Même les réseaux isolés pour KRITIS ne sont pas à l'abri d'attaques ou de vols de données. Les chercheurs d'ESET enquêtent sur des logiciels malveillants spécifiques qui ciblent les réseaux dits "à intervalle d'air".
Les infrastructures critiques et sensibles doivent être particulièrement bien protégées contre les pirates. Une possibilité est l'utilisation de réseaux dits "air gap". Ceux-ci sont utilisés, par exemple, dans les systèmes de contrôle industriels qui gèrent les pipelines et les réseaux électriques ou les systèmes de vote ou SCADA qui contrôlent les centrifugeuses nucléaires, entre autres. Ces systèmes ne sont pas directement connectés à Internet. Cette isolation complète d'un appareil ou d'un système d'Internet et d'autres réseaux vise à assurer une sécurité maximale. Les chercheurs d'ESET utilisent 17 programmes malveillants pour montrer comment les groupes APT (Advanced Persistent Threats) peuvent encore réussir.
Les pirates ont trouvé des moyens d'attaquer
« Malheureusement, les pirates ont trouvé un moyen d'attaquer ces réseaux isolés. De plus en plus d'entreprises misent sur la technologie "air gap" pour les systèmes sensibles. Les attaquants ont maintenant réagi à cela et perfectionné leurs compétences pour trouver de nouvelles vulnérabilités », explique Alexis Dorais-Joncas, responsable de l'équipe de renseignement de sécurité chez ESET. « Pour les organisations disposant d'infrastructures critiques et/ou d'informations sensibles, la perte de ces données peut être dévastatrice. Le potentiel de ce logiciel malveillant particulier est énorme. Tous les programmes malveillants que nous avons examinés visent à mener des activités d'espionnage. Les clés USB sont utilisées comme support de transmission physique pour faire entrer et sortir clandestinement des données des réseaux compromis.
L'analyse est conçue pour aider les professionnels de la sécurité à prévenir
La détection et l'analyse de ces programmes malveillants particuliers posent un défi particulier. Dans certains cas, plusieurs composants doivent être analysés ensemble pour obtenir une image complète des attaques. L'analyse est basée sur des connaissances publiées par plus de 10 organisations différentes au fil des ans et sur certaines recherches pour clarifier ou confirmer des détails techniques. Cela a permis aux chercheurs d'ESET, dirigés par Alexis Dorais-Joncas, d'examiner de près ce type particulier de malware. Ils ont découvert comment la sécurité de ces réseaux peut être améliorée et comment les futures attaques peuvent être détectées et atténuées à un stade précoce.
Conseils pour protéger les réseaux "air gap"
Sur la base des risques identifiés, ESET a compilé la liste suivante de méthodes et d'outils de détection pour protéger ces réseaux isolés des techniques les plus importantes utilisées par les pirates.
- Empêcher l'accès aux e-mails des hôtes connectés : Empêcher l'accès direct aux e-mails sur les systèmes connectés atténuerait ce vecteur d'attaque populaire. Cela pourrait être accompli avec un navigateur ou une architecture d'isolation de messagerie où toutes les activités de messagerie sont menées dans un environnement virtuel séparé.
- Désactiver les ports USB : La suppression ou la désactivation physique des ports USB sur tous les systèmes exécutés sur un réseau "à intervalle d'air" est la protection ultime. Bien que la suppression ne soit pas pratique pour toutes les organisations, les ports USB fonctionnels ne doivent être limités qu'aux systèmes qui en ont absolument besoin.
- Désinfection des clés USB : Une analyse des logiciels malveillants sur une clé USB, effectuée avant qu'une clé USB ne soit insérée dans un système "à vide d'air", pourrait casser de nombreuses techniques mises en œuvre par les frameworks examinés.
- Exécution de fichiers sur des lecteurs amovibles uniquement : Les fichiers en cours d'exécution doivent être limités aux lecteurs amovibles uniquement. Plusieurs techniques utilisées pour compromettre finissent par exécuter directement un fichier exécutable stocké quelque part sur le disque dur.
- Analyse régulière du système : Une analyse régulière du système à la recherche de logiciels malveillants est un élément important de la sécurité pour protéger les données.
De plus, la sécurité des terminaux protège contre l'exploitation des vulnérabilités. L'utilisation d'une telle solution, qui doit également être tenue à jour, peut éloigner les attaquants par anticipation. « Un système entièrement sécurisé nécessite une couche de protection supplémentaire. Mais comme tous les autres mécanismes de sécurité, les réseaux air gap ne sont pas une panacée et n'empêchent pas les attaquants d'exploiter des systèmes obsolètes ou les mauvaises habitudes des employés », commente Alexis Dorais-Joncas, chercheur chez ESET.
Plus sur WeLiveSecurity.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.