imswebs

Une enquête portant sur plus de 100 systèmes énergétiques révèle...

Cybersecurité

Une enquête portant sur plus de 100 systèmes énergétiques révèle des lacunes critiques dans la cybersécurité des technologies opérationnelles

1view
0

Une enquête portant sur plus de 100 systèmes énergétiques révèle des lacunes critiques dans la cybersécurité des technologies opérationnelles

Une étude d'OMICRON a révélé des lacunes généralisées en matière de cybersécurité dans les réseaux de technologie opérationnelle (OT) des sous-stations, des centrales électriques et des centres de contrôle du monde entier. S'appuyant sur les données de plus de 100 installations, l'analyse met en évidence des problèmes techniques, organisationnels et fonctionnels récurrents qui rendent les infrastructures énergétiques critiques vulnérables aux cybermenaces.

Les résultats sont basés sur plusieurs années de mise en œuvre du système de détection d'intrusion (IDS) StationGuard d'OMICRON dans les systèmes de protection, d'automatisation et de contrôle (PAC). La technologie, qui surveille passivement le trafic réseau, a fourni une visibilité approfondie sur les environnements OT du monde réel. Les résultats soulignent la surface d’attaque croissante des systèmes énergétiques et les défis auxquels les opérateurs sont confrontés pour protéger les infrastructures vieillissantes et les architectures de réseau complexes.

Connexion d'un IDS sur les systèmes PAC (les cercles indiquent les ports miroir)

Les déploiements StationGuard, souvent effectués lors d'évaluations de sécurité, ont révélé des vulnérabilités telles que des appareils non corrigés, des connexions externes non sécurisées, une faible segmentation du réseau et des inventaires d'actifs incomplets. Dans de nombreux cas, ces failles de sécurité ont été identifiées dans les 30 premières minutes suivant la connexion au réseau. Au-delà des risques de sécurité, les évaluations ont également révélé des problèmes opérationnels tels que des erreurs de configuration des VLAN, des erreurs de synchronisation temporelle et des problèmes de redondance du réseau.

Outre les lacunes techniques, les résultats mettent en évidence des facteurs organisationnels qui contribuent à ces risques, notamment des responsabilités peu claires en matière de sécurité des OT, des ressources limitées et des silos départementaux. Ces résultats reflètent une tendance croissante dans le secteur de l’énergie : les environnements IT et OT convergent rapidement, mais les mesures de sécurité ne parviennent souvent pas à suivre le rythme. Comment les services publics s’adaptent-ils à ces risques complexes et quelles lacunes subsistent qui pourraient exposer les systèmes critiques ?

Pourquoi les réseaux OT ont besoin d'une détection d'intrusion

La capacité à détecter les incidents de sécurité fait partie intégrante de la plupart des cadres et directives de sécurité, notamment le cadre de cybersécurité du NIST, la norme CEI 62443 et la série de normes ISO 27000. Dans les sous-stations, les systèmes de contrôle des centrales électriques et les centres de contrôle, de nombreux appareils fonctionnent sans système d'exploitation standard, ce qui rend impossible l'installation d'un logiciel de détection des points finaux. Dans de tels environnements, les capacités de détection doivent être mises en œuvre au niveau du réseau.

Les implémentations d'OMICRON StationGuard utilisent généralement des ports miroir réseau ou des TAP Ethernet pour surveiller passivement les communications. En plus de détecter les intrusions et les cybermenaces, la technologie IDS offre des avantages clés, notamment :

  • Visualisation de la communication réseau.
  • Identification des services inutiles et des connexions réseau à risque.
  • Création automatique d'inventaire des actifs
  • Détection des vulnérabilités des appareils sur la base de cet inventaire

Évaluation des risques : méthodologie derrière les résultats

Le rapport est basé sur des années d’installations IDS. La première installation remonte à 2018. Depuis, plusieurs centaines d'installations et d'évaluations de sécurité ont été réalisées dans des sous-stations, des centrales électriques et des centres de contrôle dans des dizaines de pays. Les résultats sont regroupés en trois catégories :

  1. Risques de sécurité technique
  2. Problèmes de sécurité organisationnelle
  3. Problèmes opérationnels et fonctionnels.

Dans la plupart des cas, des problèmes opérationnels et de sécurité critiques ont été détectés quelques minutes après la connexion de l'IDS au réseau.

Les capteurs étaient généralement connectés aux ports miroir des réseaux OT, souvent au niveau des passerelles et autres points d'entrée critiques du réseau, pour capturer les flux de communication clés. Dans de nombreuses sous-stations, la surveillance au niveau des baies n'était pas nécessaire, car la propagation multidiffusion rendait le trafic visible dans d'autres parties du réseau.

Appareils cachés et angles morts des actifs

Des inventaires précis des actifs sont essentiels à la protection des systèmes énergétiques complexes. La création et la maintenance manuelles de tels répertoires prennent du temps et sont sujettes aux erreurs. Pour résoudre ce problème, OMICRON a utilisé des méthodes passives et actives pour la découverte automatisée des actifs.

Identification passive des actifs Il est basé sur des fichiers de description de configuration système (SCD) existants, normalisés selon la norme CEI 61850-6, qui contiennent des informations détaillées sur les appareils. Cependant, dans de nombreux cas, la surveillance passive seule s'est avérée insuffisante, car les données essentielles telles que les versions du micrologiciel ne sont pas transmises dans le cadre d'une communication normale du PAC.

Requête d’informations sur l’appareil actif.D'autre part, il exploite le protocole MMS pour récupérer les données de la plaque signalétique telles que les noms des appareils, les fabricants, les numéros de modèle, les versions du micrologiciel et parfois même les identifiants du matériel. Cette combinaison de techniques passives et actives a fourni un inventaire complet des actifs dans toutes les installations.

Exemple d'informations sur l'appareil récupérables à l'aide de requêtes SCL et MMS actives

Quels sont les risques techniques de cybersécurité les plus courants ?

L'analyse d'OMICRON a identifié plusieurs problèmes techniques récurrents dans les réseaux OT énergétiques :

  • Appareils PAC vulnérables :

    De nombreux appareils PAC exécutaient un micrologiciel obsolète contenant des vulnérabilités connues. Un exemple notable est la vulnérabilité CVE-2015-5374, qui permet une attaque par déni de service sur les relais de protection avec un seul paquet UDP. Bien que des correctifs soient disponibles depuis 2015, de nombreux appareils ne le sont toujours pas. Des vulnérabilités similaires dans les implémentations GOOSE et les piles de protocoles MMS présentent des risques supplémentaires.

  • Connexions externes risquées :

    Des connexions TCP/IP externes non documentées ont été trouvées dans plusieurs installations, dépassant dans certains cas 50 connexions persistantes vers des adresses IP externes dans une seule sous-station.

  • Services inutiles et non sécurisés :

    Les résultats courants incluaient les services de partage de fichiers Windows (NetBIOS) inutilisés, les services IPv6, les services de gestion de licences exécutés avec des privilèges élevés et les fonctions de débogage d'automate non sécurisées.

  • Faible segmentation du réseau :

    De nombreuses installations fonctionnaient comme un seul grand réseau plat, permettant une communication sans restriction entre des centaines d'appareils. Dans certains cas, même les réseaux informatiques des bureaux étaient accessibles depuis des sous-stations distantes. Ces architectures augmentent considérablement le rayon d’impact des cyberincidents.

  • Appareils inattendus :

    Des caméras IP, des imprimantes et même des dispositifs d'automatisation non suivis sont fréquemment apparus sur les réseaux sans être documentés dans les inventaires d'actifs, créant ainsi de sérieux angles morts pour les défenseurs.

Le facteur humain : faiblesses organisationnelles de la sécurité des OT

Au-delà des défaillances techniques, OMICRON a également observé des défis organisationnels récurrents qui exacerbent les cyber-risques. Ceux-ci incluent :

  • Limites départementales entre les équipes IT et OT
  • Manque de personnel de sécurité dédié aux OT
  • Le manque de ressources limite la mise en œuvre des contrôles de sécurité.

Dans de nombreuses organisations, les services informatiques restent responsables de la sécurité de l'OT, un modèle qui a souvent du mal à répondre aux exigences uniques de l'infrastructure énergétique.

En cas d’échec des opérations : risques fonctionnels dans les sous-stations

Les déploiements IDS ont également révélé une variété de problèmes opérationnels sans rapport avec des cybermenaces directes, mais ayant néanmoins un impact sur la fiabilité du système. Les plus courants étaient :

  • Problèmes de VLAN étaient de loin les plus fréquents et impliquaient souvent un marquage VLAN incohérent des messages GOOSE sur le réseau.
  • Inadéquations entre RTU et SCD provoqué une rupture de communication entre les appareils, empêchant les mises à jour SCADA dans plusieurs cas.
  • Erreurs de synchronisation de l'heure Les problèmes allaient de simples erreurs de configuration à des appareils fonctionnant avec des fuseaux horaires incorrects ou des horodatages par défaut.
  • Problèmes de redondance du réseau L'implication de boucles RSTP et de puces de commutation mal configurées a provoqué une grave dégradation des performances dans certaines installations.

Ces faiblesses opérationnelles impactent non seulement la disponibilité mais peuvent également amplifier les conséquences des cyberincidents.

Messages d'alerte liés au suivi fonctionnel

Que peuvent apprendre les services publics de ces résultats ?

L'analyse de plus de 100 installations énergétiques met en évidence le besoin urgent de solutions de sécurité robustes conçues spécifiquement pour les défis uniques des environnements technologiques opérationnels.

Grâce à sa connaissance approfondie des protocoles et de la visibilité des actifs, le Poste de garde Solution Fournit aux équipes de sécurité la transparence et le contrôle nécessaires pour protéger les infrastructures critiques. Sa liste verte intégrée détecte même les écarts subtils par rapport au comportement attendu, tandis que sa détection basée sur les signatures identifie les menaces connues en temps réel.

La capacité du système à surveiller les protocoles informatiques et OT (y compris CEI 104, MMS, GOOSE et plus) permet aux services publics de détecter et de répondre aux menaces à chaque couche de leur réseau de sous-stations. Combiné à des fonctionnalités telles que les inventaires automatisés des actifs, le contrôle d'accès basé sur les rôles et l'intégration transparente dans les flux de travail de sécurité existants, Poste de garde permet aux organisations de renforcer leur résilience sans perturber leurs opérations.

Pour en savoir plus sur la manière Poste de garde aide les services publics à combler ces failles de sécurité critiques, visitez notre site Web.

Solution StationGuard
Avez-vous trouvé cet article intéressant ? Cet article est une contribution de l’un de nos précieux partenaires. Suivez-nous sur Google Actualités, Gazouillement et LinkedIn pour lire davantage de contenu exclusif que nous publions.



Source link

, , , , , , , , , , , , , ,

Like it? Share with your friends!

0

Posted by

log in

Captcha!
Forgot password?

forgot password

Back to
log in