Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Global Security Mag : Le Magazine Trimestriel sur la Sécurité, le stockage, la dématérialisation...

Global Security Mag est un magazine trimestriel sur le thème de la sécurité logique et physique publié et diffusé à 5.000 exemplaires.
Notre revue est une source d’information indispensable à tous les acteurs de la filière sécurité. Elle est destinée à tous les professionnels de la sécurité informatique et physique : RSSI, Risk Manager, DSI, Administrateurs Réseaux, etc. dans les entreprises et administrations de toute taille...
Notre publication propose un résumé de tous les articles en anglais.
Le magazine est aussi diffusé en version PDF.

Contactez-nous

Kaspersky révèle les principaux facteurs à l’origine des attaques APT prenant pour cible le secteur industriel

mai 2023 par Kaspersky

Parmi les facteurs clés qui contribuent au succès des opérations des menaces persistantes avancées (APT) à l’intérieur des réseaux des organisations visées, on retrouve, entre autres, le facteur humain, l’insuffisance des mesures de sécurité mises en place, ou encore les difficultés liées aux mises à jour et à la configuration des solutions de cybersécurité. Bien que certaines de ces raisons puissent sembler triviales, elles sont fréquemment identifiées par les experts de Kaspersky comme cause des incidents auxquels ils tentent de répondre. Afin d’aider les entreprises à réduire les menaces liées aux APT et à garantir la mise en œuvre de bonnes pratiques éprouvées, les experts de Kaspersky ICS CERT ont dressé une liste des problèmes les plus souvent rencontrés.

Manque de cloisonnement du réseau OT
Au cours de leurs enquêtes sur les incidents, les experts de Kaspersky ont été témoins de cas où il y avait des problèmes pour garder le réseau de technologies opérationnelles (OT) cloisonné et sécurisé. Par exemple, des machines telles que des postes de travail d’ingénierie professionnels sont connectées à la fois au réseau informatique classique et au réseau OT.
« Dans les situations dans lesquelles l’isolation du réseau OT repose uniquement sur la configuration de l’équipement réseau, les attaquants expérimentés peuvent toujours reconfigurer cet équipement à leur avantage », ont déclaré les experts de réponse aux urgences cyber pour les systèmes de contrôle industriels chez Kaspersky. « Par exemple, ils peuvent les transformer en serveurs proxy pour piloter le trafic de logiciels malveillants ou même les utiliser pour stocker et diffuser ces programmes sur des réseaux que l’on croyait isolés. Nous avons été témoins de telles activités malveillantes à de multiples occasions ».

Le facteur humain, moteur essentiel des activités cybercriminelles
Les mesures de sécurité de base sont souvent négligées lorsqu’il s’agit d’accorder l’accès aux réseaux OT à des employés ou à des sous-traitants. Les outils d’administration à distance tels que TeamViewer ou Anydesk, initialement mis en place de manière temporaire, peuvent rester actifs sans que l’on s’en aperçoive. Cependant, il est essentiel de se rappeler que ces canaux sont facilement exploités par les attaquants. En 2023, Kaspersky a enquêté sur un incident au cours duquel un entrepreneur a tenté un sabotage en profitant d’un accès à distance au réseau ICS qui lui avait été légitimement accordé plusieurs années auparavant.
Cette histoire démontre l’importance de prendre en compte le facteur humain, car tout employé potentiellement mécontent peut être motivé par son évaluation annuelle, ses revenus ou des raisons politiques, ce qui peut l’amener à s’engager dans des actions cybercriminelles. Pour faire face à de tels risques, une solution possible peut être la confiance zéro, un concept supposant que ni l’utilisateur, ni l’appareil, ni l’application utilisée dans le système ne sont dignes de confiance. Contrairement à d’autres solutions Zero Trust, Kaspersky étend cette approche jusqu’au système d’exploitation avec ses solutions basées sur KasperskyOS.

Une protection insuffisante des actifs informatiques
En analysant les incidents de leurs clients, les experts de Kaspersky ont découvert des bases de données de solutions de sécurité obsolètes, des clés de licence manquantes, des suppressions de clés à l’initiative de l’utilisateur, des composants de sécurité désactivés et des exceptions excessives concernant les paramètres d’analyse et de protection. Tous ces éléments contribuent à la propagation de logiciels malveillants.
Par exemple, si vos bases de données ne sont pas à jour et qu’une solution de sécurité ne peut pas être mise à niveau automatiquement, cela peut permettre aux menaces avancées de se propager rapidement et facilement, comme c’est le cas avec les attaques APT, où les acteurs sophistiqués sont discrets et évitent d’être détectés.

Configurations non sécurisées des solutions de sécurité
Quand on installe une solution de sécurité, il est essentiel de la configurer correctement pour éviter qu’elle ne soit désactivée ou même utilisée de manière abusive, une tactique souvent employée par les groupes et acteurs APT. Ils peuvent subtiliser des informations sur le réseau des victimes stockées dans la solution de sécurité pour pénétrer dans d’autres parties du système, ou se déplacer latéralement, en utilisant le langage informatique professionnel.
En 2022, Kaspersky ICS CERT a remarqué une nouvelle tendance dans les tactiques APT, rendant la question de la configuration des solutions encore plus vitale. Par exemple, lorsqu’ils cherchent des moyens de se déplacer latéralement, les attaquants ne s’arrêtent plus au détournement de systèmes informatiques critiques, comme les contrôleurs de domaine. Ils passent à la cible suivante : les serveurs d’administration des solutions de sécurité. Les objectifs peuvent varier, allant de l’inscription du logiciel malveillant sur une liste de programmes qui ne seront pas surveillés par le système, à l’utilisation d’outils pour propager le malware dans d’autres systèmes, même ceux qui sont censés être complètement séparés du réseau infecté.

L’absence de protection numérique dans les réseaux OT
Bien qu’il soit sans doute difficile de le croire, les solutions de cybersécurité ne sont parfois pas du tout installées sur de nombreux terminaux de nombreux réseaux OT. Même si le réseau OT est bien séparé des autres réseaux et n’est pas connecté à l’internet, les attaquants ont toujours des moyens d’y accéder. Par exemple, ils peuvent créer des versions spéciales de logiciels malveillants, distribuées via des lecteurs amovibles, comme des clés USB.
Des défis liés aux mises à jour de sécurité pour les postes de travail et les serveurs
Les systèmes de contrôle industriel ont un mode de fonctionnement unique, où même des tâches simples comme l’installation de mises à jour de sécurité sur les postes de travail et les serveurs nécessitent des tests minutieux. Ces tests ont souvent lieu pendant les périodes de maintenance programmée, ce qui rend les mises à jour peu fréquentes. Les acteurs de la menace ont ainsi tout le temps d’exploiter les vulnérabilités connues et de mener à bien leurs attaques.
« Dans certains cas, la mise à jour du système d’exploitation du serveur peut nécessiter la mise à jour d’un logiciel spécialisé (comme le serveur SCADA), qui à son tour nécessite la mise à niveau de l’équipement, ce qui peut s’avérer trop coûteux. Par conséquent, on trouve des systèmes obsolètes sur les réseaux de systèmes de contrôle industriels », ajoutent les experts. « Il est surprenant de constater que même les systèmes connectés dans les entreprises industrielles, qui peuvent être relativement faciles à mettre à jour, peuvent rester vulnérables pendant une longue période. Cela expose la technologie opérationnelle (OT) à des attaques et à des risques sérieux, comme l’ont montré des scénarios d’attaque réels. »
D’autres conseils sont publiés sur le blog de Kaspersky ICS CERT, relatifs à la configuration et aux paramètres des solutions de sécurité, à l’isolation du réseau OT, à la protection des systèmes, à l’exécution de systèmes d’exploitation, de logiciels d’application et de microprogrammes d’appareils obsolètes.

Les experts de Kaspersky recommandent de protéger votre organisation contre les menaces en question :
• Si une entreprise dispose de technologie opérationnelle (OT) ou d’une infrastructure critique, il faut s’assurer que ces dernières sont bien séparées du réseau de l’entreprise ou au moins qu’il n’y a pas de connexions non autorisées.
• Effectuez régulièrement des audits de sécurité des systèmes OT afin d’identifier et d’éliminer les éventuelles vulnérabilités.
• Mettez en place un processus continu d’évaluation et de gestion des vulnérabilités.
• Utilisez des solutions de surveillance, d’analyse et de détection du trafic sur le réseau ICS pour une meilleure protection contre les attaques susceptibles de menacer les processus technologiques et les principaux actifs de l’entreprise.
• Veillez à protéger les terminaux industriels aussi bien que les terminaux de l’entreprise. La solution Kaspersky Industrial CyberSecurity comprend une protection dédiée aux terminaux et une surveillance du réseau pour révéler toute activité suspecte et potentiellement malveillante dans le réseau industriel.
• Pour avoir une vue d’ensemble plus réaliste des risques associés aux vulnérabilités des solutions OT et prendre des décisions éclairées pour les atténuer, nous vous recommandons d’accéder à Kaspersky ICS Vulnerability Intelligence, qui vous permet d’accéder à des renseignements sous la forme de rapports directement lisibles, ou de flux de données lisibles par la machine, en fonction de vos capacités techniques et de vos besoins.
• Il est crucial de former les équipes de sécurité informatique et les ingénieurs OT à la sécurité ICS pour améliorer la réponse aux techniques malveillantes nouvelles et avancées.


Voir les articles précédents

    

Voir les articles suivants