Comment l’IA et le ML peuvent contrecarrer une menace de cybersécurité dont personne ne parle
Écoutez les DSI, les CTO et d’autres cadres supérieurs et dirigeants sur les stratégies de données et d’IA lors du Sommet sur l’avenir du travail du 12 janvier 2022. Apprendre encore plus
Les attaquants de ransomware s’appuient sur des clés USB pour diffuser des logiciels malveillants, sautant le vide sur lequel toute la distribution industrielle, la fabrication et les services publics s’appuient comme première ligne de défense contre les cyberattaques. Soixante-dix-neuf pour cent des attaques USB peuvent potentiellement perturber les technologies opérationnelles (OT) qui alimentent les usines de traitement industrielles, selon Honeywells Industrial Cybersecurity USB Threat Report 2021.
L’étude révèle que l’incidence des attaques USB basées sur des logiciels malveillants est l’un des vecteurs de menace à la croissance la plus rapide et les plus indétectables auxquels les industries basées sur les processus telles que les services publics sont confrontées aujourd’hui, comme l’illustrent Colonial Pipeline et JBS Foods. Les services publics sont également ciblés par les attaquants de ransomware, comme l’illustrent les attaques de ransomware déjouées contre les usines de traitement de l’eau en Floride et en Californie du Nord, visant à contaminer les réserves d’eau. Selon la base de données ThreatCloud de Check Point Software Technologies, les services publics américains ont été attaqués 300 fois par semaine avec une augmentation de 50 % en seulement deux mois.
La fabrication de processus et les services publics enregistrent une année record de menaces de cybersécurité
Les attaquants de ransomware ont accéléré leur processus d’identification des cibles les plus faibles et de capitalisation rapide sur elles en exfiltrent les données, puis en menaçant de les rendre publiques à moins que la rançon ne soit payée. Les usines de fabrication de procédés et les services publics du monde entier fonctionnent sur des systèmes de contrôle industriel (ICS) parmi les systèmes d’entreprise les plus poreux et les moins sécurisés. Parce que les systèmes de contrôle industriel (ICS) sont facilement compromis, ils sont une cible de choix pour les ransomwares.
Un tiers des ordinateurs ICS ont été attaqués au premier semestre 2021, selon le rapport Kasperskys ICS CERT. Kaspersky déclare que le nombre de vulnérabilités ICS signalées au premier semestre 2021 a augmenté de 41 %, la plupart (71 %) étant classées comme étant de gravité élevée ou critiques. Les attaques contre l’industrie manufacturière ont augmenté de près de 300 % en 2020 par rapport au volume de l’année précédente, représentant 22 % de toutes les attaques, selon le NTT 2021 Global Threat Intelligence Report (GTIR). Le premier semestre 2021 a été le plus grand test de cybersécurité industrielle de l’histoire. Soixante-trois pour cent de toutes les vulnérabilités liées au SCI font perdre le contrôle des opérations aux usines de transformation, et 71 % peuvent obscurcir ou bloquer la vue des opérations immédiatement.
Une enquête SANS 2021 : la cybersécurité OT/ICS révèle que 59 % des plus grands défis de sécurisation des organisations sont l’intégration des systèmes et technologies OT hérités aux systèmes informatiques modernes. L’écart se creuse à mesure que les systèmes informatiques modernes deviennent de plus en plus basés sur le cloud et les API, ce qui rend plus difficile l’intégration avec les technologies OT héritées.
Clés USB : le vecteur de menace dont personne ne parle
L’attaque SolarWinds a montré comment les violations basées sur la menace persistante avancée (APT) pouvaient modifier les fichiers exécutables légitimes et les faire se propager à travers les chaînes d’approvisionnement logicielles sans être détectées. C’est le même objectif que les attaquants de ransomware tentent d’atteindre en utilisant des clés USB pour fournir des fichiers exécutables modifiés dans un ICS et infecter l’ensemble de l’usine, de sorte que la victime n’a pas d’autre choix que de payer la rançon.
Les menaces USB sont passées de 19 % de toutes les cyberattaques ICS en 2019 à un peu plus de 37 % en 2020, la deuxième année consécutive de croissance significative, selon le rapport Honeywells.
Les attaquants de ransomware donnent la priorité aux clés USB en tant que vecteur d’attaque principal et mécanisme de livraison pour le traitement des cibles de fabrication et de services publics. Plus d’une attaque de malware sur trois (37%) est spécialement conçue pour être menée à l’aide d’un périphérique USB.
Il est troublant de voir à quel point le code ransomware avancé qui est livré via USB est devenu. Le code exécutable est conçu pour usurper l’identité d’exécutables légitimes tout en ayant également la capacité de fournir un accès à distance illégal. Honeywell a découvert que 51 % peuvent établir avec succès un accès à distance depuis une installation de production vers un emplacement distant. Plus de la moitié des tentatives de violation (52 %) en 2020 étaient également vermifuges. Les attaquants de ransomware utilisent SolarWinds comme modèle pour pénétrer profondément dans les systèmes ICS et capturer les informations d’identification d’accès privilégié, exfiltrer les données et, dans certains cas, établir le commandement et le contrôle.
Les données d’Honeywells montrent que les fabricants de processus et les services publics sont confrontés à un défi majeur pour rester à parité avec les attaquants de ransomware, APT et les organisations cybercriminelles parrainées par l’État qui souhaitent prendre le contrôle d’une usine entière. Le point de flexibilité de l’équilibre des pouvoirs est la façon dont les attaquants de ransomware basés sur USB franchissent les vides dans les entreprises de fabrication de processus et de services publics. Les services publics comptent sur eux depuis des décennies, et c’est un attribut de conception courant dans les configurations ICS héritées. Les lecteurs USB infectés utilisés dans une usine traverseront les vides d’air sans les opérateurs de l’usine, sachant parfois que le code infecté se trouve sur les lecteurs qu’ils utilisent. Parmi les usines et les services publics qui intègrent avec succès les systèmes OT et informatiques sur une seule plate-forme, le ransomware fourni par USB traverse ces systèmes plus rapidement et entraîne l’infection d’un plus grand nombre d’appareils, de fichiers et de systèmes auxiliaires.
Améliorer l’efficacité de la détection est l’objectif
L’une des plus grandes faiblesses des ICS en matière de cybersécurité est qu’ils ne sont pas conçus pour être autodidactes et n’ont pas été conçus pour capturer les données sur les menaces. Au lieu de cela, ce sont des systèmes de surveillance des processus et de la production en temps réel qui offrent une visibilité et un contrôle en boucle fermée pour la fabrication et l’ingénierie des processus.
Compte tenu des limites de leur système, il n’est pas surprenant que 46% des cybermenaces OT connues soient mal détectées ou pas détectées du tout. De plus, Honeywell constate que 11% ne sont jamais détectés et que la plupart des moteurs et techniques de détection n’attrapent que 35% de toutes les tentatives de violation.
Parmi les fabricants de processus et les services publics adoptant une approche basée sur la sécurité zéro confiance pour résoudre leurs problèmes de sécurité, les plus efficaces partagent plusieurs caractéristiques communes. Ils utilisent les technologies d’IA et d’apprentissage automatique (ML) pour créer et affiner des règles de détection d’anomalies et des analyses d’événements en continu, afin qu’ils puissent identifier et répondre aux incidents et éviter les attaques. Ils utilisent également le ML pour identifier un véritable incident à partir de fausses alarmes, créant des règles de détection d’anomalies et des analyses d’événements plus précises pour répondre et atténuer les incidents. Les techniques basées sur l’IA et le ML alimentent également les analyses de contribution qui améliorent l’efficacité de la détection en privilégiant la réduction du bruit à l’amplification du signal. L’objectif est de réduire le bruit tout en améliorant la détection des signaux grâce à des workflows de données contextuelles.
Comment l’IA et l’apprentissage automatique atténuent les risques
Les fournisseurs de cybersécurité dotés d’une expertise approfondie en IA et en ML doivent accélérer le rythme de l’innovation et relever le défi d’identifier les menaces potentielles, puis de les arrêter. Il est essentiel d’améliorer l’efficacité de la détection en interprétant les modèles de données et les informations. Une étude de Honeywells montre à quel point les systèmes ICS sont poreux et comment l’écart entre les technologies OT héritées et les systèmes informatiques modernes augmente les risques de cyberattaque. Les systèmes ICS sont conçus pour la surveillance des processus et de la production avec une visibilité et un contrôle en boucle fermée. C’est pourquoi une approche basée sur la confiance zéro qui traite chaque point de terminaison, surface de menace et identité comme périmètre de sécurité doit accélérer plus rapidement que la capacité des attaquants de ransomware à usurper l’identité de fichiers légitimes et à lancer des attaques de ransomware.
VentureBeat
La mission de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques d’acquérir des connaissances sur la technologie transformatrice et d’effectuer des transactions. Notre site fournit des informations essentielles sur les technologies et les stratégies de données pour vous guider dans la gestion de vos organisations. Nous vous invitons à devenir membre de notre communauté, pour accéder à :
- des informations à jour sur les sujets qui vous intéressent
- nos newsletters
- contenu de leader d’opinion fermé et accès à prix réduit à nos événements prisés, tels que Transformer 2021: Apprendre encore plus
- fonctionnalités de mise en réseau, et plus
Devenir membre