel, sur l’atténuation des risques liés à la technologie opérationnelle et sur l’intégrité globale des environnements opérationnels. Absorbées par ces différentes tâches, elles ont laissé de côté les tâches davantage axées sur l’IT.
Quatre des cinq appareils les plus risqués fonctionnent notamment avec des systèmes d’exploitation Windows. Ce choix montre, de la part des équipes IT et OT, un manque de compréhension élémentaire des risques liés aux actifs et de leur sécurisation.
Armis a examiné les types d’appareils concernés et constaté que nombre d’entre eux sont davantage exposés aux activités malveillantes parce qu’ils utilisent le protocole SMBv.1, des systèmes d’exploitation en fin de vie et de nombreux ports ouverts. SMBv.1 est un protocole ancien, non chiffré et complexe, dont les vulnérabilités ont été ciblées dans les attaques tristement célèbres de Wannacry et NotPetya. Les experts en sécurité ont déjà conseillé aux organisations de cesser de l’utiliser, mais selon les données récentes, ce protocole est toujours très présent sur le terrain.
« D’un point de vue organisationnel », poursuit Nadir Izrael, « une approche de la gestion des vulnérabilités basée sur les risques doit aller de pair avec une collaboration entre les départements OT et IT afin de coordonner les efforts d’atténuation ». « Les projets regroupant ces deux équipes permettront de rationaliser la gestion des processus et des ressources et d’améliorer la conformité et la sécurité des données. Globalement, pour relever les défis de la nouvelle ère industrielle, les professionnels de la sécurité ont besoin d’une solution de sécurité assurant la convergence IT/OT et capable de protéger tous les actifs connectés au réseau. »
La plateforme Armis Unified Asset Intelligence découvre tous les actifs connectés, cartographie leurs communications et leurs relations et ajoute des informations qui permettent de comprendre leur contexte et le risque éventuel pour l’entreprise. Cette plateforme est conçue pour protéger les environnements OT et IT et peut recevoir des signaux significatifs provenant de centaines de plateformes IT et OT. Le moteur de détection des menaces d’Armis utilise le machine learning et l’intelligence artificielle pour détecter l’écart de fonctionnement d’un appareil par rapport à une référence établie. Il déclenche alors une réponse automatisée, ce qui simplifie la gestion de la surface d’attaque globale.
Armis a été reconnu par ISG comme un leader de la sécurité OT pour la troisième année consécutive dans son rapport de 2022 « ISG Provider Manufacturing Security Services : OT Security Solutions ». Armis a en outre été nommé « Representative Vendor » pour la troisième année consécutive dans le « Market Guide for Operational Technology Security » de Gartner.
Méthodologie
Armis a calculé le risque lié aux appareils en examinant tous les appareils sur sa plateforme Armis Asset Intelligence and Security. Cet examen a permis d’identifier les types d’appareils présentant le facteur de risque le plus élevé et/ou les CVE les plus critiques. Le niveau d’impact sur l’entreprise et la protection des points de terminaison ont également été pris en compte.
