Politiques
OT Security inclut les politiques qui définissent les types spécifiques d'événements suspects, non autorisés, anormaux ou dignes d'intérêt qui se produisent dans le réseau. Lorsqu'un événement se produit et répond à toutes les conditions de la définition d'une politique, un événement est généré dans le système. Le système consigne les événements et envoie des notifications conformément aux Actions de politique configurées pour la politique.
-
Détection basée sur des politiques – Déclenche un événement lorsque les conditions précises de la politique, telles que définies par une série de descripteurs d'événements, sont réunies.
-
Détection d'anomalies – Déclenche un événement lorsque OT Security détecte une activité anormale ou suspecte sur le réseau.
OT Security comporte un ensemble de politiques prédéfinies (prêtes à l'emploi). De plus, vous pouvez modifier les politiques prédéfinies ou établir de nouvelles politiques personnalisées.
Remarque : par défaut, la plupart des politiques sont activées. Pour activer/désactiver des politiques, voir Activer ou désactiver des politiques.
Configuration des politiques
Chaque politique consiste en un ensemble de conditions qui définissent un type de comportement spécifique sur le réseau. Cela inclut des considérations telles que l'activité, les assets impliqués et le moment de l'événement. Un événement est déclenché pour une politique uniquement s'il répond à tous les paramètres définis pour cette politique. Chaque politique a une configuration spécifique d'Actions de politique qui définissent la sévérité, les méthodes de notification et l'enregistrement de l'événement.
Groupes
Les groupes sont un élément essentiel de la définition des politiques dans OT Security. Lors de la configuration d'une politique, chacun des paramètres appartient à un groupe et non pas à des entités individuelles. Cela simplifie considérablement le processus de configuration de la politique. Par exemple, si l'activité Mise à jour du firmware est considérée comme suspecte lorsqu'elle est effectuée sur un contrôleur à certaines heures de la journée (par exemple, pendant les heures ouvrées), au lieu de créer une politique distincte pour chaque contrôleur de votre réseau, vous pouvez créer une politique unique qui s'applique au groupe d'assets nommé Contrôleurs.
La configuration de politique utilise les types de groupes suivants :
-
Groupes d'assets – Le système est livré avec des groupes d'assets prédéfinis basés sur le type d'asset. Vous pouvez ajouter des groupes personnalisés en fonction d'autres facteurs tels que l'emplacement, le service, la criticité, etc.
-
Segments réseau – Le système génère automatiquement des segments réseau en fonction du type d'asset et de la plage d'adresses IP. Vous pouvez créer des segments réseau personnalisés pour définir tous les groupes d'assets dont les modèles de communication sont similaires.
-
Groupes de messagerie – Vous pouvez regrouper plusieurs comptes de messagerie qui reçoivent des notifications par e-mail pour des événements spécifiques. Par exemple, vous pouvez regrouper par rôle, par service, etc.
-
Groupes de ports – Vous pouvez regrouper des ports utilisés de manière similaire. Il peut s'agir, par exemple, des ports ouverts sur les contrôleurs Rockwell.
-
Groupes de protocoles – Vous pouvez regrouper des protocoles de communication par type de protocole (par exemple, Modbus), par fabricant (par exemple, Protocoles autorisés par Rockwell), etc.
-
Groupes de planification – Vous pouvez regrouper plusieurs plages temporelles dans un groupe de planification qui présente une caractéristique commune. Il peut s'agir, par exemple, des heures ouvrées, du week-end, etc.
-
Groupes de tags – Vous pouvez regrouper les tags qui ont des données opérationnelles similaires au sein de plusieurs contrôleurs. Il pourra s'agir par exemple des tags qui contrôlent la température du four.
-
Groupes de règles – Vous pouvez regrouper des règles connexes en fonction de leurs identifiants de signature Suricata (SID). Ces groupes sont utilisés comme conditions pour définir des politiques de détection d'intrusion.
Les politiques ne peuvent être définies qu'à l'aide des groupes configurés dans votre système. Le système est livré avec un ensemble de groupes prédéfinis. Vous pouvez modifier ces groupes et ajouter vos propres groupes. Voir Groupes.
Niveaux de sévérité
Chaque politique est associée à un niveau de sévérité spécifique, qui indique le degré de risque posé par la situation qui a déclenché l'événement. Le tableau suivant décrit les différents niveaux de sévérité :
| Sévérité | Description |
|---|---|
| Aucun(e) | L'événement n'est pas préoccupant. |
| Faible | Aucune raison de s'inquiéter dans l'immédiat. À vérifier au moment opportun. |
| Moyen | Risque modéré qu'une activité potentiellement dangereuse se soit produite. À traiter au moment opportun. |
| Élevée | Risque élevé qu'une activité potentiellement dangereuse se soit produite. À traiter immédiatement. |
Notifications d'événement
Lorsqu'un événement qui répond à toutes les conditions d'une politique se produit, un événement est généré. La section Événements affiche Tous les événements. La page Politique répertorie l'événement sous la politique qui l'a déclenché, et la page Inventaire indique l'événement sous l'asset affecté. De plus, vous pouvez configurer des politiques pour envoyer des notifications d'événements à un SIEM externe à l'aide du protocole Syslog et/ou à des destinataires d'e-mails désignés.
-
Notification Syslog – Les messages Syslog utilisent le protocole CEF avec des clés standard et des clés personnalisées (configurées pour être utilisées avec OT Security). Pour une explication sur la façon d'interpréter les notifications Syslog, voir le OT Security Syslog Integration Guide (Guide d'intégration Syslog de Tenable OT Security).
-
Notifications par e-mail – Les e-mails contiennent des détails sur l'événement qui a généré la notification, ainsi que les étapes à suivre pour atténuer la menace.
Catégories et sous-catégories de politiques
Dans OT Security, les politiques sont organisées selon les catégories suivantes :
-
Événements de configuration – Ces politiques concernent les activités se déroulant sur le réseau. Il existe deux sous-catégories :
-
Validation du contrôleur – Ces politiques concernent les changements ayant lieu au sein des contrôleurs du réseau. Cela peut impliquer des modifications de l'état d'un contrôleur, ainsi que des modifications du firmware, des propriétés des assets ou des blocs de code. Les politiques peuvent être limitées à des planifications spécifiques (par exemple, mise à niveau du firmware pendant une journée de travail) et/ou des contrôleurs spécifiques.
-
Activités du contrôleur – Ces politiques concernent des commandes d'ingénierie spécifiques qui ont un impact sur l'état et la configuration des contrôleurs. Il est possible de définir des activités spécifiques qui génèrent systématiquement des événements ou de désigner un ensemble de critères pour la génération d'événements. Par exemple, si certaines activités sont effectuées à certains moments et/ou sur certains contrôleurs. La création de listes de blocage et de listes d'autorisations pour les assets, les activités et les calendriers est prise en charge.
-
-
Événements réseau – Ces politiques concernent les assets du réseau et les flux de communication entre les assets. Les événements portent sur les assets ajoutés ou supprimés du réseau. Cela inclut également les modèles de trafic jugés anormaux pour le réseau, ou signalés comme préoccupants. Par exemple, si une station d'ingénierie communique avec un contrôleur à l'aide d'un protocole non pré-configuré (par exemple, des protocoles utilisés par des contrôleurs fabriqués par un fournisseur spécifique), la politique déclenche un événement. Vous pouvez limiter ces politiques à des planifications et/ou des assets spécifiques. Les protocoles spécifiques aux fournisseurs sont organisés par fournisseur pour plus de commodité, tandis que n'importe quel protocole peut être utilisé dans une définition de politique.
-
Politiques d'événement SCADA – Ces politiques détectent les changements dans les valeurs de point de consigne qui peuvent nuire au processus industriel. Ces changements peuvent résulter d'une cyber-attaque ou d'une erreur humaine.
-
Politiques de détection des menaces réseau – Ces politiques utilisent la détection des menaces OT et IT basée sur les signatures pour identifier le trafic réseau qui indique des menaces d'intrusion. La détection est basée sur des règles cataloguées dans le moteur de détection de menaces Suricata.
Types de politiques
Chaque catégorie et chaque sous-catégorie contiennent différents types de politiques. OT Security fournit des politiques prédéfinies de chaque type. Vous pouvez également créer vos propres politiques personnalisées de chaque type. Les tableaux suivants expliquent les différents types de politiques, regroupés par catégorie.
Événement de configuration – Types d'événement liés aux activités du contrôleur
Les activités des contrôleurs sont les activités qui se produisent dans le réseau. Il peut s'agir, par exemple, des « commandes » mises en œuvre entre les assets du réseau. Il existe de nombreux types d'événements liés aux activités des contrôleurs. Le type de contrôleur sur lequel l'activité se produit et l'activité spécifique définissent le type d'activité du contrôleur. Par exemple, arrêt du PLC Rockwell, téléchargement du code SIMATIC, session en ligne Modicon, etc.
Les paramètres de définition de la politique (c'est-à-dire les conditions de la politique) qui s'appliquent aux événements liés aux activités du contrôleur sont : Asset source, Asset cible et Planification.
Événement de configuration – Types d'événements liés à la validation du contrôleur
Le tableau suivant décrit les différents types d'événements liés à la validation du contrôleur.
Remarque : les conditions de politique relatives aux assets affectés, aux sources ou aux cibles peuvent être spécifiées en sélectionnant soit un groupe d'assets, soit un segment réseau.
| Type d'événement | Conditions de politique | Description |
|---|---|---|
| Change in key switch (Changement dans le commutateur de clé) | Asset affecté, Planification | L'état du contrôleur a été changé via un ajustement de la position de la clé physique. Prend uniquement en charge les contrôleurs Rockwell pour le moment. |
| Change in state (Changement d'état) | Asset affecté, Planification | Le contrôleur est passé d'un état opérationnel à un autre. Par exemple, en cours d'exécution, arrêté, test, etc. |
| Change in firmware version (Changement de version du firmware) | Asset affecté, Planification | Une modification a été apportée au firmware exécuté sur le contrôleur. |
| Module not seen (Module non détecté) | Asset affecté, Planification | Détecte un module précédemment identifié ayant été retiré d'un fond de panier. |
| New module discovered (Nouveau module découvert) | Asset affecté, Planification | Détecte un nouveau module ajouté à un fond de panier existant. |
| Snapshot mismatch (Déviation par rapport à l'instantané) | Asset affecté, Planification | L'instantané le plus récent d'un contrôleur (qui capture l'état actuel du programme déployé sur le contrôleur) n'était pas identique à son instantané précédent. |
Types d'événements réseau
Le tableau suivant décrit les différents types d'événements réseau.
| Type d'événement | Conditions de politique | Description |
|---|---|---|
| Asset not seen (Asset non détecté) | Non détecté pendant, Asset affecté, Planification | Détecte les assets précédemment identifiés dans le groupe Asset affecté (Affected Asset) qui sont retirés du réseau pendant la durée spécifiée au cours de la plage temporelle spécifiée. |
| Change in USB configuration (Changement dans la configuration USB) | Assets affectés, Planification | Détecte lorsqu'un périphérique USB est connecté ou retiré d'un poste de travail Windows. La politique s'applique aux modifications apportées à un asset du groupe des assets affectés au cours de la plage temporelle spécifiée. |
| IP conflict (Conflit IP) | Planification | Détecte si plusieurs assets présents sur le réseau utilisent la même adresse IP. Cela peut indiquer une cyber-attaque ou résulter d'une mauvaise gestion du réseau. La politique s'applique aux conflits IP découverts par OT Security au cours de la plage temporelle spécifiée. |
| Network Baseline Deviation (Déviation par rapport à la base de référence réseau) | Source, Cible, Protocole, Planification | Détecte les nouvelles connexions entre les assets qui n'ont pas communiqué entre eux pendant l'échantillonnage de la base de référence réseau. Cette option n'est disponible qu'une fois qu'une base de référence réseau a été définie dans le système. Pour définir la base de référence réseau initiale ou pour la mettre à jour, voir Définition d'une base de référence réseau. La politique s'applique à la communication provenant d'un asset du groupe Asset source vers un asset du groupe Asset cible, à l'aide d'un protocole provenant du groupe Protocole, au cours de la plage temporelle spécifiée. |
| New asset discovered (Nouvel asset découvert) | Asset affecté, Planification | Détecte les nouveaux assets du type spécifié dans le groupe Asset source qui apparaissent sur votre réseau au cours de la plage temporelle spécifiée. |
| Open Port (Port ouvert) | Asset affecté, Port | Détecte les nouveaux ports ouverts sur votre réseau. Les ports ouverts non utilisés peuvent présenter un risque pour la sécurité. La politique s'applique aux assets du groupe Asset affecté, et aux ports du groupe Port. |
| Spike in network traffic (Pic de trafic réseau) | Fenêtre temporelle, Niveau de sensibilité, Planification | Détecte les pics anormaux dans le volume du trafic réseau. La politique s'applique aux pics relatifs à la fenêtre temporelle spécifiée et en fonction du niveau de sensibilité spécifié. Elle est également limitée à la plage temporelle spécifiée. |
| Spike in conversation (Pic de communication) | Fenêtre temporelle, Niveau de sensibilité, Planification | Détecte les pics anormaux du nombre de communications sur le réseau. La politique s'applique aux pics relatifs à la fenêtre temporelle spécifiée et en fonction du niveau de sensibilité spécifié. Elle est également limitée à la plage temporelle spécifiée. |
| RDP connection (authenticated) (Connexion RDP (authentifiée)) | Source, Cible, Planification | Une connexion RDP (connexion bureau à distance) a été établie sur le réseau à l'aide des identifiants d'authentification. La politique s'applique à un asset du groupe Asset source se connectant à un asset du groupe Asset cible, au cours de la plage temporelle spécifiée. |
| RDP connection (not authenticated) (Connexion RDP (non authentifiée)) | Source, Cible, Planification | Une connexion RDP (connexion bureau à distance) a été établie sur le réseau sans utiliser d'identifiants d'authentification. La politique s'applique à un asset du groupe Asset source se connectant à un asset du groupe Asset cible, au cours de la plage temporelle spécifiée. |
| Unauthorized conversation (Communication non autorisée) | Source, Cible, Protocole, Planification | Détecte les communications envoyées entre assets du réseau. La politique s'applique à la communication provenant d'un asset du groupe Asset source vers un asset du groupe Asset cible, à l'aide d'un protocole provenant du groupe Protocole, au cours de la plage temporelle spécifiée. |
| Successful unsecured FTP login (Connexion FTP non sécurisée réussie) | Source, Cible, Planification | OT Security considère FTP comme un protocole non sécurisé. Cette politique détecte les connexions réussies à l'aide du protocole FTP. |
| Failed unsecured FTP login (Échec de la connexion FTP non sécurisée) | Source, Cible, Planification | OT Security considère FTP comme un protocole non sécurisé. Cette politique détecte les tentatives de connexion infructueuses à l'aide du protocole FTP. |
| Successful unsecured Telnet login (Connexion Telnet non sécurisée réussie) | Source, Cible, Planification | OT Security considère Telnet comme un protocole non sécurisé. Cette politique détecte les connexions réussies à l'aide du protocole Telnet. |
| Failed unsecured Telnet login (Échec de la connexion Telnet non sécurisée) | Source, Cible, Planification | OT Security considère Telnet comme un protocole non sécurisé. Cette politique détecte les tentatives de connexion infructueuses à l'aide du protocole Telnet. |
| Unsecured Telnet login attempt (Tentative de connexion Telnet non sécurisée) | Source, Cible, Planification | OT Security considère Telnet comme un protocole non sécurisé. Cette politique détecte les tentatives de connexion à l'aide de Telnet (pour lesquelles le statut du résultat n'est pas détecté). |
Types d'événements liés aux menaces réseau
Le tableau suivant décrit les différents types d'événements liés aux menaces réseau.
Remarque : les conditions de politique relatives aux assets affectés, aux sources ou aux cibles peuvent être spécifiées en sélectionnant soit un groupe d'assets, soit un segment réseau.
| Type d'événement | Conditions de politique | Description |
|---|---|---|
| Intrusion Detection (Détection d'intrusion) | Source, Asset affecté, Groupe de règles, Planification |
Les politiques de détection d'intrusion détectent les menaces OT et IT basées sur les signatures, afin d'identifier le trafic réseau indiquant des menaces d'intrusion. La détection est basée sur des règles cataloguées dans le moteur de détection de menaces Suricata. Les règles sont regroupées en catégories (par exemple, attaques ICS, déni de service, malware, etc.) et sous-catégories (par exemple, attaques ICS – Stuxnet, attaques ICS – Black Energy, etc.). Le système est livré avec un ensemble de groupes prédéfinis de règles associées. Vous pouvez également configurer vos propres regroupements de règles.
Remarque : vous ne pouvez pas modifier les groupes d'assets sources et cibles pour les événements du système de détection d'intrusion (IDS). |
| ARP Scan (Scan ARP) | Asset affecté, Planification | Détecte les scans ARP (activité de reconnaissance du réseau) exécutés sur le réseau. La politique s'applique aux scans diffusés du groupe Asset affecté au cours de la plage temporelle spécifiée. |
| Port scan (Scan des ports) | Asset source, Asset cible, Planification | Détecte les scans SYN (activité de reconnaissance du réseau) exécutés sur le réseau pour détecter les ports ouverts (vulnérables). La politique s'applique à la communication provenant d'un asset du groupe Asset source vers un asset du groupe Asset cible, au cours de la plage temporelle spécifiée. |
Types d'événements SCADA
Le tableau suivant décrit les différents types d'événements SCADA.
Remarque : les conditions de politique relatives aux assets affectés, aux sources ou aux cibles peuvent être spécifiées en sélectionnant soit un groupe d'assets, soit un segment réseau.
| Type d'événement | Conditions de politique | Description |
|---|---|---|
| Modbus illegal data address (Adresse de données Modbus non valide) | Asset source, Asset cible, Planification | Détecte le code d'erreur « illegal data address » (adresse de données non valide) dans le protocole Modbus. La politique s'applique à la communication provenant d'un asset du groupe Asset source vers un asset du groupe Asset cible, au cours de la plage temporelle spécifiée. |
| Modbus illegal data value (Valeur de données Modbus non valide) | Asset source, Asset cible, Planification | Détecte le code d'erreur « illegal data value » (valeur de données non valide) dans le protocole Modbus. La politique s'applique à la communication provenant d'un asset du groupe Asset source vers un asset du groupe Asset cible, au cours de la plage temporelle spécifiée. |
| Modbus illegal function (fonction Modbus non valide) | Asset source, Asset cible, Planification | Détecte le code d'erreur « illegal function » (fonction non valide) dans le protocole Modbus. La politique s'applique à la communication provenant d'un asset du groupe Asset source vers un asset du groupe Asset cible, au cours de la plage temporelle spécifiée. |
| Unauthorized write (Écriture non autorisée) | Asset source, Groupe de tags, Valeur du tag, Planification | Détecte les écritures non autorisées pour des tags spécifiés sur un contrôleur (actuellement pris en charge pour les contrôleurs Rockwell et ST) dans le groupe Asset source spécifié. Vous pouvez configurer la politique pour détecter toute nouvelle écriture, un changement par rapport à une valeur spécifiée ou une valeur en dehors d'une plage spécifiée. La politique s'applique uniquement au cours de la plage temporelle spécifiée. |
| ABB - Unauthorized write (ABB - Écriture non autorisée) | Asset source, Asset cible, Planification | Détecte les commandes d'écriture envoyées via MMS aux contrôleurs ABB 800xA étant hors de la plage autorisée. |
| Commandes CEI 60870-5-104 : Start/Stop Data Transfer (démarrage/arrêt du transfert de données), Interrogation Command (commande d'interrogation), Counter Interrogation Command (commande d'interrogation de compteur), Clock Synchronization Command (commande de synchronisation d'horloge), Reset Process Command (commande de processus de réinitialisation), Test Command with Time Tag (commande de test avec marqueur temporel) | Asset source, Asset cible, Planification | Détecte les commandes spécifiques envoyées aux unités principales ou subordonnées CEI-104 considérées comme risquées. |
| DNP3 Commands (Commandes DNP3) | Asset source, Asset cible, Planification | Détecte toutes les commandes principales envoyées via le protocole DNP3. Par exemple, Select (Sélection), Operate (Exécution), Warm/Cold Restart (Redémarrage à chaud/à froid), etc. Détecte également les erreurs provenant d'indicateurs internes tels que les codes de fonction non pris en charge et les erreurs de paramètre. |