KASPERSKY INDUSTRIAL CYBERSECURITY (KICS)
49
KASPERSKY INDUSTRIAL CYBERSECURITY (KICS)
Transcript of KASPERSKY INDUSTRIAL CYBERSECURITY (KICS)
KASPERSKY INDUSTRIAL CYBERSECURITY (KICS)
INDUSTRIAL
CYBER
SECURITY
WHAT IS KICS STORY ABOUT:
KASPERSKY
À PROPOS DE KASPERSKY LAB
IMPLANTATION GÉOGRAPHIQUE
NOS CLIENTS
KICS EST UNE PARTIE DE NOTRE STRATÉGIE
10
CE QUI SE PASSE SUR LE MARCHÉ DE L'ENTREPRISE
ISA-95 – Enterprise Architecture standard
MOTEURS D'ACTIVITÉ
MOTEURS
TECHNOLOGIQUE
DURÉE DE LA DÉCISION
PRÉCISION DE LA DÉCISION
CHANGEMENTS OU DISPARITIONS – MOTEURS D'ACTIVITÉ
TOP-10 | USA, Energy 2001 2015
Exxon Mobil
Phillips 66 Acquisition
Enron Faillite
Duke Energy
Marathon Oil
Valero Energy
PG&E Corp.
Aquila Faillite
Energy Future Holdings
Kinder Morgan
SOURCE : FORTUNE500 RATING
INDUSTRY 4.0 – MOTEURS TECHNOLOGIQUE POURQUOI LES PLC SONT SI DUR A SÉCURISER ?
Source de l’image: XL Technology Systems.
INDUSTRY 4.0 – MOTEURS TECHNOLOGIQUE
18th Century 20th Century 1970s Today
IT
Progress Smart
Devices
Streaming L'Internet Industriel
des Objets
Communications M2M Fabrication
additive
TOP – RISQUES MÉTIERS EN 2015
Interruption de travail
Cyber Menaces
SOURCE : ALLIANZ RISK BAROMETER 2015 (HTTP://WWW.AGCS.ALLIANZ.COM /INSIGHTS/
WHITE-PAPERS-AND-CASE-STUDIES/RISK-BAROMETER-2015/ )
2015 – 5 2014 - 8 2013 - 13
SCENARIO D’INTRUSION DANS UN SYSTEM DE CONTRÔLE INDUSTRIELLE
Séquence d' actions malveillantes qu'un pirate peut entreprendre pour tenter de pénétrer dans le
système de contrôle du terminal de décharge.
Se connecter au réseau de
système de contrôle
Comprendre les automates (PLC)
ou d'autres dispositifs de
contrôle
Cracker le mot de passe PLC
Récupération et analyse de la
configuration du PLC
modification malveillante de la
logique de commande
Quitter le système touché
8-48 heures 2-4 heures 2-6 heures 8-24 heures 0.5-2 heures Compte à rebours
d'urgence
Terminaux de décharge
des citernes ferroviaires
– De telles installations
sont utilisé dans presque
toutes les raffineries de
pétrole.
Le but ultime d'un pirate est
de provoquer un accident
industriel
CYBER-RISQUES INDUSTRIELS NOUVEAU SUJET DU CONSEIL D'ADMINISTRATION
- 8 À 10 GÉANTS INDUSTRIELLES ONT PERDUS
LEURS POSITIONS SUR LE MARCHE
- LES CYBER MENACES SONT CLASSÉS PAR LES ENTREPRISES COMME № 5 ( PLUS FORTE
CROISSANCE POUR LES 3 DERNIÈRES ANNÉES )
- +/-14 HEURES ENTRE UN ACCÈS ET UN ACCIDENT SUR UN SYSTÈME INDUSTRIEL ( 5 ETAPES)
DÉFI INDUSTRIEL
• Pour les réseaux informatiques des entreprises, la priorité n° 1 est de
maintenir la confidentialité des données sensibles.
• Bien que la disponibilité du service informatique soit importante,
elle n'est pas aussi essentielle que la confidentialité et l'intégrité.
• C'est précisément l'inverse pour le contrôle industriel,
où la disponibilité continue des processus est primordiale,
L'AUTRE DIFFÉRENCE MAJEURE
Concerne les technologies utilisées dans les
environnements de systèmes de contrôle
industriel
Les environnements de systèmes de contrôle
industriel peuvent être
Extrêmement personnalisés
Complexes
Avec des technologies propriétaires
Des serveurs SCADA, des interfaces
homme-machine, des automates
programmables ou des sous-systèmes
anciens ou obsolètes.
Chaque infrastructure de contrôle étant unique,
la solution de sécurité doit être créée sur mesure
CE QUI REND LA PROTECTION DIFFICILE AUJOURD'HUI
Faible sensibilisation
Absence d’information
La sécurité « typique »
(sécurité bureautique)
n’est pas applicable
La plupart des attaques
ciblent les objets vieux, non
sécurisés et difficiles à mettre
à jour
Manque de compétences et
de pratique en matière de
cyber sécurité industrielle
Manque de possession du
sujet cyber securité
Source: RISI Annual Summary 2013
NOUS VOUDRIONS ÉVITER LES INCIDENTS
SANS ICS team : “ Nous évaluons avec une grande confiance sur la base
des déclarations de l'entreprise , des rapports des médias , et de l'analyse
préliminaire que l'incident était dû à une attaque intentionnelle coordonnée
.”
23 DEC 2015, UKRAINE, 6 HEURES
Confirmation d'une attaque coordonnée sur le réseau électrique ukrainien
PRINCIPALES CAUSES D’INCIDENT EN
ENVIRONNEMENT INDUSTRIEL* IHM, 8%
Wi-fi, 5%
Périphériques mobiles, 4%
Ports USB, 3%
Accès distants, 26%
Réseau d’entreprise,
35%
Prestataires externes, 10%
Connexion Internet, 9%
* Data courtesy of securityincidents.net
Erreurs Logiciels,
23%
Attaques de Malwares,
35%
Autres, 12%
Defaillances SCADA,
19%
Erreurs opérateurs,
11%
PRINCIPALES SOURCES D’INFECTION EN
ENVIRONNEMENT INDUSTRIEL*
ACTION DE DESTRUCTION
RISQUES ET MENACES
Impact involontaire en raison du
manque de sensibilisation à la
cyber sécurité
Sabotage
IMPACT INVOLONTAIRE
Malware au centre de commande de
la centrale électrique de Monju
(Japon, Jan 2014)
Via un poste de travail d'ingénierie
42000 documents et courriels ont été
compromis
STUXNET A DÉTRUIT DES OBJETS PHYSIQUES
26
6 10
300
Flame Gauss Stuxnet
Le premier exemple bien connu d'arme cyber
Le malware complexe qui a ciblé
les réseaux industriels ; plus de
300.000 incidents dans le monde
entier . Kaspersky Lab a participé à
l'enquête mondiale ; nos analystes
ont révélé les principaux détails
sur la structure Stuxnet .
Plus tard, Kaspersky Lab découvre la
nouvelle génération « d'armes cyber: »
Gauss, Flame, MiniDuke, NetTraveler etc..
Approximate number of incidents (k)
Critical Infrastructure Protection
ACTION DE DESTRUCTION
FRAUDE INDUSTRIELLE
RISQUES ET MENACES
Impact involontaire en raison du
manque de sensibilisation à la
cyber sécurité
Sabotage
Espionnage industriel
Fraude du personnel
opérationnel
$$$$$$$$$$
FRAUDE ICS - SCENARIO
Remplissage des camions-citernes avec extra - cas réel
Trouver comment tromper un système d'automatisation
Un camion-citerne vide arrive au centre
Remplissage d'un réservoir d'essence et dissimulation de la fraude
Un camion-citerne plein quitte le centre
Extraire le « surplus » d’essence
2 % par camion-citerne
ACTION DE DESTRUCTION
FRAUDE INDUSTRIELLE
CYBER ARME
RISQUES ET MENACES
Soutenues par le gouvernement
Impact involontaire en raison du
manque de sensibilisation à la
cyber sécurité
Sabotage
Cyber Hooligans
Espionnage Industrielle
Fraude du personnel
opérationnel
Lutte concurrentielle déloyale $$$$$$$$$$
INCIDENT – CAS REEL
https://www.securelist.com/en/blog/208216055/Abused_update_of_GOM_Player_poses_a_threat
Attaque sur des hauts fourneaux
(Allemagne, Dec 2014) Les pirates ont pris le contrôle du réseau de l’usine après
avoir obtenu les informations nécessaires à l’aide de
techniques sophistiquées d’ingénierie sociale.
L’attaque a provoqué la défaillance de plusieurs composants
qui ont empêché l’arrêt contrôlé d’un haut fourneau,
endommageant l’infrastructure
UNE CENTRALE NUCLÉAIRE ALLEMANDE VICTIME D'UNE
CYBERATTAQUE
AVRIL 2016 - Centrale nucléaire de Gundremmingen
Le virus avait contaminé le système informatique lié au
déplacement de barres du combustible nucléaire.
Ses systèmes informatiques ont été infectés par deux types de virus
(W32.Ramnit et Conficker),
Les logiciels malveillants ont également été trouvés sur 18 lecteurs de
données amovibles, principalement des clés USB, des ordinateurs de
bureau maintenus séparés des systèmes d’exploitation de l’usine,
LA CYBERSECURITY EST UN PROCESSUS PAS UN PROJET
Support & mises
à jour
Implementations
Sensibilisation
aux risques et
menaces
Evaluation des
risques
Propositions
OU INTERVENONS NOUS KL Solution vs. ISA95 Model
Gestion de la
planification et du suivi
LEVEL 4
Systeme de gestion de la
fabrication
LEVEL 3
Contrôle et
supervision des
processus
LEVEL 2, 1
Physique
LEVEL 0
Gestion des produits et des stocks, gestion des clients, des
commandes. (ERP)
Contrôle des flux de travail/recette pour produire les produits
finaux. Optimiser le processus de production. (Systeme d’ exécution
de fabrication – MES [Manufacturing execution System])
Suivi, surveillance et contrôle automatisé du processus de
production (SCADA, supervision et contrôle-commande)
Détecter, manipuler les processus de production (PLC, DCS,
automatisme)
Processus physiques de production (Capteurs et actionneurs)
Ka
sp
ers
ky
Ind
ustr
ial
Cyb
erS
ecu
rity
Ka
sp
ers
ky S
ecu
rity
fo
r
Bu
sin
ess +
Pro
fessio
nal
Se
rvic
es
Em
be
dd
ed
se
cu
rity
SOLUTION - STRUCTURE
KICS – COMPOSANTS DE LA SOLUTION
SERVICES
CONNAISSANCES
• Formations et sensibilisation Cybersécurité
• Cyber Intelligence
• Jeu de simulation
1 JOUR SUR SITE
1 JOUR SUR SITE
1 JOUR SUR SITE - JEUX
SERVICES
CONNAISSANCES
EXPERTISE
• Formations et sensibilisation Cybersécurité
• Cyber Intelligence
• Jeu de simulation
• Evaluation de la cybersecurité
• Intégration de la solution
• Maintenance
• Réponse aux incidents
GESTION CENTRALISEE DE TOUS LES COMPOSANTS
Toutes les opérations liées à la gestion du système de cyber sécurité doivent s’effectuées à
partir d'une console unique
Déploiement d'applications et de systèmes
Gestion des politiques de sécurité
Mises à jour de la base de données contre les programmes malveillants
Contrôle des droits d'accès des administrateurs de la sécurité
Configuration et génération de rapports détaillés
Sur 3 niveaux de protection:
Réseau Industriel
ICS éléments Endpoint
PLC (Contrôle d’intégrité)
Interconnecté (SIEM,...)
PROTECTION CLASSIQUE ≠ INDUSTRIEL
Solution Endpoint
« Classique »
Solution Industriel
Priorité Protection des données,
niveaux maximum de
prévention et de détection
Continuité des processus
technologique. Impact
minimum sur les ICS
Compatibilité Applications d’entreprise ISC/SCADA
Utilisateur Administrateur et équipes de
sécurité IT
Opérateurs, ingénieurs,
équipe IT
Support et
accompagnement
Contrat d’accompagnement et
de support optionnel
Obligatoire
Haute tolérance au panne
Mode « Default Deny »
Évaluations des vulnérabilités
Contrôle des périphériques
Contrôle d’intégrité des PLC
Mode haute disponibilité
Serveurs ICS/SCADA
Postes de travail d’ingénierie
Prise en charge des interfaces
homme-machine
Technologies de protection avancées
PROTÉGER LES DIFFÉRENTS NOEUDS KICS FOR NODE
UNE PROTECTION AVANCÉE ET REACTIVE
KASPERSKY PRIVATE SECURITY NETWORK
Détection des anomalies sur le trafic
réseau
Détections des commandes de
contrôle potentiellement
dangereuses ( point de vu
processus technologique )
Vérification de l’intégrité du réseau (
détection des nouveaux
périphériques connecté dans le
réseau ICS)
Forensic, outil de surveillance et de
détection des incidents
PROTECTION DU RÉSEAU INDUSTRIEL: KICS FOR NETWORK: BIEN PLUS QU’UN SIMPLE IDS
KICS for
Networks
ICS/SCADA
JOUET INDUSTRIEL POUR LA VRAIE VIE
“Kaspersky Industrial CyberSecurity meets our requirements in full and has also enabled functions such as
device control as well as centralized control and monitoring of the protected units.” Roman Yanukovich, Technical Director, SIA VARS
TRANSPORT SÛR POUR LES PRODUITS CHIMIQUES TOXIQUES
CHALLENGE
►Manipulation des produits chimiques toxiques , il est
essentiel d'empêcher les attaques de virus qui
pourraient perturber le fonctionnement du terminal
SATISFACTION CLIENT
►Fonctionne dans un environnement isolé
►Contrôle sur liste blanche (Whitelisting)
“The performance of Kaspersky Industrial CyberSecurity exceeded all our expectations. Just months after
deployment, the solution detected an unauthorized connection attempt by an outside laptop to one of
the controllers.” Marat Gilmutdinov, Head of Industrial Control Systems Department, TANECO
TANECO PROTÈGE LA PRODUCTION DE PÉTROLE
CHALLENGE
►La continuité des processus technologiques
est le principe essentiel
SATISFACTION CLIENT
►Assistance rapide au cours du déploiement et de
l'exploitation
►Détection des connexions non autorisées
