Dans la première partie de cet article, nous avons présenté un système de détection d’intrusion en réseau (NIDS) en tant que solution pour atténuer les attaques par rançongiciel sur les technologies opérationnelles (OT). Examinons de plus près son fonctionnement.
En règle générale : Un NIDS ne remplace pas les outils de cybersécurité standard tels que les pare-feu, l’authentification, les VPN et la segmentation réseau. Ces mesures standard détectent et bloquent de manière fiable la majorité des attaques tant qu’elles sont basées sur une signature et incluses dans la bibliothèque de l’outil. Un NIDS intervient en cas d’attaques qui ne sont pas documentées dans les bibliothèques de signatures des outils standard, et qui ne sont donc pas détectées par ces derniers. Il peut s’agir d’attaques recourant à de nouvelles techniques d’infiltration telles que les failles zero-day ou à d’autres techniques comme le spear phishing (attaque par hameçonnage ciblé) qui échappent aux mesures d’atténuation classiques comme l’authentification et les filtres pare-feu. Compte tenu de la grande vulnérabilité des composants et systèmes OT ainsi que de l’évolution rapide du paysage des menaces, tel que décrit ci-dessus, ce complément revêt une importance croissante pour la sécurité OT.
Un NIDS tel que Rhebo Industrial Protector de la société L+G Rhebo permet une surveillance OT avec détection d’anomalies qui analyse toutes les communications OT et signale toutes les activités sortant du cadre des communications OT déterminismes et autorisées. Il fournit une deuxième ligne de défense aux responsables de la sécurité pour détecter les attaques qui ont déjà pénétré le réseau et qui s’y frayent progressivement un chemin.
Détecter les activités préparatoires pour empêcher le chiffrement
Parmi les exemples réels populaires illustrant ce type de cyberincidents, figurent la campagne de rançongiciels WannaCry en 2017, qui a exploité la faille de sécurité EternalBlue de l’époque, et l’affaire Colonial Pipeline en 2021, au cours de laquelle les auteurs de l’attaque ont utilisé un mot de passe VPN volé. Dans les deux cas, les pare-feu et les mesures d’authentification ont été dépassés. Même si les deux attaques ciblaient l’informatique, elles ont toutes deux entraîné des répercussions très négatives sur les processus industriels de certaines entreprises en raison du lien entre l’IT et l’OT.
WannaCry
Avant que l’attaque WannaCry ne paralyse les opérations de milliers d’entreprises à travers le monde, elle avait déjà laissé une trace de communication préparatoire dans les réseaux. En effet, dès qu’il infecte la première machine, Wannacry tente de contacter un domaine kill switch, puis commence à scanner le réseau local et des adresses Internet aléatoires. Les systèmes Windows, désormais courants même dans les environnements OT, seraient également concernés.
Une surveillance réseau avec détection d’anomalies aurait détecté le balayage des terminaux via le port 445 grâce au protocole SMB ainsi qu’un TCP incomplet. En outre, avant d’être déclenché, WannaCry communique généralement avec le domaine kill switch en dehors du réseau de l’entreprise. Cette connexion et les communications suivantes auraient été signalées comme une anomalie dans la structure de communication OT de référence. La réponse aurait été accélérée pour réduire l’impact.
Incident Colonial Pipeline
Avant que les auteurs de l’attaque chiffrent les serveurs de Colonial Pipeline et interrompent le principal pipeline de l’entreprise, ces derniers avaient déjà laissé plusieurs empreintes dans le réseau. Dans un premier temps, un transfert de données de 100 Go a été effectué vers une adresse IP inconnue. Ensuite, une connexion VPN à partir d’une adresse IP externe inconnue a été détectée. Dans un réseau OT, de telles activités auraient immédiatement été signalées comme des anomalies par un système de surveillance OT avec détection d’anomalies accordant aux responsables de la sécurité un délai pour empêcher toute nouvelle activité malveillante.
Dans le cas de Colonial Pipeline, seul l’IT a été directement touché. La situation a toutefois incité l’entreprise à interrompre ses systèmes OT pour empêcher toute propagation du rançongiciel. Bien qu’il s’agisse d’une mesure sensée, cette décision a entraîné une importante pénurie de pétrole et de gaz, ainsi qu’une perte de revenus. En mettant en place une surveillance OT avec détection d’anomalies, l’entreprise aurait été en mesure de recouper rapidement ses réseaux OT pour détecter toute activité indiquant une activité malveillante. Cette mesure aurait permis aux opérateurs de sécurité de savoir avec certitude si l’OT était infecté ou non, et leur aurait permis de décider des opérations d’OT en se basant sur des faits et non sur des hypothèses.
Assurez la sécurité de votre OT
La détection en temps réel de toute activité malveillante dans les systèmes OT et la possibilité d’évaluer rapidement le risque que représente une attaque informatique par rançongiciel pour les systèmes OT peuvent permettre d’éviter une interruption d’activité chez les distributeurs d’énergie. En juin 2022, la société allemande Entega a été victime d’une attaque par rançongiciel. Sa filiale, la société de services publics e-netz Südhessen, risquait un débordement qui aurait affecté l’approvisionnement en énergie d’un million de personnes. Le distributeur d’énergie a immédiatement demandé à la société L+G Rhebo de réaliser une évaluation de la sécurité industrielle Rhebo comprenant l’analyse des communications OT du mois précédant. Le responsable de la sécurité d’e-netz a pu être rassuré dans les 24 heures qui ont suivi. L’OT n’a montré aucune trace du rançongiciel ni aucun signe d’activité malveillante pouvant être associée à l’attaque.
Cependant, l’évaluation a tout de même révélé quelques vulnérabilités et risques que le responsable de la sécurité a pu atténuer dans la foulée.
Il a ainsi pu éviter l’interruption des activités, assurer l’approvisionnement en énergie et accroître la cyber-résilience des processus industriels de l’entreprise de distribution d’énergie.