Politiques

OT Security inclut les politiques qui définissent les types spécifiques d'événements suspects, non autorisés, anormaux ou dignes d'intérêt qui se produisent dans le réseau. Lorsqu'un événement se produit et répond à toutes les conditions de la définition d'une politique, un événement est généré dans le système. Le système consigne les événements et envoie des notifications conformément aux Actions de politique configurées pour la politique.

  • Détection basée sur des politiques – Déclenche un événement lorsque les conditions précises de la politique, telles que définies par une série de descripteurs d'événements, sont réunies.

  • Détection d'anomalies – Déclenche un événement lorsque OT Security détecte une activité anormale ou suspecte sur le réseau.

OT Security comporte un ensemble de politiques prédéfinies (prêtes à l'emploi). De plus, vous pouvez modifier les politiques prédéfinies ou établir de nouvelles politiques personnalisées.

Remarque : par défaut, la plupart des politiques sont activées. Pour activer/désactiver des politiques, voir Activer ou désactiver des politiques.

Configuration des politiques

Chaque politique consiste en un ensemble de conditions qui définissent un type de comportement spécifique sur le réseau. Cela inclut des considérations telles que l'activité, les assets impliqués et le moment de l'événement. Un événement est déclenché pour une politique uniquement s'il répond à tous les paramètres définis pour cette politique. Chaque politique a une configuration spécifique d'Actions de politique qui définissent la sévérité, les méthodes de notification et l'enregistrement de l'événement.

Groupes

Les groupes sont un élément essentiel de la définition des politiques dans OT Security. Lors de la configuration d'une politique, chacun des paramètres appartient à un groupe et non pas à des entités individuelles. Cela simplifie considérablement le processus de configuration de la politique. Par exemple, si l'activité Mise à jour du firmware est considérée comme suspecte lorsqu'elle est effectuée sur un contrôleur à certaines heures de la journée (par exemple, pendant les heures ouvrées), au lieu de créer une politique distincte pour chaque contrôleur de votre réseau, vous pouvez créer une politique unique qui s'applique au groupe d'assets nommé Contrôleurs.

La configuration de politique utilise les types de groupes suivants  :

  • Groupes d'assets – Le système est livré avec des groupes d'assets prédéfinis basés sur le type d'asset. Vous pouvez ajouter des groupes personnalisés en fonction d'autres facteurs tels que l'emplacement, le service, la criticité, etc.

  • Segments réseau – Le système génère automatiquement des segments réseau en fonction du type d'asset et de la plage d'adresses IP. Vous pouvez créer des segments réseau personnalisés pour définir tous les groupes d'assets dont les modèles de communication sont similaires.

  • Groupes de messagerie – Vous pouvez regrouper plusieurs comptes de messagerie qui reçoivent des notifications par e-mail pour des événements spécifiques. Par exemple, vous pouvez regrouper par rôle, par service, etc.

  • Groupes de ports – Vous pouvez regrouper des ports utilisés de manière similaire. Il peut s'agir, par exemple, des ports ouverts sur les contrôleurs Rockwell.

  • Groupes de protocoles – Vous pouvez regrouper des protocoles de communication par type de protocole (par exemple, Modbus), par fabricant (par exemple, Protocoles autorisés par Rockwell), etc.

  • Groupes de planification – Vous pouvez regrouper plusieurs plages temporelles dans un groupe de planification qui présente une caractéristique commune. Il peut s'agir, par exemple, des heures ouvrées, du week-end, etc.

  • Groupes de tags – Vous pouvez regrouper les tags qui ont des données opérationnelles similaires au sein de plusieurs contrôleurs. Il pourra s'agir par exemple des tags qui contrôlent la température du four.

  • Groupes de règles – Vous pouvez regrouper des règles connexes en fonction de leurs identifiants de signature Suricata (SID). Ces groupes sont utilisés comme conditions pour définir des politiques de détection d'intrusion.

Les politiques ne peuvent être définies qu'à l'aide des groupes configurés dans votre système. Le système est livré avec un ensemble de groupes prédéfinis. Vous pouvez modifier ces groupes et ajouter vos propres groupes. Voir Groupes.

Remarque : les paramètres de politique peuvent uniquement être définis à l'aide de groupes. Pour qu'une politique s'applique à une entité individuelle, vous devez configurer un groupe comprenant uniquement cette entité.

Niveaux de sévérité

Chaque politique est associée à un niveau de sévérité spécifique, qui indique le degré de risque posé par la situation qui a déclenché l'événement. Le tableau suivant décrit les différents niveaux de sévérité :

Sévérité Description
Aucun(e) L'événement n'est pas préoccupant.
Faible Aucune raison de s'inquiéter dans l'immédiat. À vérifier au moment opportun.
Moyen Risque modéré qu'une activité potentiellement dangereuse se soit produite. À traiter au moment opportun.
Élevée Risque élevé qu'une activité potentiellement dangereuse se soit produite. À traiter immédiatement.

Notifications d'événement

Lorsqu'un événement qui répond à toutes les conditions d'une politique se produit, un événement est généré. La section Événements affiche Tous les événements. La page Politique répertorie l'événement sous la politique qui l'a déclenché, et la page Inventaire indique l'événement sous l'asset affecté. De plus, vous pouvez configurer des politiques pour envoyer des notifications d'événements à un SIEM externe à l'aide du protocole Syslog et/ou à des destinataires d'e-mails désignés.

  • Notification Syslog – Les messages Syslog utilisent le protocole CEF avec des clés standard et des clés personnalisées (configurées pour être utilisées avec OT Security). Pour une explication sur la façon d'interpréter les notifications Syslog, voir le OT Security Syslog Integration Guide (Guide d'intégration Syslog de Tenable OT Security).

  • Notifications par e-mail – Les e-mails contiennent des détails sur l'événement qui a généré la notification, ainsi que les étapes à suivre pour atténuer la menace.

Catégories et sous-catégories de politiques

Dans OT Security, les politiques sont organisées selon les catégories suivantes :

  • Événements de configuration – Ces politiques concernent les activités se déroulant sur le réseau. Il existe deux sous-catégories :

    • Validation du contrôleur – Ces politiques concernent les changements ayant lieu au sein des contrôleurs du réseau. Cela peut impliquer des modifications de l'état d'un contrôleur, ainsi que des modifications du firmware, des propriétés des assets ou des blocs de code. Les politiques peuvent être limitées à des planifications spécifiques (par exemple, mise à niveau du firmware pendant une journée de travail) et/ou des contrôleurs spécifiques.

    • Activités du contrôleur – Ces politiques concernent des commandes d'ingénierie spécifiques qui ont un impact sur l'état et la configuration des contrôleurs. Il est possible de définir des activités spécifiques qui génèrent systématiquement des événements ou de désigner un ensemble de critères pour la génération d'événements. Par exemple, si certaines activités sont effectuées à certains moments et/ou sur certains contrôleurs. La création de listes de blocage et de listes d'autorisations pour les assets, les activités et les calendriers est prise en charge.

  • Événements réseau – Ces politiques concernent les assets du réseau et les flux de communication entre les assets. Les événements portent sur les assets ajoutés ou supprimés du réseau. Cela inclut également les modèles de trafic jugés anormaux pour le réseau, ou signalés comme préoccupants. Par exemple, si une station d'ingénierie communique avec un contrôleur à l'aide d'un protocole non pré-configuré (par exemple, des protocoles utilisés par des contrôleurs fabriqués par un fournisseur spécifique), la politique déclenche un événement. Vous pouvez limiter ces politiques à des planifications et/ou des assets spécifiques. Les protocoles spécifiques aux fournisseurs sont organisés par fournisseur pour plus de commodité, tandis que n'importe quel protocole peut être utilisé dans une définition de politique.

  • Politiques d'événement SCADA – Ces politiques détectent les changements dans les valeurs de point de consigne qui peuvent nuire au processus industriel. Ces changements peuvent résulter d'une cyber-attaque ou d'une erreur humaine.

  • Politiques de détection des menaces réseau – Ces politiques utilisent la détection des menaces OT et IT basée sur les signatures pour identifier le trafic réseau qui indique des menaces d'intrusion. La détection est basée sur des règles cataloguées dans le moteur de détection de menaces Suricata.

Types de politiques

Chaque catégorie et chaque sous-catégorie contiennent différents types de politiques. OT Security fournit des politiques prédéfinies de chaque type. Vous pouvez également créer vos propres politiques personnalisées de chaque type. Les tableaux suivants expliquent les différents types de politiques, regroupés par catégorie.