Démonstration en direct : La plateforme Nozomi Networks en 15 minutes
Regarder
Voici une manière simple de comparer les technologies de l'information et les technologies de la OT : Les TI accordent de l'importance à l'intégrité, à la confidentialité et à la disponibilité des données. L'OT accorde de l'importance à l'intégrité des données, à la confidentialité et à la disponibilité.
Les technologies de l'information sont omniprésentes dans une organisation et sont utilisées par presque tous les employés, dans tous les centres de coûts. Par conséquent, la sécurité informatique se concentre sur la protection des données contre les accès ou les modifications non autorisés, en mettant l'accent sur l'accès basé sur les rôles et la formation des utilisateurs, le maillon le plus faible, aux pratiques sûres en matière de cybersécurité.
Les actifs et réseaux OT gèrent et contrôlent généralement les joyaux de la couronne qui génèrent les revenus d'une organisation (ou fournissent des services publics essentiels), souvent de manière autonome. Si l'OT tombe en panne ou est attaqué, les enjeux sont plus importants qu'avec l'informatique, en particulier pour les infrastructures critiques. En cas de défaillance ou d'attaque, les enjeux sont plus importants qu'avec les technologies de l'information, en particulier pour les infrastructures critiques.
Le volume et la diversité des appareils OT et IoT les rendent plus difficiles à gérer que les appareils IT.De plus, chaque composant d'un réseau OT fait partie d'un processus plus large dans un environnement très distribué. Si une machine a un problème, il faut immédiatement savoir de quoi elle dépend et ce qui en dépend.
Par le passé, les réseaux OT étaient "hermétiques" - sans connectivité avec l'internet ou les réseaux informatiques de l'entreprise, les cybermenaces n'étaient pas un sujet de préoccupation. Cette époque est révolue depuis longtemps, mais la cybersécurité dans les environnements OT est encore trop souvent négligée. Grâce à la numérisation industrielle, les environnements de production d'aujourd'hui comprennent des centaines de systèmes numériques interconnectés qui améliorent l'efficacité mais introduisent également de nouveaux risques. De nombreux dispositifs OT ne sont pas gérés et ne peuvent pas être corrigés comme le sont les ordinateurs et les serveurs informatiques. Lorsque les correctifs sont possibles, ils ne peuvent pas être automatisés. À quelques exceptions près, la détection des menaces repose sur l'inspection approfondie des paquets et sur des techniques de détection des anomalies basées sur le comportement, spécialement conçues pour les environnements OT.
Les attaques de ransomware font les gros titres, mais les mauvaises configurations quotidiennes du réseau ou des processus, les erreurs opérationnelles, les pics d'utilisation des ressources et autres anomalies sont bien plus susceptibles de menacer les environnements OT que les attaques extérieures. Une anomalie est tout ce qui s'écarte des performances de base. Il peut s'agir de valeurs de processus instables, de mesures de processus incorrectes et de configurations erronées susceptibles d'entraîner un dysfonctionnement.
Les données qui transitent par les actifs et les processus OT (telles que les valeurs des processus) ne sont pertinentes que pendant un instant, et il peut y avoir des millions de ces points de données par minute. Par conséquent, la cybersécurité OT se concentre moins sur l'exfiltration des données que sur la garantie que les données ne circulent qu'entre les dispositifs autorisés et qu'elles sont à jour à chaque instant.
La plupart des technologies de l'information ont un cycle de vie court, avec une obsolescence intégrée. Les logiciels sont abandonnés ou font l'objet d'une mise à jour majeure toutes les quelques années, et le matériel doit être remplacé fréquemment. L'OT a généralement un cycle de vie long, pouvant aller jusqu'à plusieurs décennies dans certains cas. Les appareils tels que les automates programmables sont souvent conçus pour des environnements de production difficiles - et construits pour durer. De nombreux appareils OT reposent encore sur des technologies anciennes qui ne sont pas sécurisées de par leur conception, avec des vulnérabilités bien documentées qui, trop souvent, ne sont pas corrigées. En outre, il peut s'écouler des années avant que les tests d'homologation en usine et d'acceptation sur site n'aient lieu, de sorte que les petites modifications ne sont pas encouragées.
Certains systèmes OT - et leurs composants - fonctionnent en continu pendant des années, avec de courtes périodes de maintenance programmée. Le fonctionnement continu permet de garantir la sécurité et la fiabilité, car les temps d'arrêt peuvent entraîner des défaillances critiques dans les environnements industriels. Les correctifs (s'ils sont disponibles) et autres mises à jour sont peu fréquents et doivent être programmés pendant les fenêtres de maintenance étroites.
Les technologies de l'information utilisent des systèmes d'exploitation standard et communiquent à l'aide de protocoles standard. De nombreux dispositifs OT ont des systèmes d'exploitation propriétaires spécifiques à leur utilisation. Les systèmes OT utilisent également des centaines de protocoles pour communiquer, dont beaucoup sont spécifiques à l'industrie et intrinsèquement peu sûrs. Ces protocoles sont conçus pour la surveillance et le contrôle en temps réel des processus et des dispositifs physiques, privilégiant la fiabilité, les temps de réponse déterministes et la résilience par rapport à la vitesse et à la flexibilité. Les systèmes de détection d'intrusion (IDS) et les endpoint de détection et de réponse (EDR) ne comprennent pas les protocoles industriels et ne peuvent donc pas détecter les menaces OTinformation. Au mieux, ils seraient inefficaces ; au pire, ils pourraient consommer trop de ressources ou casser quelque chose.
Chaque jour, les fabricants peuvent avoir des dizaines de techniciens tiers qui se connectent à distance pour surveiller la production et dépanner l'équipement, souvent à l'aide de leurs propres outils d'accès à distance. L'utilisation laxiste d'identifiants faibles et de mots de passe par défaut expose les entreprises à des attaques par exécution de code à distance.
En particulierpour les équipements sans pilote, les mots de passe par défaut peuvent ne jamais être modifiés, ce qui facilite leur piratage par des acteurs malveillants, et l'authentification multifactorielle (MFA) n'est pas pratique. Au lieu de cela, une surveillance continue est utilisée pour authentifier les appareils et garantir l'intégrité de la communication entre les appareils.
La segmentation est un contrôle compensatoire essentiel pour limiter les communications et protéger les dispositifs qui ne peuvent être remédiés que rarement, voire pas du tout. Pour isoler les joyaux de la couronne industrielle et empêcher les cyberincidents sur les réseaux informatiques de se propager latéralement aux réseaux OT , les environnements industriels utilisent des zones et des conduits sécurisés qui contrôlent et surveillent le trafic entre les segments
Comprendre les risques liés à la cybersécurité, introduire les meilleures pratiques en matière de sécurité et créer une culture de sensibilisation dans les milieux industriels sont des changements culturels majeurs. Par exemple, pour que les ingénieurs en OT acceptent que l'atténuation des risques de cybersécurité soit considérée comme une opération de maintenance programmée, il faut changer de mentalité. Les RSSI adoptent la gestion des risques d'entreprise et l'OT relève de plus en plus de leur autorité, ce changement doit donc avoir lieu.
Malgré le scepticisme initial, les opérateurs OT tirent de nombreux avantages de la surveillance continue des actifs et des réseaux. Elle permet de recueillir une multitude d'informations sur les actifs et les processus surveillés, utiles pour détecter des changements importants, qu'il s'agisse d'anomalies par rapport à la situation de référence ou de menaces pour la cybersécurité. En outre, une fois que la surveillance continue commence, elle révèle généralement des problèmes de longue date dont les opérateurs ne soupçonnaient pas l'existence.
Dès que la plateforme de Nozomi Networks est installée, les capteurs du réseau commencent à analyser le trafic du réseau ICS et construisent une visualisation interactive de celui-ci. Les opérateurs et le personnel de cybersécurité voient les nœuds du réseau industriel visualisés, souvent pour la première fois. Ils perçoivent rapidement des aspects de leur environnement dont ils n'étaient pas conscients auparavant, et peuvent facilement approfondir la recherche pour trouver plus d'informations.
Les opérateurs peuvent voir non seulement les changements de configuration et les anomalies, mais aussi qui s'est connecté à un appareil, avec quels autres appareils il communique et quels protocoles il utilise. La visibilité du trafic est-ouest aux niveaux inférieurs de Purdue et les connexions USB non autorisées constituent deux grands avantages.
Les centres d'opérations de sécurité (SOC) fusionnés OT sont l'endroit où les deux cultures s'affrontent vraiment. Ils gagnent en popularité pour des raisons évidentes telles que la supervision centrale du CISO, la convergence OT , l'amélioration des temps de réponse et, bien sûr, la réduction des coûts. Cependant, plutôt qu'un SOC fusionné, on constate le plus souvent que l'équipe traditionnelle du SOC informatique fournit un service à un nouveau client, l'unité opérationnelle de la OT . Il arrive fréquemment que le fournisseur de services ne comprenne pas son client. Un important transfert de connaissances doit avoir lieu, mais ce n'est pas le cas.
Voici une manière simple de comparer les technologies de l'information et les technologies de la OT : Les TI accordent de l'importance à l'intégrité, à la confidentialité et à la disponibilité des données. L'OT accorde de l'importance à l'intégrité des données, à la confidentialité et à la disponibilité.
Les technologies de l'information sont omniprésentes dans une organisation et sont utilisées par presque tous les employés, dans tous les centres de coûts. Par conséquent, la sécurité informatique se concentre sur la protection des données contre les accès ou les modifications non autorisés, en mettant l'accent sur l'accès basé sur les rôles et la formation des utilisateurs, le maillon le plus faible, aux pratiques sûres en matière de cybersécurité.
Les actifs et réseaux OT gèrent et contrôlent généralement les joyaux de la couronne qui génèrent les revenus d'une organisation (ou fournissent des services publics essentiels), souvent de manière autonome. Si l'OT tombe en panne ou est attaqué, les enjeux sont plus importants qu'avec l'informatique, en particulier pour les infrastructures critiques. En cas de défaillance ou d'attaque, les enjeux sont plus importants qu'avec les technologies de l'information, en particulier pour les infrastructures critiques.
Le volume et la diversité des appareils OT et IoT les rendent plus difficiles à gérer que les appareils IT.De plus, chaque composant d'un réseau OT fait partie d'un processus plus large dans un environnement très distribué. Si une machine a un problème, il faut immédiatement savoir de quoi elle dépend et ce qui en dépend.
Par le passé, les réseaux OT étaient "hermétiques" - sans connectivité avec l'internet ou les réseaux informatiques de l'entreprise, les cybermenaces n'étaient pas un sujet de préoccupation. Cette époque est révolue depuis longtemps, mais la cybersécurité dans les environnements OT est encore trop souvent négligée. Grâce à la numérisation industrielle, les environnements de production d'aujourd'hui comprennent des centaines de systèmes numériques interconnectés qui améliorent l'efficacité mais introduisent également de nouveaux risques. De nombreux dispositifs OT ne sont pas gérés et ne peuvent pas être corrigés comme le sont les ordinateurs et les serveurs informatiques. Lorsque les correctifs sont possibles, ils ne peuvent pas être automatisés. À quelques exceptions près, la détection des menaces repose sur l'inspection approfondie des paquets et sur des techniques de détection des anomalies basées sur le comportement, spécialement conçues pour les environnements OT.
Les attaques de ransomware font les gros titres, mais les mauvaises configurations quotidiennes du réseau ou des processus, les erreurs opérationnelles, les pics d'utilisation des ressources et autres anomalies sont bien plus susceptibles de menacer les environnements OT que les attaques extérieures. Une anomalie est tout ce qui s'écarte des performances de base. Il peut s'agir de valeurs de processus instables, de mesures de processus incorrectes et de configurations erronées susceptibles d'entraîner un dysfonctionnement.
Les données qui transitent par les actifs et les processus OT (telles que les valeurs des processus) ne sont pertinentes que pendant un instant, et il peut y avoir des millions de ces points de données par minute. Par conséquent, la cybersécurité OT se concentre moins sur l'exfiltration des données que sur la garantie que les données ne circulent qu'entre les dispositifs autorisés et qu'elles sont à jour à chaque instant.
La plupart des technologies de l'information ont un cycle de vie court, avec une obsolescence intégrée. Les logiciels sont abandonnés ou font l'objet d'une mise à jour majeure toutes les quelques années, et le matériel doit être remplacé fréquemment. L'OT a généralement un cycle de vie long, pouvant aller jusqu'à plusieurs décennies dans certains cas. Les appareils tels que les automates programmables sont souvent conçus pour des environnements de production difficiles - et construits pour durer. De nombreux appareils OT reposent encore sur des technologies anciennes qui ne sont pas sécurisées de par leur conception, avec des vulnérabilités bien documentées qui, trop souvent, ne sont pas corrigées. En outre, il peut s'écouler des années avant que les tests d'homologation en usine et d'acceptation sur site n'aient lieu, de sorte que les petites modifications ne sont pas encouragées.
Certains systèmes OT - et leurs composants - fonctionnent en continu pendant des années, avec de courtes périodes de maintenance programmée. Le fonctionnement continu permet de garantir la sécurité et la fiabilité, car les temps d'arrêt peuvent entraîner des défaillances critiques dans les environnements industriels. Les correctifs (s'ils sont disponibles) et autres mises à jour sont peu fréquents et doivent être programmés pendant les fenêtres de maintenance étroites.
Les technologies de l'information utilisent des systèmes d'exploitation standard et communiquent à l'aide de protocoles standard. De nombreux dispositifs OT ont des systèmes d'exploitation propriétaires spécifiques à leur utilisation. Les systèmes OT utilisent également des centaines de protocoles pour communiquer, dont beaucoup sont spécifiques à l'industrie et intrinsèquement peu sûrs. Ces protocoles sont conçus pour la surveillance et le contrôle en temps réel des processus et des dispositifs physiques, privilégiant la fiabilité, les temps de réponse déterministes et la résilience par rapport à la vitesse et à la flexibilité. Les systèmes de détection d'intrusion (IDS) et les endpoint de détection et de réponse (EDR) ne comprennent pas les protocoles industriels et ne peuvent donc pas détecter les menaces OTinformation. Au mieux, ils seraient inefficaces ; au pire, ils pourraient consommer trop de ressources ou casser quelque chose.
Chaque jour, les fabricants peuvent avoir des dizaines de techniciens tiers qui se connectent à distance pour surveiller la production et dépanner l'équipement, souvent à l'aide de leurs propres outils d'accès à distance. L'utilisation laxiste d'identifiants faibles et de mots de passe par défaut expose les entreprises à des attaques par exécution de code à distance.
En particulierpour les équipements sans pilote, les mots de passe par défaut peuvent ne jamais être modifiés, ce qui facilite leur piratage par des acteurs malveillants, et l'authentification multifactorielle (MFA) n'est pas pratique. Au lieu de cela, une surveillance continue est utilisée pour authentifier les appareils et garantir l'intégrité de la communication entre les appareils.
La segmentation est un contrôle compensatoire essentiel pour limiter les communications et protéger les dispositifs qui ne peuvent être remédiés que rarement, voire pas du tout. Pour isoler les joyaux de la couronne industrielle et empêcher les cyberincidents sur les réseaux informatiques de se propager latéralement aux réseaux OT , les environnements industriels utilisent des zones et des conduits sécurisés qui contrôlent et surveillent le trafic entre les segments
Comprendre les risques liés à la cybersécurité, introduire les meilleures pratiques en matière de sécurité et créer une culture de sensibilisation dans les milieux industriels sont des changements culturels majeurs. Par exemple, pour que les ingénieurs en OT acceptent que l'atténuation des risques de cybersécurité soit considérée comme une opération de maintenance programmée, il faut changer de mentalité. Les RSSI adoptent la gestion des risques d'entreprise et l'OT relève de plus en plus de leur autorité, ce changement doit donc avoir lieu.
Malgré le scepticisme initial, les opérateurs OT tirent de nombreux avantages de la surveillance continue des actifs et des réseaux. Elle permet de recueillir une multitude d'informations sur les actifs et les processus surveillés, utiles pour détecter des changements importants, qu'il s'agisse d'anomalies par rapport à la situation de référence ou de menaces pour la cybersécurité. En outre, une fois que la surveillance continue commence, elle révèle généralement des problèmes de longue date dont les opérateurs ne soupçonnaient pas l'existence.
Dès que la plateforme de Nozomi Networks est installée, les capteurs du réseau commencent à analyser le trafic du réseau ICS et construisent une visualisation interactive de celui-ci. Les opérateurs et le personnel de cybersécurité voient les nœuds du réseau industriel visualisés, souvent pour la première fois. Ils perçoivent rapidement des aspects de leur environnement dont ils n'étaient pas conscients auparavant, et peuvent facilement approfondir la recherche pour trouver plus d'informations.
Les opérateurs peuvent voir non seulement les changements de configuration et les anomalies, mais aussi qui s'est connecté à un appareil, avec quels autres appareils il communique et quels protocoles il utilise. La visibilité du trafic est-ouest aux niveaux inférieurs de Purdue et les connexions USB non autorisées constituent deux grands avantages.
Les centres d'opérations de sécurité (SOC) fusionnés OT sont l'endroit où les deux cultures s'affrontent vraiment. Ils gagnent en popularité pour des raisons évidentes telles que la supervision centrale du CISO, la convergence OT , l'amélioration des temps de réponse et, bien sûr, la réduction des coûts. Cependant, plutôt qu'un SOC fusionné, on constate le plus souvent que l'équipe traditionnelle du SOC informatique fournit un service à un nouveau client, l'unité opérationnelle de la OT . Il arrive fréquemment que le fournisseur de services ne comprenne pas son client. Un important transfert de connaissances doit avoir lieu, mais ce n'est pas le cas.
