Cet article est le 7ème et dernier d’une série d’articles consacré à la convergence pare-feux – sondes, à l’occasion de la sortie de son produit CyFRONT « Frontal de Sécurité ».

Cas 4 : Protection des sauvegardes et de la machine d’ingénierie

Ce cas d’usage est complémentaire du précédent. Les attaques par ransomware ciblent en effet les sauvegardes pour les chiffrer ou les détruire. Quant à la station d’ingénierie, elle est un bien support assez névralgique, puisque sa compromission entraine la possibilité de modifier les programmes automates ou la supervision.

C’est d’ailleurs cette sensibilité commune qui nous a conduit à mettre ces deux machines sur un LAN séparé.

La protection apportée par CyFRONT comprend le pare-feu, la sonde et l’isolement éventuel du LAN Ingénierie. Le pare-feu de CyFRONT peut être tout ou partie du pare-feu figuré sur le dessin.

Outre la possibilité d’utiliser Suricata en sonde sur signature, qui est disponible sur CyFRONT, et utile pour ce type d’attaque très standard, la sonde CyPRES est adaptée à scruter les échanges liés aux sauvegardes autant qu’aux accès de la station d’ingénierie. Dans les deux cas, ce qui est à regarder est lié aux échanges de fichiers, qui génèrent une dynamique d’échange très particulière et aisée à caractériser.

L’isolement physique de ce LAN est particulièrement justifié car les sauvegardes doivent, selon les référentiels du domaine, être sauvegardées off-line également ; et parce que la station d’ingénierie a des connexions au réseau ponctuelles et non permanentes par nature. On peut même définir pour les deux machines une politique d’utilisation précise qui est directement surveillée par CyFRONT.

Cas 5 : Protection d’un site distant avec back-up 5G

Le cas suivant concerne un site distant, communiquant avec un système central (industriel) au moyen d’un ADSL ou MPLS. Le routeur du MPLS ou la Box de l’ADSL n’est pas figurée sur le dessin. On fait l’hypothèse d’un APN également présent chez le client, à défaut toutefois une communication 5G de base convient.

Dans ce cas il est utile d’utiliser CyFRONT en pare-feu d’entrée de site. Le routeur de CyFRONT permet d’effectuer une connexion à l’APN (Access Point Name) sur coupure des réseaux entrants, et d’établir un (ou plusieurs) VPN pour l’exploitation ou l’administration à distance.

Il n’est pas forcément judicieux d’utiliser la liaison APN de secours pour alerter le SOC, car la protection de ce type de liaison est plus difficile.

En général ce type de site isolé peut fonctionner pendant un certain temps de manière isolée, ceci découlant des précautions prises en cas de panne de communication. La solution apportée par CyFRONT est donc une protection qui dégrade l’exploitation, mais d’une manière connue et maitrisée par les exploitants.

La connexion à l’APN peut être utilisée également en fonctionnement normal, par exemple pour envoyer des alarmes vers l’exploitant.

Conclusion

La protection des système industriels voit l’arrivée de mesures de sécurité de type IDS et IPS. Ces nouveaux équipements demandent à bien maitriser leur configuration, et leur emploi est conditionné à une analyse de risque bien faite, un environnement de sécurité défini avec un SIEM en capacité de traiter les alertes, et une mise à jour régulière des bases de connaissances des attaques pour les sondes sur signature.

En plus de leur efficacité de détection et de protection, les IDS / IPS apportent des fonctions de cartographie et d’analyse de réseau intéressantes. Leur complémentarité avec les pare-feux est grande et permet de vérifier le respect des politiques de sécurité pour ce qui touche aux accès et échanges sur le réseau industriel.

Le nouveau produit CyFRONT de Cybelius apporte une nouvelle dimension en combinant pare-feu, routage, sonde comportementale et sonde sur signature. CyFRONT permet des mesures de sécurité fortes en cohérentes entre le filtrage des pare-feux, les analyses du trafic réseau, la réaction locale avec isolement des segments de réseaux protégés, les alertes au SIEM, enfin des marches dégradées efficaces grâce à des back-up de liaisons.