Censys et GreyNoise ont fait équipe au cours des trois derniers mois pour jeter un nouvel éclairage sur les menaces réelles auxquelles sont confrontés les systèmes de contrôle industriel (ICS) exposés à Internet. Lors de LABSCon 2024, ils ont partagé leurs conclusions, remettant en question certaines hypothèses de longue date sur la sécurité des SCI.
Au début de cette année, les chercheurs de Censys ont identifié plus de 40 000 dispositifs ICS connectés à l'internet aux États-Unis, dont plus de 400 interfaces homme-machine (IHM). Nombre de ces interfaces ne nécessitaient aucune authentification au moment de l'observation. Les interfaces homme-machine sont faciles à comprendre et à manipuler, ce qui en fait des cibles faciles pour les acteurs de la menace qui cherchent à perturber les opérations. Étant donné la relative facilité de manipulation, nous étions curieux de connaître le trafic d'attaques réel que ces interfaces reçoivent.
Pour mener des recherches préliminaires, GreyNoise a mis en place des émulations hyperréalistes d'IHM connectées à l'internet pour des systèmes de contrôle critiques, en les camouflant par géographie et ASN. Quarante-cinq jours de données ont été analysés pour obtenir ces résultats surprenants et inquiétants :
- Ciblage rapide: Les IHM connectées à Internet ont été sondées et analysées plus rapidement que les capteurs de contrôle de base. Plus de 30 % des IP qui ont touché les IHM avant un capteur GreyNoise typique ont été identifiés comme malveillants par la suite.
- Priorité à l'accès à distance: Contrairement aux attentes, les attaquants ont principalement ciblé les protocoles communs des services d'accès à distance (RAS) plutôt que les protocoles de communication spécifiques aux ICS. L'informatique en réseau virtuelle (VNC) a particulièrement intéressé les acteurs de la menace.
Implications pour la sécurité des ICS
Cette étude met en évidence un décalage potentiel entre les risques perçus et le comportement réel des acteurs de la menace à l'égard des SCI exposés à l'internet. Alors que l'industrie se concentre depuis longtemps sur la sécurisation des protocoles de communication spécifiques aux SCI, la menace la plus pressante pourrait résider dans des points d'entrée plus courants et facilement exploitables, tels que les services d'accès à distance. La rapidité du ciblage suggère qu'il faut donner la priorité à l'exploration de ces dispositifs en ligne.
Cette recherche souligne l'importance cruciale de la sécurisation des services d'accès à distance en tant que défense de première ligne pour les environnements ICS. La relative facilité à cibler ces points d'entrée génériques peut souvent rendre inutile l'exploitation de protocoles ICS spécialisés.
GreyNoise et Censys ont l'intention de poursuivre cette recherche afin d'en apprendre davantage sur la base de ces résultats expérimentaux.
