ptzh-CNenfrdeitjarues

Les réseaux industriels à la source ont été conçus pour optimiser la fonctionnalité, sans accorder beaucoup d’attention à la cybersécurité. En conséquence, les performances, la fiabilité et la flexibilité des systèmes SCADA sont robustes, tandis que les contrôles de sécurité sont faibles, les rendant potentiellement vulnérables aux interruptions de service, à la redirection de processus ou à la manipulation de données opérationnelles pouvant entraîner de graves pannes. production dans les entreprises.

L'analyse des risques est le principal moyen de comprendre les menaces et les besoins en matière de contrôle de la cybersécurité. Cette activité est généralement effectuée en mettant l’accent sur une installation spécifique, car en plus de l’environnement logique, l’analyse physique est également effectuée. L'analyse des risques peut être effectuée dans les usines en exploitation (Brownfield) ou en phase de conception (Greenfield). Lorsque les risques et les menaces sont identifiés prématurément, les contrôles sont assimilés avec un coût inférieur et une efficacité maximale.

L'analyse de risque des réseaux d'automatisation suit les étapes suivantes:

Analyse de risque statique

  • À ce stade de l'analyse des risques, les schémas de réseau, l'environnement opérationnel (centre de données) et les questionnaires d'audit de sécurité physique et logique du réseau d'automatisation sont alignés sur les meilleures pratiques des normes ANSI / ISA-99, ISA-IEC 62443. , NIST 800-82 et ISO 27001 / 27002. Les visites chez le client permettent aux consultants d’identifier les contrôles ou les contre-mesures de sécurité physiques et logiques existants dans les réseaux, en évaluant, dans la mesure du possible, les conditions dans lesquelles les contrôles sont installés, utilisés et appropriés. L'évaluation sera réalisée en complétant des formulaires avec une liste de contrôles constituant les bases de connaissances des risques des normes décrites ci-dessus.

Analyse dynamique des risques

  • À cette étape, la collecte automatique des données du réseau d'automatisation en mode TAP (non intrusif) sera effectuée au niveau de l'application. Au début de l'analyse dynamique, l'architecture de chaque réseau d'automatisation client sera analysée et un planning sera élaboré pour donner une visibilité du trafic Internet et des menaces, ainsi que d'autres périmètres tels que les frontières avec les réseaux d'entreprise, les systèmes de contrôle (pour le réseau de automatisation), le centre de données et le réseau de traitement, ainsi que des liens vers des tiers et des connexions VPN externes ou des entités de régulation.

Rapport d'analyse des risques

  • Les données collectées par l'analyse statique seront traitées selon des critères qualitatifs, avec des échelles qualitatives de probabilité et d'impact. À partir des informations recueillies lors d'entretiens avec l'équipe locale, une probabilité d'occurrence et un impact (en fonction des conséquences) seront attribués à chaque ensemble de menaces / vulnérabilités. De manière complémentaire, les données issues de l'analyse dynamique effectuent la vérification et génèrent des preuves des informations provenant de l'analyse statique des risques. Le résultat de l'union des informations d'analyse statique et dynamique sera consolidé dans le rapport d'analyse des risques à remettre au client. Le rapport sera remis en portugais et servira de base à la préparation du plan de cybersécurité industrielle (PSCI).

Le Plan de cybersécurité industrielle (PSCI) est l'outil mis au point pour guider, définir les objectifs et les délais liés à la mise en œuvre de contrôles de cybersécurité pour les réseaux industriels de l'installation d'automatisation analysée.

Tenant compte de la réalité du client, le plan décrit les solutions technologiques et de processus, ainsi que les étapes de mise en œuvre permettant de répondre aux besoins de sécurité du périmètre analysé. L'horizon temporel du PSCI est celui des années 3 et décrit la corrélation de toutes les données collectées, des analyses statiques et dynamiques, dans une planification cohérente afin que le client augmente son degré de conformité aux normes considérées pour le projet.

La gouvernance industrielle devrait être mise en œuvre conformément aux meilleures pratiques de la norme IEC 62443. La première étape de l’établissement de la gouvernance est l’élaboration et la mise en œuvre d’une politique de sécurité spécifique au domaine de l’automatisation. La politique de sécurité de l’automatisation est un instrument conçu pour établir des règles permettant une utilisation, un contrôle et une protection corrects de l’environnement d’automatisation et des actifs constituant cet environnement, en préservant sa disponibilité, son intégrité et sa confidentialité, et en assurant la continuité et la compétitivité de l’entreprise.

Composée d’un ensemble de documents contenant des normes et des directives techniques relatives à la sécurité de l’automatisation industrielle et traitant des aspects stratégiques de l’organisation et de sa politique en matière de gouvernance, la politique détaille les contrôles de sécurité pour des éléments clés tels que: sécurité de bord, et à protection des réseaux industriels, et à sécurité des donnéesou lutter contre les logiciels malveillants et éducation des utilisateurs La politique doit être alignée sur la planification stratégique de l'entreprise et sur les normes et les meilleures pratiques en vigueur, telles que IEC 62443 et NIST 800-82. Les consultants TI Safe comprennent que chaque client a ses besoins, ses caractéristiques uniques, de sorte que chaque politique est développée avec les responsables de l’automatisation afin de rester en phase avec la vision de l’entreprise.

TI Safe est un fournisseur de services de sécurité gérés axés sur des environnements industriels éprouvés, avec des contrats en cours avec de grandes entreprises brésiliennes d’infrastructures critiques.

Ces services sont fournis par ICS-SOC, le centre des opérations de cybersécurité pour infrastructures critiques, qui exploite 24x7x365 et dispose de fonctions, technologies et processus de pointe pour la gestion, la prévention, la détection et la résolution d'incidents réseau qui ne peuvent pas s'arrêter.

Photo: Coffre ICS-SOC TI

TI Safe ICS-SOC propose cinq niveaux de services gérés avec des fonctionnalités cumulatives, répartis en deux catégories principales: surveillance et gestion (niveaux 1 et 2) et intelligence industrielle (niveaux 3, 4 et 5).

Figure: Niveaux de services offerts par TI Safe ICS-SOC

SURVEILLANCE ET GESTION

Niveau 1: Rapports de gestion de l'équipement et de sécurité

  • Gestion des équipements de sécurité (pare-feu, IPS et autres) situés dans l'usine du client.
  • Surveillance de l'état de fonctionnement de l'équipement et correction des problèmes empêchant son bon fonctionnement.
  • Paramétrage permanent des équipements.
  • Accéder au registre via VPN pour les nouveaux utilisateurs autorisés.
  • Mises à jour du logiciel, système d'exploitation, correctifs, etc.
  • RMA de l'équipement (remplacement en place, correspondant à la boîte RMA envoyée par le fabricant conformément à la durée du contrat)
  • Fournir des rapports quotidiens et hebdomadaires sur les cybermenaces détectées et bloquées par du matériel. D'autres rapports personnalisés peuvent être développés en fonction de la demande du client.

Niveau 2: (services de niveau 1) + Collecte de stratégies et surveillance des événements

  • Présences effectuées conformément aux demandes formulées par le biais du système de contrôle de présence du support (SCAS) et approuvées conformément aux routines de gestion des modifications du client.
  • Suivre les modifications des paramètres de sécurité (ports, segments, zones de sécurité, etc.).
  • Suivre les stratégies de sécurité (ajouter, modifier ou supprimer des stratégies).
  • Optimisation des règles et des politiques existantes.
  • Surveillance active des solutions de sécurité (attaques, logiciels malveillants, APT, journée 0, vulnérabilités, etc.).
  • Enquêtes et rapports sur les événements détectés par les solutions de sécurité (par exemple, rapport de présence de logiciels malveillants, trafic suspect).

INTELLIGENCE INDUSTRIELLE

Niveau 3: (services de niveau 2) + correction d’événement et surveillance industrielle

      • Utilisation de l'outil SIEM avec analyse de journaux en temps réel à des fins de détection des menaces.
      • Corrélation des événements afin que les relations possibles entre eux soient identifiées, indiquant la possibilité d'incidents.
      • Gestion centralisée des informations de cybersécurité.
      • Utilisation d'IPS industriels pour surveiller les variables de contrôle critiques en temps réel du réseau en exploitation.
      • Génération de rapports de conformité.
      • Gestion des incidents et émission de tickets de service client.

Niveau 4: (services au niveau 3) + Réponse aux incidents et gestion des vulnérabilités

      • Gestion des vulnérabilités: Utilisation de l'outil automatisé de pointe pour effectuer des analyses contrôlées des équipements précédemment sélectionnés sur le réseau du TA, à des intervalles programmés. Dès qu'une vulnérabilité est détectée, son impact est évalué, des mesures correctives sont identifiées et, lorsqu'elles sont autorisées, exécutées. Votre statut est suivi et signalé jusqu'à la fermeture.
      • Génération de rapports de vulnérabilité périodiques.
      • Réponse maîtrisée aux incidents de cybersécurité industrielle, en partenariat avec l'équipe du client.

Niveau 5: (services de niveau 4) + Intelligence artificielle et recherche numérique

    • Analyse de la sécurité des données volumineuses: analyse de grandes quantités de données pour découvrir les menaces, puis présentation et affichage des résultats.
    • Intégration entre les bases de données d'événements locales et l'intelligence de la menace lors d'attaques globales.
    • Amélioration des données grâce à l'utilisation de sources telles que les données géographiques, les données DNS, l'intégration du contrôle d'accès au réseau et le service de réputation de domaine et IP.
    • Forensics et identification des failles dans le réseau d'automatisation.

Copyright © 2007-2018 - Sécurité des informations en toute sécurité - Tous droits réservés.