Introduction

Les réseaux de contrôle industriel d’aujourd’hui sont une ruche d’appareils interconnectés conçus pour travailler ensemble dans leur ensemble. Si le mécanisme échoue à tout moment, il peut déclencher un effet domino grave. Par exemple, des systèmes de communication sont nécessaires pour conseiller les centrales électriques sur la quantité d’électricité disponible dans le réseau et pour réguler sa production. Un hôpital dépend de ses propres réseaux pour envoyer des diagnostics aux clients et une usine automobile a des robots complexes qui sont également interconnectés. Bien que tout ne soit pas accessible sur Internet, il existe de nombreuses façons d’accéder à ces environnements et le risque augmente de façon exponentielle.

En général, chacune des 16 ressources d’infrastructure critique (CIKR) est fortement interconnectée et est généralement affectée par des vulnérabilités et des vecteurs d’attaque similaires. La sécurisation du CIKR est difficile en raison de nombreux facteurs. Ces environnements étaient initialement prévus pour être indépendants, de sorte qu’aucune défense en ligne n’était nécessaire ou mise en œuvre. Ils fabriquent également des biens et fonctionnent sans escale pendant des milliers d’heures, de sorte que les temps d’arrêt, à l’exception des réparations et des correctifs, auraient un impact important sur l’entreprise. Peu d’hôpitaux modernisent une machine à rayons X si elle fonctionne et fait son travail, pas plus qu’un convoyeur de grav ou une centrifugeuse d’uranium. C’est un problème parce que le vieux matériel et les applications sont enclins à créer des problèmes lorsqu’ils sont exposés à des attaques modernes.

Les CIKR ont été réticents à adopter de nouvelles technologies parce que leur conception a été en mesure d’obtenir de façon fiable un résultat qui est nécessaire pour notre société moderne au fil des ans en utilisant leurs propres protocoles, processus et systèmes de sécurité (aussi vieux qu’ils puissent être). La grande majorité des systèmes wo fonctionnent au quotidien sans erreur significative. Toutefois, le risque de soutenir les applications et les systèmes existants même depuis la fin des années 1980 est de plus en plus élevé.

Medigate ( Medigate )

Medigate estnotre solution préférée pour rendre les hôpitaux et les centres médicaux sûrs et exempts de cybermenaces. Il identifie la nature de l’attaque de sorte que l’utilisateur aura la capacité d’empêcher une action cutanée ou d’être ciblé. Le contexte clinique aidera à identifier le développement d’un comportement humain chaotique. Les profils d’appareils vous aideront à gérer les cycles de vie des périphériques et offriront ainsi une sécurité réseau supplémentaire. Medigate et Check Point ont mis au point une solution de sécurité avancée pour la mise en œuvre des réseaux Internet des objets (IoT) et IoMT. La solution combinée de Check Point avec Medigate établit une surveillance de sécurité rapide et efficace pour les hôpitaux. Les principales caractéristiques incluent :

• Enregistrement réaliste et holistique des dispositifs médicaux.
• Détection d’anomalies cartographiées automatisées.
• Les stratégies sont générées à partir des attributs de l’appareil.
• «Single pane of glass» pour tous les contenus produits par Medigate sur Check Point Smart Console.
• Activation automatique de la signalétation IPS des exploits connus d’Internet des objets.

Les experts en sécurité se demandent si le mécanisme de sécurité des hôpitaux en ligne n’a pas été développé différemment. Cela devrait être considéré comme un autre indice que beaucoup de réseaux existants n’ont jamais été faites avec la sécurité des données à l’esprit, mettant des ressources vitales et des vies en danger. Bien sûr, des couches de cyberdéfense peuvent être ajoutées aujourd’hui. La seule difficulté réelle est de concevoir et d’appliquer les couches appropriées de sécurité Internet. Une autre façon de le faire est d’apporter des programmes de sécurité dans les applications. Ce serait la décision la plus sûre à long terme. Bref, la transition prendra beaucoup de temps. La mise à jour de l’équipement de ces installations viendrait avec une ampleur égale de risques que l’installation de systèmes de sécurité.

La plate-forme passive de Medigate peut être installée très facilement par les hôpitaux et les intégrateurs de systèmes de sécurité et est intégrée au système de gestion R80 de Check Point et aux passerelles de sécurité. Une fois connectée, la plateforme de sécurité des dispositifs médicaux a partagé les informations d’identification de l’appareil et des informations d’application avec la smart console de Check Point. Cela permet une vue complète de l’écran pour un screencast des deux appareils. En raison de la visibilité granulaire dans les dispositifs chirurgicaux, l’efficacité du médicament est assurée. Medigate tire parti de l’inspection approfondie des paquets pour surveiller les périphériques par des identificateurs spécifiques, y compris la configuration, l’utilisation, les performances et l’emplacement. Cela permet aux deux systèmes d’être affichés simultanément sur la console Check Point Smart, supprimant la nécessité de faire des allers-retours entre les tableaux de bord.

La possibilité d’étiqueter les dispositifs médicaux par type de connectivité, nom de modèle et fournisseur permet une gestion plus granulaire des stratégies. Medigate vérifie ce qui change dans le réseau toutes les heures pour s’assurer que les balises restent à jour.

Tenable.ot (en)

Le cœur d’une entreprise est un réseau informatisé de contrôleurs qui transmettent et reçoivent des commandes. Les contrôleurs logiques programmables (CPL) et les unités terminales distantes (VTC) sont des équipements industriels qui agissent comme le fondement des processus industriels. L’infrastructure d’exploitation dispose désormais d’une surface d’attaque à grande échelle et de vecteurs d’attaque multiples. Si nous ne sommes pas en mesure de surveiller l’accès à l’information, il existe un fort risque d’être ciblés.

Tenable.ot (bien connu sous le nom d’Indegy ICS)est conçu pour protéger les réseaux d’entreprise contre les cybermenaces, les initiés malveillants et les erreurs humaines. Notre solution offre également l’identification et l’évitement des vulnérabilités, le suivi des actifs, les rapports et la gestion de la configuration d’un réseau Wi-Fi. La protection et la protection du système de contrôle industriel (SIC) sont considérablement améliorées. L’approche fournit une compréhension claire de la situation dans tous les endroits ministériels.

Lorsque vous prendrez des décisions d’investissement dans les systèmes d’OT, le coût est toujours préoccupant. Pour financer l’initiative, nous devons transférer les coûts aux utilisateurs des services. Ces innovations ne sont pas abordables puisque les utilisateurs des biens produits par cette technologie ont des coûts d’immobilisations fixes inclus dans le coût des biens vendus. L’augmentation des investissements dans la technologie ainsi que sa courte durée de vie seraient coûteuses. Bon nombre des coûts du recyclage ne seraient pas répercutés sur les consommateurs en raison de la législation fédérale. Le secteur n’est pas réussi à parvenir à un consensus sur les conséquences de la protection de ses processus d’OT et sur la façon de financer ces améliorations au fil des décennies.

Tout récemment, aucune preuve n’avait besoin d’élaborer des stratégies spéciales pour se défendre contre les cyberattaques. À la hausse sont des scénarios de cyberguerre et, par conséquent, les utilisateurs et les entreprises devraient être en sécurité ainsi. Il est urgent de mettre en place des mécanismes d’authentification pour protéger l’UTM/OTM afin que les administrateurs système puissent protéger et protéger leurs systèmes de bout en bout.

Intégration de QRadar SIEM

QRadar est une solution d’information de sécurité qui offre une surveillance en temps réel des réseaux informatiques. Nous offrons une grande variété de solutions QRadar, y compris les pièces SIEM de base et le matériel supplémentaire associé.

La fonctionnalité clé de la plate-forme QRadar SI permet l’acquisition d’informations de sécurité en temps réel. La solution recueillera des données à partir de journaux joints pour analyser les anomalies et produire des avertissements inquiétants jusqu’à ce qu’une menace pour la sécurité soit identifiée. Cet appareil unique reconnaît, évalue et suit les menaces à la sécurité, à l’application de la loi et aux politiques dans les réseaux. Il permet aux administrateurs réseau et à d’autres personnes de décider des initiatives proactives de sécurité réseau.

Ce module scanne votre réseau informatique à la recherche de bogues, ainsi que les données obtenues auprès d’autres pirates (tels que Nessus et Rapid7). Utilisation de notre système pour résoudre les problèmes de sécurité réseau. En outre, cela répertorie l’index des vulnérabilités qui peuvent être utilisées dans les règles de connexion et les rapports par IBM QRadar Vulnerability Manager. Ce module vous aiderait à inspecter vos appareils informatiques en quelques heures, voire quelques minutes.

Assurer la sécurité à l’aide de Next-Gen SIEM

• Les fournisseurs de sécurité utiliseront des approches d’apprentissage automatique et d’intelligence artificielle pour contourner les anciens outils de sécurité qui utilisent des lois statiques. Vous pouvez dissuader les attaques inconnues en utilisant un service SIEM de nouvelle génération basé sur l’analyse de big data. Les systèmes d’apprentissage automatique évoluent facilement et sont capables d’identifier les menaces avancées que les systèmes de détection fondés sur la loi ou la signature ne peuvent identifier.
• L’analyse comportementale peut être utilisée pour suivre les dangers internes et les pratiques d’espionnage. Comprendre l’ensemble de l’ensemble de l’anomalie comportementale est une clé pour identifier un danger d’initié au niveau individuel et communautaire. Les attaques d’initiés découlent de l’introduction par effraction dans les droits d’accès qui leur ont été accordés. Ces actions malveillantes peuvent être identifiées à l’aide d’un SIEM de nouvelle génération qui a introduit de puissantes analyses comportementales.
• De bons systèmes d’intervention d’urgence sont importants pour la gestion des catastrophes. Les cybermenaces qui ne sont pas arrêtées ont également des conséquences néfastes. En fournissant et en soutenant l’instruction de l’entreprise sur les procédures à mener en cas d’agression, votre organisation minimise le préjudice causé par une attaque.
• Les médecins doivent s’assurer que leurs données médicales restent privées et limitées aux personnes approuvées. Les documents emr contiennent des informations sur la santé, il est donc important de garder les détails médicaux privés. Habituellement, les SIEM legacy permettent aux organisations de mélanger des données confidentielles sur les patients avec d’autres données informatique ainsi que des détails d’application d’une solution SIEM de nouvelle génération offre tous les privilèges nécessaires pour préserver la sécurité des données, tels que l’anonymisation des données, la gestion de l’accès basée sur les rôle, le filtrage ou l’effacement des données, et une piste d’audit complète.
• Les entreprises de soins de santé sont soumises à plus de législation dans la culture d’aujourd’hui. Les technologies SIEM de nouvelle génération fournissent des rapports ponctuels et ponctuels pour satisfaire à des réglementations comme HIPAA, HITRUST, GDPR et d’autres.

Conclusion

Les professionnels de la santé sont conscients de la nécessité de préserver les dossiers des patients. La sécurité des soins de santé est attaquée par des menaces externes et internes, ce qui rend impératif la protection des renseignements personnels sur la santé (ISP) des personnes. Il y a eu une augmentation substantielle du coût des soins de santé, et les entreprises sont ciblées pour leurs informations et leurs résultats. L’organisation fait souvent face à de fortes pressions réglementaires qui punissent la mauvaise manipulation négligente ou espiègle des données.

Nous devons garder à l’esprit d’assurer une protection suffisante dans notre climat d’entreprise. Cette forme de réseautage peut nous aider à en apprendre davantage sur ce qui se passe dans notre machine ainsi que sur Internet. L’une des techniques de suivi et d’analyse les plus courantes est l’information de sécurité et la gestion d’événements, qui recueillent des informations telles que les événements des périphériques informatiques et les archivent et les traiter. Une attention particulière devrait être accordée à l’installation de SIEM dans les réseaux OT et les particularités de ces réseaux doivent être pris en compte. Nous pouvons vous aider à déployer et à intégrer IPS, SIEM et IDS. Contactez-nous!

Beaucoup de nos clients prévoient de commencer à utiliser Red Hat OpenShift, notre plate-formed’orchestration de conteneurs préférée. Ses avantages peuvent se résumer en ce qu’il permet une modernisation progressive des applications existantes et le déploiement de beaucoup d’autres qui, pour ce qu’il faut nier, avec une conception basée sur les micro-services sont imposées à de nombreuses nouvelles architectures informatiques. Il suffit de penser à ne plus jamais avoir à «préparer» une machine (installation d’un système d’exploitation, configuration du réseau, sécurité, installation de bibliothèques et de logiciels dépendants) chaque fois que nous voulons déployer un environnement justifie de donner à cette technologie un essai.

Kubernetes est aux conteneurs ce qu’OpenStack est allé aux environnements cloud. Une solution open source, qui nous permet de partager une partie de l’infrastructure disponible dans nos centres de données : serveurs, réseaux, stockage dans des pools de ressources sur lesquels déployer, automatiquement différentes charges de travail. Grâce à un portail d’auto-approvisionnement, nos développeurs seront en mesure non seulement de déployer les environnements dont ils ont besoin pour que leurs applications fonctionnent parfaitement, mais aussi de vérifier automatiquement et en permanence que ces applications fonctionnent correctement. Si le «commit» d’un développeur à la dernière minute de la journée provoque un bogue, vous pouvez revenir à la version de la veille sans que personne n’ait à intervenir.

Si nous ajoutons à cela la possibilité de faire des déploiements graduels, où un petit pourcentage d’utilisateurs bénéficient d’une nouvelle version de notre application tandis que les autres continuent d’utiliser la dernière version stable; une grande disponibilité qui fonctionne sans configuration supplémentaire, allocation de ressources (développeurs, mémoire, Processeur, espace disque, affectation d’adresse IP) par projet, ou la possibilité de mesurer en temps réel quelle partie de notre infrastructure nous utilisons, à quel niveau d’efficacité et avec quels résultats, peu de gestionnaires de système diront non à une telle merveille. Sans oublier la possibilité d’mettre automatiquement à l’échelle les applications en ajoutant ou en enlevant des conteneurs au besoin.

Heureusement ou malheureusement, aucunou tout n’est entre les mains des gestionnaires de système. Qu’en est-il de la sécurité? Qu’en pensent les CISOs? Appuyez sur pour passer en charge certains «mythes».

OpenShift est extrêmement sûr par la conception. À notre avis, sa technologie de base (conteneurs) est aussi sûre que le noyau Linux l’est en tout temps. C’est-à-dire que les processus de conteneurs sont séparés par des « espaces nominaux » linux, les ressources qu’ils utilisent par les « cgroups » et leur sécurité, et leur contexte par SELinux. C’est puissant, oui, mais nous partageons toujours un noyau entre de nombreux conteneurs dans chacun d’eux. et le noyau doit être patché, aussi pour des raisons de sécurité. L’inclusion de RHCOS (Red Hat Core OS) nous a permis de faire de grands progrès ces derniers temps en termes de sécurité du système d’exploitation sur lequel fonctionne cette distribution Kubernetes. Toutefois, étant donné que les nœuds RHCOS sont destinés à fonctionner avec peu de changement, il est important que toute amélioration liée à la sécurité de ces nœuds se fasse avec un soin extrême. ce ne sera pas que nous obtenons l’effet inverse.

Les images que nous téléchargeons sont toujours vérifiées et votre code vérifié par Red Hat. Eh bien, en fait l’accès à des images de conteneurs (téléchargés ou propres) sont gérés d’une manière similaire aux MRR. Il y a des dépôts publics ou privés à qui nous nous connectons, avec leurs clés et leurs signatures. Les vulnérabilités continuent de sortir tous les jours, nous avons donc besoin d’une sorte de solution qui surveille le contenu des images de conteneurs disponibles dans nos référentiels, en particulier les images téléchargées et installées dans notre environnement.

OpenShift prend en charge JFrog Artifactory, Black Duck Hub et Docker Trusted Registry. Red Hat CloudForms SmartState peut également être utilisé pour marquer les images vulnérables de manière à ce qu’OpenShift empêche l’application de ces images. Ils sont également utiles pour les applications qui effectuent des tests statiques de sécurité des applications (SAST) et des tests dynamiques de sécurité des applications (DAST), tels que HP Fortify et IBM AppScan.

OpenShift dispose d’un système d’authentification robuste et sécurisé. Chaque cluster OpenShift utilise en fait des comptes d’utilisateur, de groupe et de rôle.

Pour gérer l’accès de chaque utilisateur aux composants OpenShift et être en mesure de vérifier l’identité de chaque utilisateur, le cluster se connectera à différents fournisseurs d’identification (OpenID, LDAP, Active Directory, Github, etc.). Chacun d’eux aura sa propre configuration, avantages et inconvénients.

L’isolement des réseaux et des communications entre les projets OpenShift est suffisant. Il est robuste, car il est basé sur les composants réseau de Kubernetes, mais il ya des opérateurs et des plug-ins qui peuvent nous aider à isoler les différents réseaux ou donner des accès dédiés à certaines cartes réseau en utilisant des technologies comme SR-IOV. Plugins tels que Multus-CNI qui permettent cette fonction et d’autres, complétant les fonctionnalités de l’opérateur de réseau cluster (CNO), le CNI «Container Network Interfaces» et CoreDNS .

Vous êtes intéressé à en savoir plus sur OpenShift? Vous pouvez être intéressé par notre cours intensif de trois jours Red Hat OpenShift 4.X. Nous offrons également une formation officielle IBM si vous souhaitez déployer des serveurs IBM Power Systems.

Après une longue attente, la version gratuite d’IBM QRadar SIEM est enfin disponible. Cette édition, appelée “Community” contient toutes les caractéristiques de QRadar SIEM et nécessite peu de mémoire (fonctionne avec seulement 8 ou 10 Go) par rapport à l’au moins 24G requis pour un environnement de version commerciale minimum. Il comprend également une licence qui n’expire pas et vous permet d’installer toutes sortes de plugins et d’applications. L’objectif est son utilisation privée pour l’apprentissage, les démos, les tests et fondamentalement, le développement d’applications compatibles avec QRadar. C’est pourquoi ses capacités sont limitées à la gestion de 50 événements (journaux) par seconde et de 5 000 paquets réseau par minute, ce qui n’est pas mauvais :)

Gardez à l’esprit que l’un des principaux inconvénients qui n’apporte pas de prise en charge pour tous les appareils et environnements de la version commerciale. Si nous voulons surveiller une base de données, ou un pare-feu, nous devrons installer chacun des modules manuellement

Quelles sont les exigences matérielles disponibles?

• Mémoire : 8 Go de RAM ou 10 Go si des applications sont installées, c’est-à-dire qu’un ordinateur portable moderne peut fonctionner.
• Disque: 250 Go bien que notre expérience nous dit qu’avec environ 30G est suffisant pour les environnements éphémères. L’espace est utilisé comme SIEM est maintenu en usage. Si des machines virtuelles sont créées et détruites pour de courts tests, cela ne prend pas si longtemps.
• CPU: 2 cœurs, mais 4 ou 6 serait encore mieux.
• Réseau : accès Internet, réseau privé et nom d’hôte FQDN.

Comment puis-je l’installer?

IBM fournit pour cette version une image en format OVA téléchargeable à partir de ce lien. Nous n’avons plus à lancer l’installateur sur un système CentOS créé par nous et avec les petits bugs habituels à corriger, ce qui est apprécié. Il suffit de créer un compte IBM, quelque chose qui peut être fait sur place et gratuitement. L’image OVA peut être déployée sur VMWare, KVM ou VirtualBox.

Le processus d’installation est rapide et simple comme le montre la vidéo suivante :

New Free QRadar CE version 733

Après quoi, vous pouvez commencer à explorer et à travailler en suivant les indices disponibles dans le guide “Getting started”

Une fois que l’environnement est opérationnel, vous pouvez installer des applications

QRadar CE 733 Add an App from the App Exchange

Et même surveiller le réseau de notre maison: téléphones, ordinateurs portables, systèmes domotiques, etc.

Use The Free QRadar CE to Monitor your Home's Network (flows)

Vous voulez en savoir plus sur IBM QRadar SIEM?

Nous offrons des services professionnels (consultation, déploiement et soutien), de la  formation officielle et privée y compris la preparation des certificacions officielles. Contactez-nous sans obligation.