Open Source

OT Sécurité: pourquoi il est avantageux de regarder les open source

Lucas Morel

Les solutions commerciales de sécurité OT peuvent être très coûteuses. Voici quelques alternatives.

OT Sécurité comme facteur de réussite stratégique

L’augmentation de la numérisation et du réseautage dans la production industrielle a fait de la sécurité des technologies opérationnelles un problème clé pour les entreprises. Les données de production, les systèmes SCADA (contrôle de supervision et acquisition de données) et les machines en réseau sont essentielles dans de nombreuses industries et extrêmement vulnérables aux cyberattaques. Un incident peut non seulement entraîner des temps d’arrêt de production et des dommages de réputation, mais aussi des situations potentiellement mortelles, par exemple dans les infrastructures critiques.

Dans le même temps, les scénarios budgétaires et de pression des coûts augmentent: les tarifs commerciaux, la menace de travaux de courte durée ou d’incertitudes économiques rendent difficile d’investir massivement dans des solutions de sécurité OT coûteuses. En conséquence, la question des alternatives rentables apparaît.

OT Sécurité au plus haut niveau – grâce aux alternatives open source

Solutions commerciales de sécurité OT telles que celles de Nozomi Networks, DarkTrace, ForeScout ou Microsoft Defender pour l’IoT promettent un large éventail de fonctions, mais sont souvent associés aux coûts de licence entre les plus à six chiffres à six chiffres par an. Un investissement aussi élevé est souvent difficile à justifier en interne, en particulier dans les moments économiquement difficiles.

En revanche, les outils open source offrent des avantages décisifs:

  • Réduire les coûts: Pas de frais de licence, uniquement investissement dans le matériel et la mise en œuvre.
  • Flexibilité et adaptabilité: Le code source est disponible librement et peut être adapté à des exigences spécifiques dans l’environnement OT.
  • Communauté active: Un développement continu et une réponse rapide aux nouvelles menaces.

Cependant, les solutions open source nécessitent généralement une équipe de sécurité informatique / OT bien positionnée pour implémenter, configurer et utiliser correctement ces outils. Le soutien a également tendance à être «axé sur la communauté» ou fourni par des fournisseurs de services spécialisés. Néanmoins, la pratique montre que la planification professionnelle permet un niveau de sécurité qui peut suivre celui des fournisseurs coûteux à bien des égards.

Combinaisons d’outils open source recommandées pour une couverture maximale

Afin de couvrir autant de fonctions de sécurité que possible, une combinaison de plusieurs outils open source est recommandée. Ceux-ci peuvent être étendus sur une base modulaire, ce qui permet une meilleure adaptation au paysage OT respectif. Voici quelques exemples:

Gestion des actifs et transparence du réseau

  1. Malcolm (incl. Zeek)

Se concentrer: Analyse de réseau en temps réel et support spécialisé du protocole OT.

Avantages:

  • Inspection profonde des paquets, analyse complète du protocole (y compris Modbus et DNP3)
  • Découverte continue des actifs grâce à une surveillance passive
  • Spécialement conçu pour les environnements ICS / SCADA
  • Supplément: Grassmarlin pour la visualisation du réseau
  • Affiche graphiquement les topologies dans les environnements industriels
  • Aide à identifier les chemins de réseau et les problèmes de segmentation inconnus

2 Netbox

Se concentrer: Gestion des adresses IP et documentation complète des actifs OT.

Avantages:

  • Inventaire centralisé et «source unique de vérité» pour les infrastructures de réseau
  • Intégration simple dans les processus CMDB
  • Base essentielle pour d’autres mesures de sécurité telles que la segmentation, les contrôles d’accès au réseau.

Surveillance du réseau et détection d’anomalies

  1. Oignon de sécurité (Suricata Zeek)

Se concentrer: Détection de menaces en temps réel, Pays-Bas en réseau.

Avantages:

  • Fournit des fonctionnalités IDS / IPS (Suricata ou Snort) et Analyse du journal (Zeek) dans un ensemble complet
  • Tableaux de bord intégrés (par exemple Kibana) pour alerte et analyse
  • Facilement évolutif des petites configurations de test aux grands sites de production

2 Elk Stack (Elasticsearch, Logstash, Kibana)

Se concentrer: Plate-forme de journalisation et de visualisation centrale.

Avantages:

  • Options de recherche et d’analyse puissantes pour les données de journal
  • Analyse à long terme et corrélation des événements de différentes sources
  • Tableaux de bord flexibles pour les gestionnaires de sécurité

Gestion de la vulnérabilité et sécurité de point final

  1. Wazuh

Se concentrer: XDR (détection et réponse étendue), gestion de la conformité et de la vulnérabilité.

Avantages:

  • Surveillance centrale des dispositifs finaux (HMI, serveurs SCADA, stations d’opérateurs, etc.)
  • Surveillance de l’intégrité des fichiers et détection active des incidents de sécurité
  • Support de conformité (par exemple Tisax, ITAR, PCI-DSS)

2 OpenVAS (Greenbone Vulnerabilité Manager)

Se concentrer: SCANTABILITÉ ACTIVE LA VULLÉRABILITÉ POUR Identifier les lacunes potentielles.

Avantages:

  • Base de données régulièrement mise à jour avec des vulnérabilités connues
  • Complète la surveillance passive avec des fonctions de balayage actif
  • Couvre un large éventail de systèmes

Réponse des incidents et opérations de sécurité

  1. Thehive & cortex

Se concentrer: Gestion des incidents, gestion de cas, automatisation du flux de travail.

Avantages:

  • Traitement rapide et structuré des incidents de sécurité
  • Intégration de manuels prédéfinis ou propres IR
  • Les modules d’analyse (Cortex) permettent des requêtes automatiques des IOC ou des flux de menace

2 Opencti

Se concentrer: Gestion des renseignements sur les menaces, intégration des flux externes.

Avantages:

  • Collection centrale, corrélation et analyse des informations sur les menaces
  • Support à des mesures de défense proactives
  • Ajout parfait aux données de sécurité de Security Onion, Wazuh & Co.

D’autres ajouts pour un concept de sécurité OT complet

  • Pots de miel spécifiques aux ICS (par exemple Conot): Servir de «système d’alerte précoce» et donner un aperçu des stratégies d’attaque avant que les systèmes de production réels ne soient affectés.
  • Projets d’apprentissage automatique spécifiques à l’OT: Ceux qui veulent plus de fonctionnalités d’IA peuvent compter sur Pytorch, TensorFlow ou des projets de recherche spécialisés. Cependant, cela nécessite souvent une vaste expertise en science des données.
  • Packs de règle et de signature: Pour adapter les suricata / zeek encore mieux pour les protocoles industriels, les règles spécifiques aux CI (par exemple via les menaces émergentes, les signatures de systèmes de contrôle industriel) peuvent être intégrées.

Opportunités et limites de l’open source

Avec les outils open source décrits ci-dessus, un large éventail de fonctions peut être réalisé qui se rapproche étonnamment de celui des solutions commerciales. Les forces résident dans la rentabilité, la flexibilité et le soutien communautaire. En même temps, vous devez garder à l’esprit ce qui suit:

  • Pas de «plug & play» automatique: Contrairement aux solutions commerciales, vous devez investir du temps dans l’installation, la configuration et le réglage fin.
  • Fonctionnalités d’apprentissage automatique sont disponibles (en particulier avec Suricata, Zeek et des cadres ML supplémentaires), mais nécessitent souvent plus de savoir-faire que les solutions prêtes à l’emploi des fournisseurs à prix élevé.
  • Soutien et maintenance: Au lieu d’un support de fabricant dédié, une combinaison de forums communautaires, de documentation et, si nécessaire, des fournisseurs de services individuels sont généralement invoqués.

Néanmoins, l’expérience pratique montre qu’avec une équipe de sécurité OT compétente ou des consultants externes, les solutions open source peuvent également être utilisées avec succès à grande échelle.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

patch
L’utilisation des raccourcis Windows comme vecteur de malware pourrait être interrompue
Cables submarinos
Cybersécurité des câbles sous-marins : protéger les infrastructures critiques
Wie Unternehmen sich gegen neue KI-Gefahren wappnen
Wie Unternehmen sich gegen neue KI-Gefahren wappnen