Les tactiques élémentaires, les systèmes hérités et la mauvaise hygiène de la cyber-hygiène mettent en danger les opérations énergétiques critiques, selon les agences fédérales.
The Cybersecurity and Infrastructure Security Agency (CISA), along with the FBI, Department of Energy (DoE), and Environmental Protection Agency (EPA), has warned organizations of cyberattacks targeting Operational Technology (OT) and Industrial Control Systems (ICS) in the
Secteur pétrolier et gaz naturel américain.
Selon les agences gouvernementales, alors que les cybercriminels mettent généralement en œuvre des techniques d’intrusion de base et élémentaires pour les attaques contre de telles infrastructures, la présence d’une mauvaise hygiène cyber et des actifs exposés peut entraîner un impact grave, notamment des perturbations opérationnelles et des dommages physiques.
Gabrielle Hempel, stratège des opérations de sécurité et chercheuse du renseignement des menaces pour l’équipe EXABEAM TEN18, a fait écho aux préoccupations de l’avis. « Il y a certainement une certaine négligence systémique dans la lutte contre les vulnérabilités connues », a déclaré Hempel. «Le secteur de l’énergie (et beaucoup d’infrastructures critiques) s’appuie souvent sur des systèmes hérités, ni avoir les moyens ou les connaissances pour verrouiller correctement leur paysage.»
La convergence de l’informatique et des systèmes OT dans ces environnements étend vraiment bien la surface d’attaque et rend les mesures d’atténuation traditionnelles insuffisantes, a-t-elle ajouté.
Pour soutenir les organisations du secteur, la CISA a inclus des conseils d’atténuation détaillés pour les aider à rester en avance sur les menaces émergentes.
Déconnecter l’accès public et à distance
Comme les appareils OT ont tendance à être surexposés lorsqu’ils sont connectés à Internet, en plus du fait qu’ils manquent de méthodes d’authentification et d’autorisation qui résistent aux menaces modernes, comme la recherche de ports ouverts sur des gammes de propriété intellectuelle, la suppression des connexions OT à Internet public a été recommandée.
«La motivation des acteurs malveillants n’est pas pertinente; si les systèmes sensibles exposés d’une organisation sont exposés à Internet sans durcissement de sécurité, ils risquent de compromettre», a déclaré Thomas Richards, directeur des pratiques de sécurité des infrastructures chez Black Duck. « Plusieurs fois, ces systèmes sont fournis avec l’accès Internet pour la connectivité à distance des équipes d’assistance et des fournisseurs, mais cela crée un risque de sécurité majeur sans restreindre qui peut y accéder et ajouter des contrôles d’authentification appropriés. »
En ce qui concerne l’accès à distance aux réseaux OT, CISA a recommandé que pour un accès à distance essentiel, la mise à niveau vers une connexion de réseau IP privé pour supprimer ces actifs OT de l’Internet public ou l’utilisation d’une fonctionnalité de réseau privé virtuel (VPN) avec une authentification MFA solide et résistante au phishing pourrait aider.
De plus, les organisations doivent documenter et configurer des solutions d’accès à distance pour appliquer les principes du moindre privilège. « Les recommandations pour sécuriser ces environnements ne sont pas des mesures de sécurité avancées, ce sont des pratiques fondamentales qui devraient déjà être en place », a noté Hempel.
Des mots de passe, une segmentation et des opérations manuels plus forts sont conseillées
CISA a cité l’analyse antérieure pour souligner que les systèmes ciblés utilisent les mots de passe par défaut ou facilement (utilisant des outils open-source). La modification des mots de passe par défaut pour des mots forts et uniques est important pour les appareils Internet orientés publics qui ont la capacité de contrôler les systèmes ou processus OT, a-t-il ajouté dans l’avis.
De plus, la CISA a souligné que la capacité des organisations à revenir aux contrôles manuels pour restaurer rapidement les opérations est vitale au lendemain d’un incident.
L’avis est particulièrement remarquable car la CISA ne sonne généralement pas l’alarme sur les hacks élémentaires de cette échelle. « Le fait que la CISA ait besoin de faire rapport sur les activités d’une activité de menace non sophistiquée est remarquable », a déclaré Trey Ford, directeur de la sécurité de l’information chez BugCrowd. «Leur émission d’un produit de renseignement axé sur les fondations hygiéniques de la cybersécurité comme celle-ci est un rappel – tous les programmes de sécurité sont en voyage, et l’échec de ces contrôles apparemment évidents conduit à certains échecs et compromis.» Plus tôt cette année, le chien de garde de la sécurité américain a mis en garde contre les défauts critiques et à haut risque des produits ICS de quatre principaux vendeurs industriels.
