Selon une étude menée par le SANS Institute et sponsorisée par Nozomi Networks, 35% de technologies opérationnelles (OT) et de vulnérabilités des systèmes de contrôle industriel ont été le vecteur d'attaque initial pour les compromissions de postes de travail d'ingénierie parmi les entreprises interrogées au niveau mondial cette année, soit le double par rapport à la même période de l'année dernière. Ventilateur.
Alors que le nombre de personnes interrogées déclarant que leurs systèmes OT/ICS ont été violés au cours des 12 derniers mois est tombé à 10,5% (contre 15% en 2021), un tiers des personnes interrogées ont déclaré qu'elles ne savaient pas si leur système avait été violé.
Pour l'enquête SANS ICS/OT 2022, 332 réponses ont été reçues, représentant les secteurs verticaux de l'énergie, des produits chimiques, de la fabrication critique, du nucléaire, de la gestion de l'eau et d'autres industries.
Défis en matière de sécurité des systèmes de contrôle
Parmi les principaux défis liés à la sécurisation des technologies et des processus ICS/OT, on peut citer l'intégration de systèmes OT anciens et vieillissants dans des systèmes informatiques modernes, des technologies de sécurité informatique anciennes qui ne sont pas conçues pour les systèmes de contrôle, ce qui perturbe l'environnement OT, ainsi qu'un manque de compréhension des exigences opérationnelles en matière d'OT.
0 secondes de 28 secondesVolume 0%
Les services aux entreprises, les soins de santé et la santé publique, ainsi que les installations commerciales sont les trois secteurs les plus susceptibles, selon les personnes interrogées, de mettre en œuvre avec succès des compromis ICS qui auront un impact sur la sécurité et la fiabilité des opérations cette année.
Lorsqu'on leur a demandé quels composants ICS étaient considérés comme ayant le plus grand impact sur l'entreprise, la majorité des répondants (51%) ont indiqué les postes de travail d'ingénierie, les ordinateurs portables d'instrumentation et l'équipement d'étalonnage/de test. La majorité des répondants (54%) ont également déclaré que les postes de travail techniques, les ordinateurs portables et l'équipement d'essai sont les composants du système les plus vulnérables aux menaces.
L'étude note que les postes de travail des ingénieurs, y compris les ordinateurs portables mobiles utilisés pour la maintenance des équipements des installations, sont équipés de logiciels de systèmes de contrôle utilisés pour programmer ou modifier les paramètres ou les configurations des contrôleurs logiques et d'autres dispositifs sur le terrain. Contrairement aux technologies de l'information traditionnelles, les systèmes ICS/OT contrôlent et gèrent des données qui changent en temps réel dans le monde réel par le biais d'entrées physiques et d'actions physiques contrôlées.
Les systèmes informatiques sont le principal vecteur d'attaque pour les systèmes OT/ICS
Although attacks on engineering workstations have doubled in the past year, they rank only in third place as an initial attack vector against OT/ICS systems. The primary attack vector for OT/ICS systems involves IT, with 41% of companies reporting that IT vulnerabilities were the cause of eventual compromise of their OT/ICS systems.
Le deuxième vecteur d'attaque le plus important est constitué par les supports amovibles tels que les USB et les disques durs externes. Pour éviter cette menace, 83% des personnes interrogées ont mis en place des politiques formelles pour gérer les dispositifs temporaires, et 76% utilisent une technologie de détection des menaces pour gérer ces dispositifs. En outre, 70% utilisent des outils commerciaux de détection des menaces, 49% utilisent des solutions maison et 23% ont déployé une détection ad hoc des menaces pour gérer ce risque.
“Engineered systems, while not equipped with traditional anti-malware agents, can be protected through network-based ICS-aware detection systems and industrial-based network architecture practices,” the report states. “Additionally, log capture or log forwarding and regular controller configuration verification as part of ongoing engineering maintenance tasks for field devices are viable ways to begin protecting these assets.”
The report shows that ICS security is maturing. “The ICS threat intelligence market has come a long way in 12 months. More facilities are using threat intelligence from vendors to take more immediate and actionable defensive measures. With a majority of 2021 respondents Differently, 2022 respondents no longer rely solely on publicly available threat intel,” according to the report authored by Dean Parsons. “This signals an increase in maturity and awareness of the value of ICS vendor-specific threat intelligence, as well as budget allocation to improve proactive defenses in this area.”
Les systèmes industriels ont leurs propres budgets de sécurité
More organizations are getting ICS-specific security budgets, and by 2022, only 8% of facilities will have no security budget, the report said. Twenty-seven percent of organizations have budget allocations between US$100,000 and US$499,999, and 25% have budgets between US$500,000 and US$999,999.
Au cours des 18 prochains mois, les organisations affecteront ces budgets à diverses initiatives, notamment à des plans visant à accroître la visibilité des actifs du réseau et de leurs configurations (42%) et à la mise en œuvre d'outils de détection des anomalies et des intrusions basés sur le réseau (34%). Les outils de prévention des intrusions sur les réseaux des systèmes de contrôle font également l'objet d'une attention particulière (26%).
Près de 80% des répondants ont déclaré qu'ils ont maintenant des rôles qui mettent l'accent sur les opérations ICS, contre seulement environ 50% ayant de tels rôles spécifiques en 2021. Cependant, les organisations ont déclaré que même si ces domaines ont des tâches, des compétences requises et des impacts différents lors d'incidents de sécurité, il y a toujours une convergence des responsabilités.
Près de 60% des répondants à l'enquête utilisent la surveillance passive, les renifleurs de réseau étant la principale méthode de détection des vulnérabilités matérielles et logicielles. La deuxième méthode la plus courante est l'analyse proactive et continue des vulnérabilités.
La troisième méthode la plus courante consiste à comparer le programme de configuration et de logique de contrôle à une version connue de la logique.
