Cet article est le 5ème d’une série d’articles consacré à la convergence pare-feux – sondes, à l’occasion de la sortie de son produit CyFRONT « Frontal de Sécurité ».
roubaix annonces rencontre Article 1 : Pare-feu, IDS, IPS en environnement industriel
Dhāmpur Article 2 : Approche par signature ou comportementale
mec gay dieppe Article 3 : Cas d’Application CyFRONT
Article 4 : Protection en cas d’attaque externe
Cas 2 : Protection accès Télémaintenance
Rappel sur les possibilités de câblage de CyFRONT :
Ce nouveau cas d’utilisation consiste à ajouter aux différentes protections de accès distants la sécurité de la fonction IPS de CyFRONT :
Il est en effet fréquent de donner un accès distant (RDP sur VPN ou autre) à un constructeur ou éditeur pour se connecter à son équipement, faire les diagnostics ou la maintenance à distance. Pour autant, il est possible (et souhaitable la plupart du temps) d’interdire de charger des configurations différentes qui n’ont pas été auparavant validées. Dans ce cas, la règle de CyPRES sur le trafic vers la machine est précieuse, car elle peut détecter un volume anormalement haut et dans ce cas isoler le LAN terrain.
L’alerte vers l’administrateur via le SOC est utile pour mener une investigation côté constructeur et vérifier qu’il respecte la politique de sécurité qu’on lui impose.
Ce cas d’usage a de multiples déclinaisons. On peut également détecter des flux sortant anormaux, ce qui est assez facile car un automate a de volumes émis très réguliers, hors de son initialisation.
On peut également utiliser le pare-feu de CyFRONT pour remplacer celui de l’OT (jaune orange sur le dessin) . L’action faite par CyPRES, à la fois en détection et en coupure de réseau, n’influe pas sur la capacité du pare-feu à effectuer ses tâches sur les autres parties non isolées du réseau. On peut également utiliser le routeur de CyFRONT pour proposer une autre voie depuis le LAN Exploitation, de manière que la communication LAN Terrain – LAN Supervision soit rétablie rapidement.
Il y a également la possibilité de découpler complètement l’accès distant RDP sur un LAN dédié depuis un switch associé à CyFRONT. De cette manière, la coupure provoquée par CyFRONT n’affectera pas les autres communications fonctionnelles de l’automate. On obtient donc, comme précédemment :
- La continuité opérationnelle, ou la remédiation rapide automatique,
- L’isolement du flux dangereux au niveau bas
- L’alerte du SOC.
Cet exemple est typique d’une surveillance qui valide le respect par un tiers d’une politique de sécurité, ou des conditions stipulées dans un Plan d’Assurance Sécurité.
