ClickCease L'application de correctifs au lieu de la mise à niveau des anciens dispositifs d'OT ?

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

L'application de correctifs au lieu de la mise à niveau des anciens dispositifs d'OT ?

Le 22 novembre 2022 - L'équipe de relations publiques de TuxCare

Les technologies opérationnelles (OT) sont des équipements et des logiciels informatiques utilisés pour analyser les processus de contrôle des infrastructures critiques, tandis que les actifs des systèmes de contrôle industriel (ICS) sont les dispositifs numériques utilisés dans les processus industriels. La nature connectée des dispositifs OT/ICS a - particulièrement récemment - augmenté le risque de cybersécurité pour les environnements qui les utilisent.

Pour renforcer la sécurité des entreprises qui utilisent actuellement des appareils OT/ICS anciens, la meilleure solution consiste-t-elle à les remplacer par des modèles plus récents ? Ou existe-t-il une autre solution ?

Cet article de blog explore les correctifs de vulnérabilité pour les appareils OT/ICS, couvrant le paysage des menaces pour ces technologies, la gestion des correctifs et la façon dont les organisations peuvent automatiser leurs correctifs de vulnérabilité.

Menaces potentielles et vulnérabilités critiques

Les architectures OT/ICS sont situées pour la plupart dans des réseaux isolés et plats avec des zones exposées. L'espace d'attaque couvre toute la gamme des attaques potentielles, y compris toutes les solutions OT/ICS et maintenant IIoT. Les attaques sur ces trois plateformes peuvent provenir de l'intérieur ou de l'extérieur.

Les attaques externes peuvent provenir de sources extérieures, notamment de pirates informatiques, de criminels, de terroristes et d'États-nations. En dehors de ces deux catégories, il existe également des attaques physiques impliquant une interférence directe avec les équipements.

Le processus de gestion des correctifs dans le domaine de l'OT

Les systèmes d'infrastructures critiques IT et OT sont traditionnellement basés sur des piles technologiques distinctes et fonctionnent individuellement. Comme ces systèmes ne sont pas connectés directement, leurs contrôles diffèrent de ceux d'un réseau informatique et existent souvent dans des réseaux différents pour éviter les chevauchements de cyberrisques, notamment les attaques de logiciels malveillants et de ransomwares.

Un actif technologique sensible aux vulnérabilités peut être un fruit rentable et attrayant pour les mauvais acteurs. Lorsque le correctif est publié, les vulnérabilités sont identifiées dans la base de données nationale des vulnérabilités. Les pirates informatiques surveillent eux-mêmes en permanence ces bases de données.

Les mises à jour de sécurité de l'ICS-CERT Les mises à jour de sécurité peuvent vous informer des vulnérabilités dès que l'ICS-CERT les annonce. NVD a publié près de 350 vulnérabilités en un week-end. Ces faiblesses peuvent affecter une organisation OT de plusieurs façons.

Pourquoi les guides de déploiement ne suffisent-ils pas pour les systèmes OT/ICS ?

La disponibilité des correctifs est une préoccupation majeure pour les réseaux opérationnels. De nombreux appareils OT restent en production des années après la date de fin de vie (EOL) du fabricant, après quoi les utilisateurs ne reçoivent plus de mises à jour de sécurité du fournisseur d'origine. 

Les ingénieurs de réseau fonctionnels font souvent appel à des sociétés de logiciels tierces, telles que TuxCarequi proposent des programmes de support à cycle de vie étendu pour les correctifs du noyau des systèmes d'exploitation Linux. Ces programmes permettent aux entreprises de continuer à recevoir des correctifs de sécurité pendant plusieurs années après la fin de vie d'un système d'exploitation.

Prioriser le déploiement des correctifs

Il peut être difficile de déterminer les correctifs à appliquer en priorité dans votre environnement OT/ICS. Si les scores CVSS constituent généralement un point de départ essentiel pour la sélection des correctifs, ils sont générés à partir de multiples variables : vecteurs d'accès, difficulté d'accès, authentification, intégrité, disponibilité, et bien d'autres encore. 

De plus, s'appuyer uniquement sur les scores CVSS pour hiérarchiser les correctifs de vulnérabilité n'est peut-être pas la meilleure approche. Pour compliquer encore les choses, les ingénieurs réseau des opérateurs industriels ne peuvent déployer simultanément qu'un petit sous-ensemble de correctifs dans l'ensemble des actifs OT, même si les correctifs potentiels deviennent disponibles. 

Nous recommandons aux environnements opérationnels et aux organisations industrielles de donner la priorité aux correctifs pour un environnement spécifique aux OT avec une approche en plusieurs étapes.

Mise à jour des dispositifs embarqués dans le cadre du processus de gestion des changements

LA NORME IEC62443 exige la mise en œuvre d'une gestion des changements pour les environnements OT/ICS. Il est entendu que le déploiement de correctifs dans l'environnement OT sera un changement environnemental et une tâche très difficile. Le processus de mise à jour des correctifs et des microprogrammes doit être examiné en permanence afin d'évaluer le risque pour le dispositif et l'organisation.

Les systèmes propriétaires ont également leur propre séquence de mise à jour des correctifs et du microprogramme. Certains nécessitent plusieurs redémarrages de l'appareil pour que le micrologiciel mette à jour les différents composants à différentes étapes. Les appareils critiques doivent souvent faire l'objet d'un correctif ou d'une mise à jour par crainte que la machine ne retourne pas rapidement dans l'environnement de production. 

Les défis de la gestion des correctifs

Pour décider de la mise en œuvre d'un correctif, vous devez mettre en balance les avantages et les perturbations. Si les avantages l'emportent sur les perturbations, alors exécutez le correctif. Cependant, avec les appareils OT/ICS, le fait de retirer des unités de la production peut avoir un impact considérable sur l'efficacité opérationnelle et le rendement global. C'est pourquoi il est préférable de retarder l'application des correctifs pendant les fenêtres de maintenance programmée.

D'autre part, attendre d'appliquer les correctifs de sécurité jusqu'à ce que vous soyez prêt à redémarrer les systèmes et les appareils rend votre organisation vulnérable et met en péril votre conformité.

Automatisation de la mise à jour des dispositifs avec TuxCare 

Les solutions de live patching de TuxCare protègent vos systèmes Linux en éliminant rapidement les vulnérabilités sans attendre les fenêtres de maintenance ou les temps d'arrêt. Avec TuxCare, les équipes informatiques peuvent automatiser l'adoption de nouveaux correctifs par le biais de la mise en scène, des tests et de la production sur toutes les distributions Linux populaires.

TuxCare présente une interopérabilité parfaite avec les scans de vulnérabilité, les capteurs de sécurité, l'automatisation, l'intégration avec le processus de gestion des vulnérabilités, les outils de reporting et notre plateforme ePortal de gestion du déploiement des correctifs. Ce serveur de correctifs privé dédié fonctionne à l'intérieur de votre pare-feu sur site ou dans le nuage. TuxCare est le seul fournisseur à patcher en direct pratiquement toutes les vulnérabilités des noyaux, des bibliothèques partagées, des plateformes de virtualisation et des bases de données open-source dans toutes les distributions populaires.

Contactez un expert TuxCare

Résumé
L'application de correctifs au lieu de la mise à niveau des anciens dispositifs d'OT ?
Nom de l'article
L'application de correctifs au lieu de la mise à niveau des anciens dispositifs d'OT ?
Description
Explorez les correctifs de vulnérabilité pour les dispositifs ICS/OT, le paysage des menaces et la façon dont les organisations peuvent automatiser leurs correctifs de vulnérabilité.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information