La mesure et l'amélioration de la sécurité informatique sont maintenant arrivées dans de nombreuses entreprises et sont poussées vers l'avant. La question de la sécurité OT, en revanche, reste un livre fermé pour de nombreuses entreprises. OTORIO explique comment la sécurité informatique et OT peut être promue de manière égale et quel rôle la gestion des vulnérabilités et la notation y jouent.
Quelles sont les mesures de réduction des risques les plus efficaces qui permettent d'obtenir la réduction des risques la plus efficace pour une installation, un processus spécifique ou une installation de production entière ? Cependant, une fois que les mesures de réduction des risques sont mises en œuvre et qu'un risque résiduel acceptable demeure, il reste encore du travail à faire. En effet, le processus d'atténuation des risques révèle des dangers et des lacunes supplémentaires qui font partie du risque résiduel « acceptable » nouvellement introduit.
Il s'agit d'un processus continu car il permet aux équipes de sécurité opérationnelles et OT de se concentrer en permanence sur les vulnérabilités que les attaquants sont les plus susceptibles d'exploiter pour causer le plus de dommages possible à une organisation. Ce n'est qu'en répétant cette boucle d'évaluation des risques que les organisations peuvent atteindre la résilience de l'entreprise avec une quantité limitée de ressources.
Objectifs de l'évaluation de la situation
L'objectif principal du processus d'évaluation est de traiter les vulnérabilités avec la bonne priorité. Cet article examine la nature des vulnérabilités, la manière dont elles doivent être évaluées et leur application à la sécurité numérique OT.
Le National Institute of Standards and Technology (NIST) définit une vulnérabilité comme : "Une vulnérabilité dans la logique de calcul (par exemple, le code) des composants logiciels et matériels qui, si elle est exploitée, a un impact négatif sur la confidentialité, l'intégrité ou la disponibilité. La correction des vulnérabilités dans ce contexte implique généralement des modifications du code, mais peut également impliquer des modifications de la spécification ou même l'obsolescence de la spécification (par exemple, la suppression complète des protocoles ou des fonctions concernés). ”
Relation entre l'inventaire des actifs et les vulnérabilités OT
La création d'un inventaire précis, contextuel et détaillé des actifs est la première étape du développement d'un processus efficace d'analyse des vulnérabilités OT. L'inventaire doit inclure les dates des logiciels et des versions, les connexions des appareils, l'état et les informations de gestion (par exemple, le propriétaire, le rôle opérationnel, la fonction). Un inventaire actuel et précis reflète divers aspects de la santé des actifs.
Après un premier inventaire, les vulnérabilités peuvent être liées aux actifs correspondants. Cette cartographie doit être effectuée via un processus automatisé, en particulier avec un grand nombre d'actifs. Cela nécessite de créer et d'utiliser un algorithme capable d'associer des données de vulnérabilité semi-structurées à des actifs sur le réseau.
La base de données CVE (Common Vulnerabilities and Exposures) du NIST contient actuellement environ 170.000 XNUMX vulnérabilités informatiques et OT connues, ce qui en fait une source d'informations importante. Ce nombre et l'introduction constante de nouvelles vulnérabilités soulignent l'ampleur et la nécessité d'automatiser leur identification.
Sources des définitions de vulnérabilité
Lors de l'évaluation des vulnérabilités, la gravité de chaque vulnérabilité est quantifiée à l'aide d'un indice de vulnérabilité. Une méthode standard d'évaluation des vulnérabilités est le système CVSS (Common Vulnerability Scoring System) du NIST, une norme de l'industrie qui évalue la facilité avec laquelle une vulnérabilité peut être exploitée et l'impact qu'elle peut avoir sur la confidentialité, l'intégrité et la disponibilité. Ces trois facteurs (également appelés « CIA » - pour « confidentialité, intégrité et disponibilité ») sont également des variables qui mesurent la gravité potentielle d'une menace.
Cependant, il ne suffit pas de prendre en compte les vulnérabilités courantes pour déterminer le degré de vulnérabilité d'un actif particulier. Une autre source de détermination est la politique interne d'une entreprise. Par exemple, si une telle politique dicte que les mots de passe de force moyenne constituent une vulnérabilité, cela doit être pris en compte lors du calcul de la vulnérabilité de l'actif. Les vulnérabilités spécifiques à l'entreprise sont le principal moyen par lequel les praticiens peuvent considérer la politique comme un facteur d'évaluation des vulnérabilités.
Les normes et les meilleures pratiques de l'industrie sont également des sources importantes de vulnérabilités qui contribuent au risque. Des exemples de normes industrielles sont ISA/IEC 62443 en Europe et NERC CIP en Amérique du Nord. Le non-respect des meilleures pratiques peut entraîner des problèmes tels qu'une configuration de segmentation autorisée, un manque d'agents EDR et une communication injustifiée entre les zones IT et OT du réseau. Celles-ci doivent être saisies dans une base de données globale des vulnérabilités où elles peuvent être modifiées par des experts en la matière au fur et à mesure de l'évolution des normes et des meilleures pratiques de l'industrie.
Évaluation des vulnérabilités
Les praticiens doivent évaluer les vulnérabilités spécifiques à l'entreprise à l'aide du système CVSS et les placer sur la même échelle que les vulnérabilités générales. La base de données de vulnérabilité doit être suffisamment flexible pour permettre au praticien d'influencer l'évaluation de la vulnérabilité en fonction des politiques de l'entreprise.
Étant donné que tout état d'actif peut représenter une vulnérabilité, il est conseillé de déployer un algorithme qui applique les politiques d'entreprise à tous les états d'actif. La base pour prendre les bonnes décisions concernant la situation de sécurité est donc l'utilisation cohérente d'une base de données de vulnérabilités dans laquelle toutes les vulnérabilités sont évaluées selon une méthode standard. Cela permet à une organisation de hiérarchiser les mesures d'atténuation en fonction du risque.
Conclusion
Les vulnérabilités sont l'un des quatre composants de risque et un facteur important lors de l'analyse de la posture de sécurité. Un défi majeur consiste à créer et à maintenir une base de données de vulnérabilités qui peut être appliquée aux actifs pour prendre des décisions sur la hiérarchisation des actions de remédiation.
La meilleure façon d'évaluer les vulnérabilités est de se conformer au système CVSS. Par conséquent, les organisations évitent d'avoir à réévaluer toutes les vulnérabilités courantes tout en respectant les normes de l'industrie. En raison de la portée et de l'échelle de ce processus, il est nécessaire de l'automatiser. De cette manière, une organisation peut effectuer régulièrement une évaluation cohérente et évolutive de la posture de sécurité, ce qui permet de comparer les évaluations dans le temps et d'identifier les tendances de la posture de sécurité.
Plus sur Sophos.com
À propos d'OTORIO
OTORIO développe et commercialise la prochaine génération de solutions de sécurité OT et de gestion des risques numériques. La société combine l'expérience d'experts gouvernementaux de premier plan en cybersécurité avec des technologies de pointe en matière de gestion des risques numériques pour fournir le plus haut niveau de protection aux infrastructures critiques et aux industries manufacturières.