Avec l'ajout de 8 nouveaux protocoles - ce qui porte à 16 le nombre total de protocoles de technologie opérationnelle (OT) -Censys découvre désormais plus de 100 000 services OT accessibles au public. La technologie opérationnelle est définie comme les systèmes utilisés pour gérer les opérations industrielles. Cela comprend les systèmes de contrôle industriel (ICS), mais aussi les logiciels et les dispositifs utilisés pour gérer l'infrastructure ICS.
De nombreux protocoles utilisés pour l'interface avec les systèmes ICS ont été développés avant la généralisation de la connectivité Internet et ne disposent pas de mécanismes d'authentification ou de cryptage solides. L'infrastructure utilisée vieillit également : l'âge moyen d'une centrale électrique aux États-Unis est de 29 ans . Cette infrastructure critique a été la cible de campagnes de cyber-attaques réussies, dont le récent piratage de Colonial Pipeline . Ce problème est encore aggravé par le fait que les organisations qui utilisent l'OT doivent généralement faire appel à des fournisseurs pour mettre à niveau ou moderniser tous les ans un écosystème délicat de machines connectées. Dans ces environnements, l'obturation de l'air et la segmentation du réseau font partie des mesures d'atténuation à court terme les plus courantes.
Protocoles OT les plus courants
Nous pouvons commencer par consulter le jeu de données Internet universel à l'aide de BigQuery (une fonctionnalité de Censys Enterprise) pour voir quels sont les protocoles les plus fréquemment accessibles au public. Il est également possible d'explorer ces protocoles à l'aide de cette requête dans notre application de recherche :
SELECT DISTINCT services.service_name , count(*) as ct
FROM `censys-io.universal_internet_dataset.universal_internet_dataset` JOIN UNNEST(services) AS services
WHERE DATE(snapshot_date) = "2021-08-03"
AND services.service_name IN (
"ATG",
"BACNET",
"CITRIX",
"CODESYS",
"DIGI",
"DNP3",
"EIP",
"FINS",
"FOX",
"GE_SRTP",
"IEC60870_5_104",
"MODBUS",
"PCWORX",
"PRO_CON_OS",
"S7",
"WDBRPC
)
GROUP BY services.service_name
ORDER BY ct desc
Allons-y et saisissons le nombre d'hôtes uniques exécutant ces services en changeant notre requête en :
SELECT COUNT(DISTINCT host_identifier.ipv4)
Nos résultats montrent un total de 110 246 services OT, fonctionnant sur 101 484 adresses IPv4 uniques :
Nous savons, grâce à des recherches antérieures , que de nombreux services sur Internet sont des pseudo-services qui exécutent le même service sur chaque port ou des pots de miel qui simulent l'exécution d'un grand nombre de services. Censys tronque certaines informations sur les services pour les hôtes qui exécutent plus de 100 services. Filtrons ces hôtes avec des services tronqués en ajoutant à notre requête SQL :
AND NOT services.truncated = true
Maintenant que nous disposons d'informations sur les services, nous pouvons facilement calculer le pourcentage de services d'OT qui sont tronqués, et donc probablement non réels :
Plus de la moitié des services ATG (Automated Tank Gauge) et Citrix semblent être des pseudo-services ! Examinons les choses de plus près en utilisant notre application de recherche, search.censys.io .
Filtrage des services légitimes
En utilisant le terme de recherche "services.service_name : ATG", nous voyons immédiatement un certain nombre d'hôtes fonctionnant dans le nuage AWS avec plus de 200 services HTTP en cours d'exécution sur eux ! Il est presque certain qu'il ne s'agit pas de véritables services. Nous pouvons les supprimer de notre recherche en ajoutant "and not services.truncated : true".
Voyons un peu plus en détail ce qui provoque l'apparition de ces services ATG. En cherchant plus d'informations sur le protocole, nous trouvons un pot de miel ATG publié par Blackhat en 2015 . GasPot est une application python qui simule une jauge de réservoir, en randomisant ses valeurs pour imiter le comportement d'un hôte légitime. Il enregistre toutes les tentatives de connexion pour une analyse ultérieure. La facilité d'exécution de ce pot de miel explique probablement le nombre élevé de pseudo-services ATG.
Où se trouvent ces hôtes ?
En utilisant notre application de recherche, nous pouvons regarder un peu plus en profondeur pour savoir où les hôtes avec un protocole OT sont exécutés . Selon les données de Censys, 40 % des services exécutant des protocoles OT sont situés aux États-Unis !
Si l'on ventile les sites par ville , Istanbul domine les résultats avec 801 services ! Près de 1 % de tous les protocoles OT y sont exécutés.
La répartition des services offerts à Istanbul est un peu différente de notre répartition générale :
CODESYS, PCWORX, S7, IEC 60870-5-104 et Modbus sont nettement surreprésentés par rapport à la répartition mondiale, probablement en raison de différences dans l'infrastructure physique utilisée. BACnew et WDBRPC sont notablement absents de ce graphique, alors qu'ils représentent ensemble 20 % de tous les services OT découverts dans l'ensemble de données universel sur l'internet.
Nous pouvons également visualiser la distribution mondiale des hôtes légitimes exposant des services d'OT à l'aide de kepler.gl :
Résumé
Malgré les risques de sécurité, les données de Censysmontrent que les services d'OT accessibles au public restent courants sur l'internet. Ces services représentent un risque pour les données des entreprises, la continuité des opérations et la sécurité publique. La protection des services OT et des infrastructures critiques est un problème important, et le président Biden a signé un mémorandum sur la sécurité nationale intitulé "Improving Cybersecurity for Critical Infrastructure Control Systems" (Améliorer la cybersécurité des systèmes de contrôle des infrastructures critiques ).
Que puis-je faire ?
Les organisations peuvent prendre un certain nombre de mesures à court terme pour protéger leurs réseaux.
Mettre en œuvre des politiques de segmentation du réseau et appliquer des règles de pare-feu afin d'éviter que les équipements OT ne soient exposés publiquement à l'internet.
Utiliser les outils de journalisation du réseau pour surveiller et identifier le trafic sortant suspect.
Veiller à ce que les services qui doivent être accessibles au public soient correctement renforcés, en utilisant un cryptage fort et une authentification multifactorielle.
Affichez vos plages d'adresses IP sur Censys Search et filtrez pour les protocoles OT.
Utilisez Censys ASM pour une surveillance externe continue de votre surface d'attaque, y compris 16 protocoles OT courants.
Censys Recherche de données
Censys aide les organisations, les particuliers et les chercheurs à trouver et à surveiller chaque serveur sur l'internet afin de réduire l'exposition et d'améliorer la sécurité. L'accès à nos données est assuré par notre plateforme de recherche search.censys.io , pour les utilisateurs communautaires gratuits et par le biais d'une licence commerciale pour les entreprises.
Censys Ensemble de données universel sur l'internet
L'Universal Internet Dataset (UIDS) Censys est le principal ensemble de données sur les hôtes et les services de l'internet. Les organisations utilisent l'UIDS pour repérer les menaces sophistiquées et défendre des surfaces d'attaque complexes. Accédez à l'Universal Internet DataSet et découvrez les "super" hôtes et bien plus encore. Contactez-nous et demandez une démonstration dès aujourd'hui !
Vous souhaitez faire de la recherche ? Nous offrons également un accès aux chercheurs. Voyez si vous remplissez les conditions requises ici .