Decodage du traffic des systemes de controle et construction de dictionnaires de donnees avec OpenICS

La sécurité des systèmes de contrôle industriel a souvent été qualifiée d’archaïque, de risible voir d’inexistante. La majorité des systèmes ICS/SCADA a été développée sans penser à Internet, ni à la sécurité et ce malgré la position centrale qu’ils occupent dans l’automatisation de la fabrication et de la construction ainsi que dans l’exploitation des infrastructures critiques.

Souvent, la mission des opérateurs et des ingénieurs est unique : garantir la disponibilité. La disponibilité du service est la priorité et elle est souvent obtenue au détriment de l’application de correctifs sur des systèmes qui, par exemple, signifierait une mise hors service temporaire.

Les experts signalent également que les processus en place pour surveiller et analyser les incidents sont encore moins bien définis. C’est cette lacune que Scott Weston a tenté de combler à l’aide d’OpenICS, un projet parrainé par l’EnergySec, l’Energy Sector Security Consortium (consortium pour la sécurité dans le secteur énergétique). Publiée récemment sur GitHub, OpenICS est une bibliothèque qui décode le trafic du réseau de contrôle reniflé. Sa version actuelle prend en charge trois protocoles ICS parmi les plus utilisés : MODBUS DNP3 et EIP/CIP.

D’après Scott Weston, « Il s’agit de composants spéciaux qui savent comment interpréter le trafic du système de contrôle et élaborer des dictionnaires de données au départ de celui-ci dans le but de scripter des situations particulières qui sont intéressantes dans le contexte de la sécurité des informations.

Ces dictionnaires de données ou référentiels de métadonnées sont des éléments clés dans le succès d’OpenICS. Au lieu de développer des signatures qui peuvent être intégrées à un système de détection des intrusions, les dictionnaires de données peuvent contribuer à combler le vide entre les ingénieurs conscients des problèmes de sécurité et les opérateurs dans l’exploitation des infrastructures critiques.

Scott Weston, qui travaille pour un producteur d’électricité dans le Nord-Ouest de la côte Pacifique, explique : « Comme nous travaillons sur un dictionnaire de données, nous pouvons écrire des expressions prédicatives complexes. Il est possible d’élaborer des règles complexes avec des scripts afin d’inspecter le trafic au lieu de signatures dont l’efficacité n’est pas toujours démontrée. C’est outil bien plus puissant pour les utilisateurs très techniques et les utilisateurs métier.

Les personnes dotées de la fibre technique comprennent les concepts de paquets et de couches TCP/IP tandis que les utilisateurs métier comprennent les systèmes de contrôle et leurs fonctions. Mon objectif est que ces deux catégories d’utilisateurs se parlent en leur donnant un dictionnaire de données qui dirait en gros ‘voici des artéfacts de données tirés du trafic, utilisez-les pour prendre des décisions sur ce qui se passe et sur ce qui ne devrait pas se passer. Je pense que le potentiel est énorme. »

Le modèle qui repose sur les signatures est une technologie fondatrice dans la sécurité informatique et il requiert une analyse et des ressources humaines pour déchiffrer ce qui se passe ; son contexte professionnel est maigre. Weston espère qu’OpenICS va améliorer la situation.

« Les signatures traitent les données opaques en tant que données opaques. Les signatures interviennent à un niveau très bas et sont contre-intuitives. Il faut des connaissances techniques pour élaborer les signatures. Si vous disposez d’un module qui construit un dictionnaire de données pour vous, vous l’avez face à vous et vous pouvez écrire des scripts sur ce qui constitue un problème de sécurité et sur ce qui est normal.

Scott Weston développe la prise en charge d’autres protocoles mais les trois protocoles actuels étaient un choix naturel vu leur utilisation répandue dans les opérations ICS aux Etats-Unis. Bien que l’appui d’EnergySec soit crucial, il espère que la diffusion via GitHub contribuera à son adoption et qu’elle suscitera des réactions qui pourraient en faire une fonction normale dans de nombreux produits d’inspection du trafic.

D’après Scott Weston « Le plus grand avantage est l’implication des utilisateurs métier dans la sécurité, et pas seulement des geeks en informatiques. Ce sont ces utilisateurs qui peuvent identifier ce qui est normal ou non sur le réseau, mais leur point de vue ne se situe pas au niveau des bits et des octets. J’espère que cette solution va combler l’écart. »

threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *