Nouvelle version : Arc Embedded pour les RTU de Schneider Electric
En savoir plus
Deux fois par an, les équipes de Nozomi Networks Labs évaluent le paysage des menaces IoT , en s'appuyant sur un vaste réseau de pots de miel répartis dans le monde entier, de capteurs de surveillance sans fil, de télémétrie entrante, de partenariats, de threat intelligence et d'autres ressources. Voici les points forts de notre dernier rapport, qui couvre le second semestre 2024.
Lisez le rapport complet pour obtenir des informations plus approfondies :
Important ! Si vous êtes un client de Nozomi Networks , vous êtes couvert pour les vulnérabilités et les menaces contenues dans ce rapport. Asset intelligence et threat intelligence sont intégrées à notre plateforme par l'équipe Labs.
Les industries s'appuient de plus en plus sur les technologies sans fil pour leurs opérations critiques, mais le manque de visibilité sur les communications aériennes rend les propriétaires d'actifs vulnérables aux menaces qui exploitent les réseaux sans fil non surveillés.
Parmi les principales vulnérabilités ICS au cours de cette période, quatre étaient marquées comme des vulnérabilités exploitées connues (KEV) et 20 avaient un score EPSS (Exploit Prediction Scoring System) indiquant une probabilité >1% d'être exploitées dans la nature - un seuil d'exploitation considéré comme élevé.
Les faiblesses familières associées aux principaux CVE renforcent la nécessité d'intégrer les meilleures threat intelligence disponibles threat intelligence OT dans votre plateforme de cybersécurité afin de garantir la détection automatique des problèmes connus.
Les deux secteurs les plus touchés par les nouveaux CVE ICS, à savoir l'industrie manufacturière essentielle et l'énergie, font régulièrement la une des journaux et des avertissements des gouvernements concernant les attaques. L'apparition du secteur des communications entroisième position pourrait être liée au typhon salé.
Sur la base des alertes recueillies à partir de données télémétriques anonymes, la manipulation de données était de loin la technique la plus courante détectée dans les environnements des clients - trois fois plus souvent que les menaces suivantes.
Il s'agissait également de la méthode d'attaque dominante détectée dans trois secteurs principaux : l'industrie manufacturière, les transports et l'énergie, les services publics et les déchets.
Le renforcement brutal des identifiants SSH et Telnet par défaut qui accordent des privilèges élevés reste la principale technique utilisée par les cybercriminels pour accéder aux appareils IoT , ce qui nous rappelle qu'il faut immédiatement modifier les identifiants par défaut et appliquer une gestion rigoureuse des identifiants
Une fois à l'intérieur, les attaquants utilisent principalement des commandes shell pour explorer l'environnement ou parvenir à la persistance. Nous avons également observé des commandes visant à rendre le répertoire .ssh facile à modifier, à collecter des informations de base sur le système compromis et à remplacer les clés SSH publiques par une nouvelle clé qu'ils sont les seuls à pouvoir utiliser pour se connecter.
Voici des mesures spécifiques que les défenseurs peuvent prendre pour éliminer les angles morts IoT , maximiser les ressources limitées, accroître la résilience opérationnelle et réduire les risques commerciaux.
