La convergence des technologies opérationnelles et informatiques implique un nombre croissant de connexions, d’équipements et de services dans les organisations industrielles. Dans ce cadre, pour pouvoir exercer un contrôle continu permettant le maintien de la fiabilité, de la sécurité et de la conformité, il devient nécessaire de développer une nouvelle génération de solutions de cybersécurité dédiées. Selon les prévisions IDC Worldwide IT/OT Convergence 2022, d’ici 2024, 30% des entreprises industrielles intègreront des outils de gestion centralisée de la sécurité pour combler le fossé séparant l’IT de l’OT. Les améliorations apportées à la plateforme Kaspersky Industrial CyberSecurity entendent s’inscrire dans cette tendance.

L’EDR appliqué aux OT pour accéder instantanément aux informations sur les incidents

Grâce à l’EDR de KICS for Nodes, une unité de cybersécurité peut traquer l’activité malveillante, en analyser les causes profondes en visualisant le processus de déploiement de l’attaque, et mettre en œuvre des mesures d’intervention sur les ordinateurs SCADA et les postes de travail des opérateurs. Le produit fournit un large éventail d’actions de réponse qui n’ont pas de répercussions sur le processus industriel, sauf intervention explicite de l’opérateur allant dans ce sens, comme la mise en quarantaine ou la suppression d’un objet malveillant, l’interdiction d’exécuter un processus malveillant à l’avenir, etc. Pour s’assurer que la menace ne se propage pas à d’autres machines, les experts en cybersécurité peuvent créer des indicateurs de compromission (IoC) ou des artefacts pour indiquer qu’un système a été piraté, et exécuter une réponse cross-endpoint sur la base de ces IoC.

La fonctionnalité EDR est rendue disponible aux abonnés de KICS for Nodes sans qu’il soit nécessaire d’installer du matériel supplémentaire. Elle fonctionne sur n’importe quel système d’exploitation, y compris Windows XP, et est idéale pour les réseaux industriels car elle ne les surcharge pas de trafic et n’a aucun impact sur les serveurs ICS. En outre, son utilisation ne requiert aucune compétence spécifique de la part des responsables IT et OT.

Évaluation de la conformité et des risques pour lutter contre les menaces cachées

Avec KICS for Networks, nos clients peuvent mettre en œuvre une approche de la cybersécurité axée sur les risques. Le produit peut désormais détecter les faiblesses qui peuvent potentiellement mettre en danger l’intégrité des OT et/ou provoquer une perturbation des processus technologiques, et couvre les domaines suivants : architecture réseau vulnérable (accès aux réseaux externes, absence de segmentation, appareils connectés à plusieurs fournisseurs) ; paramètres de sécurité du serveur trop faibles (ports ouverts, pas d’autorisations nécessaires, pare-feu désactivés) ; protocoles obsolètes, vulnérables, indésirables, non chiffrés et anomalies dans les protocoles réseau ; systèmes d’exploitation caducs ; appareils non autorisés ; et vulnérabilités dans les automates. Tous les risques sont évalués dans la plateforme de gestion en fonction de leur gravité pour que les équipes de sécurité puissent se concentrer en priorité sur les plus critiques.

La nouvelle version de KICS for Nodes est capable de procéder automatiquement au contrôle des hôtes/groupes d’hôtes OT pour détecter les vulnérabilités du logiciel, les mauvaises configurations et vérifier sa conformité aux réglementations locales et internationales, ainsi qu’aux politiques en vigueur dans l’entreprise. Pour cela, la solution utilise le contenu de l’Open Vulnerability and Assessment Language (OVAL). Par défaut, le produit fournit une base de données sur les vulnérabilités SCADA, éditée par Kaspersky ICS-CERT, au format OVAL. Toute base de données OVAL peut être utilisée, qu’il s’agisse de celle du NIST, du CIS, d’autres réglementations ou encore d’échantillons personnalisés.

Visibilité du réseau et analyse des appareils pour garder le contrôle et réagir aux incidents

La visibilité du réseau et des périphériques est améliorée grâce à l’attente active et à la carte de topologie physique du réseau industriel disponible avec KICS for Networks. L’attente active permet d’identifier les composants des systèmes OT et leur configuration, tandis que la carte topologique permet de visualiser l’architecture du réseau, la manière dont les équipements sont connectés et communiquent entre eux. Grâce à ces données, les opérateurs OT et les équipes de sécurité peuvent accéder à certaines informations rapidement. Ils peuvent par exemple connaître l’endroit du réseau où se situe le problème, et à quel équipement matériel de la chaîne de production il est associé, ce qui leur permet de le corriger plus rapidement.

KICS for Nodes propose également aux experts un scanner USB portable à utiliser sur les machines pour lesquelles les règlements intérieurs restreignent l’installation de tout logiciel, y compris les solutions de cybersécurité. Cela peut concerner les vieux ordinateurs dotés de logiciels obsolètes, mais aussi les équipements trop sensibles pour y installer quelque chose. Cela peut aussi être utile dans la manipulation des équipements des sous-traitants, que ces derniers peuvent être amenés à utiliser à l’intérieur du réseau OT de leur client. Il suffit d’utiliser une simple clé USB pour télécharger le scanner de KICS for Nodes, puis l’utiliser pour analyser la machine isolée. Le scanner n’installe rien sur la machine mais fournit des informations sur les menaces qu’elle contient, afin que les équipes de sécurité puissent planifier les actions nécessaires.

En tant que plateforme, KICS assure également l’intégration native de tous ses modules, y compris KICS for Nodes pour Windows et Linux, KICS for Networks, et la coordination via une plateforme de gestion unique. L’intégration plus poussée de KICS for Nodes et KICS for Networks permet de générer des alertes réseau enrichies de données sur un hôte, sur ses processus et sur l’utilisateur qui les a lancés. Les équipes de sécurité IT/OT, les analystes SOC et les opérateurs SCADA ont ainsi plus de visibilité sur les actions suspectes, et peuvent prendre des décisions informées sur les interventions envisageables.