Protéger les sociétés pétrolières et gazières contre les menaces de ransomware : renforcer les réseaux OT isolés
Août 31st, 2023 Yiftah Keshet
Dans le monde interconnecté d’aujourd’hui, le paysage de la cybersécurité est devenu de plus en plus complexe, en particulier pour les secteurs critiques tels que le pétrole et le gaz. La hausse des ransomware les attaques ciblant ce secteur ont soulevé de sérieuses inquiétudes quant à la sécurité de leurs réseaux de technologie opérationnelle (OT). Traditionnellement considérés comme sûrs en raison de leur nature isolée, les réseaux OT ne sont plus aussi isolés qu’ils l’étaient autrefois. Ce blog explore les préoccupations de sécurité des sociétés pétrolières et gazières concernant les attaques de ransomware sur leurs réseaux OT isolés et présente les Silverfort Sécurité Protection d'identité Plateforme comme solution globale.
Table des matières
Le modèle Purdue et les réseaux cloissonés
L'architecture de référence Purdue Enterprise, communément appelée modèle Purdue, est un cadre largement utilisé pour organiser et structurer les environnements de systèmes de contrôle industriel (ICS). Il se compose de niveaux hiérarchiques, allant du niveau 0 (capteurs et actionneurs) au niveau 4 (systèmes métiers). Le réseau OT isolé, qui comprend des composants tels que des automates programmables (PLC), des interfaces homme-machine (IHM) et des postes de travail d'ingénierie, réside généralement aux niveaux 1 et 2 de ce modèle. Historiquement, ces réseaux étaient considérés comme isolés des menaces externes en raison de leur séparation physique du réseau informatique de l'entreprise.
Une nouvelle réalité : érosion de l’isolement et augmentation de la surface d’attaque
Convergence IT/OT et accès tiers
Le paysage a radicalement changé avec la convergence des environnements IT et OT. Les sous-traitants et prestataires de services tiers ont besoin d'un accès régulier aux réseaux OT à des fins de maintenance et d'assistance, créant ainsi un pont entre réseaux isolés et les systèmes externes. Les transferts de fichiers de routine entre les réseaux OT et IT pour les données opérationnelles, les fichiers de configuration et les mises à jour logicielles affaiblissent encore davantage l'isolement.
La Active Directory Changement SSO
La transition des connexions locales vers Active Directory L'authentification unique (SSO) dans les réseaux OT a rationalisé l'accès des utilisateurs. Cependant, cela a également révélé une vulnérabilité importante. Une fois qu'un attaquant pénètre dans le réseau, le passage aux informations d'identification centralisées rend mouvement latéral plus facile, ce qui augmente les dommages potentiels d'une violation.
Exploiter les faiblesses des attaques de ransomwares
Avec l’affaiblissement des réseaux isolés, les adversaires peuvent capitaliser sur ces vulnérabilités pour infiltrer le réseau OT et installer des charges utiles de ransomware sur des actifs critiques tels que des postes de travail d’ingénierie, des IHM et des bases de données. Une fois à l'intérieur, les attaquants peuvent exploiter l'interconnectivité du réseau pour propager rapidement le ransomware, entraînant des temps d'arrêt opérationnels, des pertes de données et des pertes financières importantes.
Le défi de la MFA traditionnelle pour les réseaux Air-Gapped
Dépendance à la connectivité Internet
Traditionnel Authentification multi-facteurs (MFA) s'appuient souvent sur la connectivité Internet pour la vérification, ce qui les rend inefficaces dans les environnements isolés où une connexion réseau constante n'est pas garantie. Cette dépendance à l’égard de la connectivité crée une faille en matière de sécurité.
Dépendances des agents
Traditionnel Solutions MFA nécessitent souvent le déploiement d'agents sur les appareils, une tâche qui n'est pas toujours réalisable dans les environnements OT. La présence de systèmes existants et les préoccupations concernant la stabilité des appareils entravent le déploiement de ces agents, permettant aux attaquants d'exploiter les failles.
Silverfort MFA : MFA de jeton matériel sans agents requis
La Silverfort Protection unifiée de l'identité Platform offre une solution robuste pour relever ces défis et sécuriser efficacement les réseaux OT isolés :
Intégration directe avec Active Directory
Silverfortl'intégration directe de Active Directory élimine le besoin d'agents ou de mandataires, garantissant ainsi une authentification sans compromettre la sécurité. Cette approche simplifie le processus d'authentification et améliore la posture de sécurité globale.
MFA basée sur des règles et des risques pour un accès sécurisé aux sous-traitants tiers
SilverfortLes capacités MFA de permettent aux organisations d'appliquer des authentification basée sur les risques pour les entrepreneurs et prestataires de services tiers. Cela garantit que seul le personnel autorisé peut accéder au réseau et réduit considérablement le surface d'attaque.
Prise en charge du jeton FIDO2 pour empêcher les mouvements latéraux
SilverfortLa prise en charge par les jetons FIDO2 ajoute une couche supplémentaire de protection contre les mouvements latéraux au sein du réseau OT. En exigeant une authentification forte pour chaque tentative d'accès, même si un attaquant obtient un accès initial, sa capacité à se déplacer latéralement et à propager un ransomware est sévèrement limitée. En savoir plus sur Silverfort protection des réseaux entrefers ici.
Est-ce que cela correspond à vos besoins ? Cliquez sur ici pour planifier un appel avec l'un de nos experts.
