Cybersécurité des infrastructures critiques
Les infrastructures critiques et les systèmes industriels utilisent souvent des passerelles de connexion à internet standard, très sensibles aux cyber-menaces. Cependant, les mécanismes de sécurité pour protéger l’infrastructure ne doivent pas perturber les opérations critiques sur lesquelles nos sociétés reposent. Il en résulte de nombreux défis pour gérer la cybersécurité des infrastructures critiques.
La menace pour les infrastructures critiques
Les systèmes d’acquisition et de contrôle de données (SCADA) et les systèmes de contrôle industriel (ICS) sont la pierre angulaire des infrastructures critiques. Les réseaux SCADA ont été conçus pour fournir des performances solides, une fiabilité, une flexibilité et une sécurité du contrôle distribué, en négligeant malheureusement parfois la cybersécurité de ces infrastructures critiques. Les réseaux SCADA sont vulnérables aux interruptions de service, à la redirection des processus et à la manipulation des données opérationnelles. Une cyberattaque peut entraîner des problèmes de sécurité publique ou de graves perturbations de l’infrastructure critique d’un pays ou d’une entreprise.
Parmi les menaces, les infrastructures critiques, en particulier le secteur de l’énergie, ont signalé une incidence accrue des menaces persistantes avancées (APT). Vient s’ajouter au problème, le fait qu’il est difficile de détecter une compromission. Les pirates peuvent accéder à un système et avancer masqués en se faisant passer pour un employé de confiance pendant de longues périodes.
Computerome – The Danish National Life Science Supercomputing Center
Avec Logpoint, Computerome – The Danish National Life Science Supercomputing Center a :
- une plateforme modulable qui peut être intégrée à leurs systèmes à l’échelle
- d’un suivi en temps réel des contrôles de sécurité
- d’une analyse des données en temps réel pour détecter rapidement les éventuelles violations de données.
En offrant un accès facile et une vue d’ensemble aux administrateurs, aux auditeurs et aux autorités de réglementation, Logpoint contribue à répondre aux exigences strictes de conformité de Computerome.
Logpoint protège l’infrastructure critique
Les attaques très ciblées sur les réseaux SCADA complexes exigent une surveillance avancée des événements, à la fois du système SCADA et de l’infrastructure informatique générale. Ce qui inclut les systèmes ERP, tels que SAP, qui sont souvent en place dans l’infrastructure critique. Grâce à une intégration transparente sur l’ensemble des systèmes, Logpoint collecte tous les événements de l’entreprise pour assurer la surveillance de la sécurité et une protection de bout en bout.
Logpoint surveille tous les comportements numériques et vous alerte en temps réel lorsque des comportements suspects apparaissent. Grâce à sa fonctionnalité de recherche optimisée et à des rapports particulièrement rapides, Logpoint est idéal pour enquêter sur les menaces, en permettant une observation proactive de la cybersécurité et en fournissant une plateforme pour garantir la conformité aux normes du secteur d’activité.
Supervision des systèmes critiques
Dans Logpoint, les listes dynamiques collectent et stockent des valeurs spécifiques à partir d’événements et permettent des mises à jour dynamiques à l’aide de valeurs provenant du journal, tandis que les tables dynamiques stockent des champs et des valeurs de champ spécifiques pendant l’exécution pour être utilisées comme sources d’enrichissement. En permettant aux analystes de définir des listes et des tables dynamiques, les organisations peuvent réduire le temps de détection et répondre plus rapidement aux incidents. En combinant les listes dynamiques avec l’enrichissement statique, nous permettons également à nos clients d’instaurer des analyses auto-configurables pour réagir automatiquement aux nouvelles observations sur les données, accélérant ainsi la réponse.
Exemple
Connexions non privilégiées aux systèmes critiques
Requête
label=Connection label=Allow destination_address IN CRITICAL_SYSTEMS -source_address IN PRIVILIGE_SYSTEMS | chart count() by source_address order by count() desc
Authentication and Transmission Control
To make audits of transmission controls easier, Logpoint can detect activities such as email, https, and VPN communications. Logpoint by design also enforces authentication and transmission control for data security by maintaining a proper authentication mechanism for users identity maintained locally inside Logpoint or a remote authentication server such as LDAP and Radius. Similarly, for transmission controls, Logpoint uses secure communication channels for interaction between an external object and Logpoint instance or between multiple Logpoint instances.
Example
Successful logins
Query
label=Login label=Successful | chart count() by user order by count() desc limit 10
A la découverte des IoC
Les systèmes impliqués dans la gestion des comportements anormaux, quels qu’ils soient, peuvent être facilement enrichis avec des flux de renseignements sur les menaces (Threat Intelligence) afin de vérifier les indicateurs de compromission associés. De plus, Logpoint vous fournit l’emplacement géographique exact de la source de l’attaque.
Exemple
Indicateurs de compromission par géolocalisation
Requête
risk_score=* -source_address in HOMENET | process ti(source_address)|search et_ip_address=* OR cs_ip_address=*|rename et_ip_address as SourceAddress,cs_ip_address as SourceAddress | process geoip(SourceAddress) as country | chart count() by country, source_address
order by count() desc limit 10