C&ESAR 2013 - Jour 3

Lorsque le temps vient de faire face – AREVA

Traiter une crise issue d’une attaque informatique nécessite de changer d’état d’esprit, car son traitement va prendre du temps et va nécessiter de défendre le SI, et de s’assurer de l’élimination complète de l’intrusion tout en préservant les traces nécessaires à l’enquête.

Ce type de crise est une opportunité pour initier un changement au sein de l’entreprise victime. Le périmètre des SI modernes est très complexe et pas forcément clair, entre fournisseur, partenaires et filiales on a plus vraiment la maîtrise de qui accède au SI.

Réactivité, discrétion et efficacité dans la détection de l’intrusion et de la remédiation sont les éléments clefs permettant de gagner du temps face à un attaquant qui à une longueur d’avance et que l’on souhaite rattraper. Tout ceci ne peut se faire sans un soutient du top management. Une fois du temps gagné sur la réactivité, il faut préparer un plan de reprise qui prend en compte l’éradication de la présence de l’attaquant et la fermeture des portes laissés ouvertes.

Et cette bascule d’un système compromis vers un nouveau système sûr nécessite des ressources humaines importantes parce-que le SI doit continuer de fonctionner et de produire jusqu’au jour J de la bascule. Il va donc falloir  pouvoir doubler les admins sur certains systèmes lors de la crise. Pendant que l’un fait tourner le SI, l’autre doit remonter un SI propre et patché pour la bascule.

La discrétion elle permet de préserver le seul avantage qu’a le défenseur sur l’attaquant: la prise de connaissance de l’attaque par le défenseur. Et ce pour s’assurer que l’attaquant soit surpris lors de la bascule et ne puisse ni effacer ses traces ni s’adapter à un changement brutal de SI.

Enfin il ne faut surtout pas oublier de loguer toutes les actions effectués parce-que le RSSI n’a pas fini de rendre des comptes sur un tel incident.

IDS ICS/SCADA

TCIPG est un groupe de recherche américain sur les Smartgrid et leur sécurité.

Dans ces réseaux de distribution d’électricité, les compteurs intelligents et les réseaux de mesures jouent un rôle prépondérant. Ces compteurs sont massivement déployés et utilisent des réseaux sans-fil mesh pour transmettre leurs mesures. Les compteurs intelligents ou smart-meter communiquent avec un nœud de collecte équipé de multiples interfaces de communication.

Les contraintes processeur ou bande passante sont fortes, les capacités techniques des smart-meter limités, et les solutions de sécurité doivent être adaptés à ces contraintes. Des vulnérabilités existent, mots de passe en clair, clefs de chiffrement des communications mal protégés, vulnérabilités hardware, système de mise à jour non-sécurisé. Pour qu’une infrastructure de mesure automatisée basé sur les smart-meter soit résiliente, il faut s’adjoindre des capacités de détection d’intrusion et de réponse sur incident aux solutions de prévention existantes.

Les protocoles de communication de ces comptes sont très régulières et leur fréquence d’apparition est stable puisque cadencée par le fonctionnement du système de collecte des mesures. On peut donc se baser sur des nœuds de détection sans fil qui écoutent et dissèquent les échanges protocolaires et viennent mesurer la fréquence pour chaque type de commande. Un malware ou un attaquant en phase de découverte ou de propagation va forcément générer des requêtes différentes des requêtes classiques à une fréquence anormale.

De même, le sens des requêtes fait sens, en effet, les compteurs n’interrogent pas les autres compteurs, mais ils sont interrogés par l’opérateur. Des règles sont donc placées en conséquence sur ces sens de communication.

L’état des requêtes et des réponses ainsi que les séquences d’opération classiques sont suivies dans le temps dans une machine à état afin de détecter les comportement déviants. L’état de chaque compteur est ainsi suivi par l’IDS.

Une console de visualisation à été mise en place pour permettre de voir les requêtes effectuées et leur validité par rapport aux règles de sécurité établies (fréquence, type de requête, etc…). Un déploiement expérimental a été effectué sur le terrain en partenariat avec un grand opérateur d’électricité nord-américain.

Un rapport sur les menaces pesant sur les smartgrid à été publié par le groupe de travail NESCOR, et le chapitre sur les réseaux de collecte d’information AMI font l’objet d’un chapitre. Ces scénarios d’attaques ont été dérivées en politiques de sécurité au sein du système de détection d’intrusion AMILYSER et donc en règles de détection spécifiques permettant d’identifier les attaques.

Simulation de systèmes SCADA – SCADAVIRT sur Hynesim

Hynesim est un framework de virtualisation et de simulation de SI basé sur plusieurs techniques de virtualisation. Faire un pentest sur une usine, c’est risqué, très risqué, les conséquences d’un crash sont trop grandes pour se permettre de tester directement in-situ des attaques. Il vaut mieux avoir comme en IT une pré-prod ou une maquette représentative de l’environnement que l’on souhaite tester. La simulation d’un process industriel n’est pas une chose simple, et dans un système contenant des dizaines de processus industriels inter-dépendant, il faut que la solution de simulation soit dimensionnée pour pouvoir intégrer tout ces composants ou les simuler correctement.

Hynesim est une infrastructure de virtualisation avec simulation de composants réseaux. Mais coté PLC, il est difficile de les simuler, il faut donc pouvoir les connecter à l’infrastructure virtuelle, et pouvoir collecter les actions du PLC et d’interagir avec ce dernier depuis l’infrastructure virtualisée. Ainsi les entrées et les sorties du PLC sont modifiables par la simulation informatique.

Une démonstration du fonctionnement de la plateforme sur un exemple d’un process d’alimentation d’un château d’eau est effectuée.

Il est possible de simuler un PLC dont la configuration est faite à partir des fichiers de conf (xml ou autre) issus de l’interface de supervision. Il est possible ainsi de créer un honeypot à partir d’une infrastructure simulée dans laquelle l’attaquant viendra lancer ses attaques. Si les attaques sont connues, il est possible de modifier le PLC virtuel pour y intégrer un comportement correspondant à l’attaque.