Nouvelles Du Monde

La NSA et la CISA expliquent comment les acteurs de la menace planifient et exécutent des attaques sur les ICS/OT

La NSA et la CISA expliquent comment les acteurs de la menace planifient et exécutent des attaques sur les ICS/OT

Les agences gouvernementales américaines ont partagé une nouvelle ressource de cybersécurité qui peut aider les organisations à défendre les systèmes de contrôle critiques contre les acteurs de la menace.

Les systèmes de contrôle industriels (ICS) et d’autres systèmes de technologie opérationnelle (OT) peuvent être une cible tentante pour les acteurs de la menace parrainés par l’État, les cybercriminels à but lucratif et les hacktivistes. Ces appareils sont souvent laissés sans protection et leur piratage peut avoir de graves conséquences, notamment des dommages physiques et des pertes de vie.

La NSA et la Cybersecurity and Infrastructure Security Agency (CISA) du DHS ont publié des ressources pour aider les organisations potentiellement ciblées à faire face aux vulnérabilités qui les exposent à de telles attaques, et les deux agences ont maintenant publié un autre avis, l’un portant sur la façon dont les acteurs de la menace planifient et exécuter leurs attaques contre les systèmes de contrôle des infrastructures critiques.

L’avis conjoint décrit les cinq étapes typiques de la planification et de l’exécution d’une telle attaque. Les agences estiment que la compréhension des tactiques, techniques et procédures (TTP) des acteurs de la menace peut être utile pour mettre en œuvre des protections et contrer les adversaires.

Lire aussi  "migre et pénètre dans le cerveau"

Dans la première phase, les acteurs de la menace établissent l’effet recherché et sélectionnent une cible. Par exemple, les cybercriminels peuvent cibler les ICS/OT pour un gain financier, tandis que les acteurs parrainés par l’État le font pour des objectifs politiques et/ou militaires. Les objectifs peuvent inclure des dommages ou des destructions.

« Par exemple, la désactivation des réseaux électriques dans des endroits stratégiques pourrait déstabiliser les paysages économiques ou soutenir des campagnes militaires plus larges. Perturber les installations de traitement de l’eau ou menacer de détruire un barrage pourrait avoir des impacts psychologiques ou sociaux sur une population », ont averti les agences.

Dans la deuxième phase, les attaquants collectent des renseignements sur les systèmes ciblés. Cela peut être fait par le biais de recherches open source, de menaces internes ou après avoir compromis les réseaux informatiques et utilisé cet accès pour obtenir des informations liées au SCI.

Les attaquants utilisent ensuite les informations collectées pour développer des techniques et des outils qui les aideront à atteindre leurs objectifs.

Au cours des deux dernières phases, les attaquants obtiennent un accès initial au système ciblé et utilisent les outils et techniques susmentionnés pour obtenir l’effet escompté.

«Ils pourraient ouvrir ou fermer des disjoncteurs, des vannes d’étranglement, des réservoirs trop remplis, mettre les turbines en survitesse ou placer les centrales dans des conditions de fonctionnement dangereuses. De plus, les cyber-acteurs pourraient manipuler l’environnement de contrôle, obscurcir la conscience de l’opérateur et entraver la récupération, en verrouillant les interfaces et en réglant les moniteurs pour afficher des conditions normales. Les acteurs peuvent même suspendre la fonctionnalité d’alarme, permettant au système de fonctionner dans des conditions dangereuses sans alerter l’opérateur. Même lorsque les systèmes de sécurité physique devraient prévenir des conséquences physiques catastrophiques, des effets plus limités sont possibles et pourraient être suffisants pour répondre à l’intention de l’acteur. Dans certains scénarios cependant, si un acteur manipule simultanément plusieurs parties du système, les systèmes de sécurité physiques peuvent ne pas suffire. Les impacts sur le système pourraient être temporaires ou permanents, pouvant même inclure la destruction physique de l’équipement.

L’avis comprend également certaines recommandations, notamment la limitation de l’exposition des informations pouvant être utiles à un attaquant, l’identification et la sécurisation des points d’accès distants, la limitation de l’accès aux outils et scripts du système de contrôle et du réseau, la réalisation d’audits de sécurité réguliers et la mise en œuvre d’un environnement réseau dynamique.

Lire aussi  Hernández: Anthony Davis semble manquer de cœur et conduire les Lakers dont les Lakers ont besoin

L’avis, intitulé Défense du système de contrôle : Connaître l’adversaireest disponible sur le site Web de CISA et en tant que PDF.

En relation: CISA crée une liste d’outils et de services de cybersécurité gratuits pour les défenseurs

En relation: CISA met en garde contre la menace posée par les ransomwares pour les systèmes industriels

En relation: L’alerte NSA et CISA souligne l’urgence de la sécurité OT

En relation: Un nouveau groupe d’intérêt spécial vise à améliorer les cyberdéfenses ICS / OT

compteur de vues

Édouard Kovacs (@EduardKovacs) est un éditeur collaborateur de SecurityWeek. Il a travaillé comme professeur d’informatique au lycée pendant deux ans avant de commencer une carrière dans le journalisme en tant que journaliste de sécurité de Softpedia. Eduard est titulaire d’un baccalauréat en informatique industrielle et d’une maîtrise en techniques informatiques appliquées au génie électrique.

Chroniques précédentes d’Eduard Kovacs :
Mots clés:
Facebook
Twitter
LinkedIn
Pinterest

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ADVERTISEMENT