Surveillance des systèmes industriels : l'essentiel sur Claroty

Claroty, l’une des jeunes pousses qui se concentrent sur la sécurité des ICS/Scada, est présente depuis peu dans l’Hexagone, par le truchement de Star Achats, également distributeur de Waterfall Security, un autre acteur du domaine.

Ironiquement, Claroty a été fondé en 2014 par l’ancien propriétaire de Waterfall Security, Amir Zilberstein, avec Benny Porat, ancien de l’armée israélienne, et Galina Antova, qui dirigeait alors l’activité services de sécurité industrielle de Siemens, à Atlanta.

Patrick Mc Bride, vice-président de Claroty en charge du marketing, renvoie d’ailleurs sans peine au passé d’Amir Zilberstein, pour insister : « on ne peut faire semblant [d’être un expert] en entrant sur ce marché ». De quoi souligner la différence entre les spécialistes des systèmes industriels et ceux qui s’y invitent tout en venant du monde des systèmes d’information.

Claroty s’intéresse au trafic en profondeur, pour y collecter les informations et les commandes véhiculées. Sa solution supporte ainsi les protocoles ouverts et propriétaires des principaux équipementiers ICS/Scada, sur les réseaux Ethernet et sériels. L’éventail de protocoles supportés est particulièrement étendu : Modbux, DNP3, Siemens S7 et P2, bien sûr, mais également les protocoles spécifiques à Rockwell, Emerson, et ABB, pour n’en citer que quelques-uns.

La solution surveille l’environnement de manière passive pour construire des modèles comportementaux et détecter les déviations, mais également signaler les changements majeurs. Son interface d’administration permet d’accéder à un historique complet et contextualisé de chaque alerte générée. Un module spécifique, qui n’est pour l’instant accessible qu’à une poignée de clients, permet d’évaluer la posture de sécurité de l’environnement.

La logique consiste à protéger l’environnement des attaques externes, mais également de la malveillance interne… ou encore des opérations accidentelles : « la plupart des personnes avec lesquelles on discute, dans des certains comme la chimie ou la manufacture, sont particulièrement inquiets de ce risque. C’est une autre forme de menace interne, non malicieuse ».

La plateforme de Claroty vise également à sécuriser les accès à distance des fournisseurs, avec notamment enregistrement des sessions et coffre-fort à mots de passe, à la manière de ce que peuvent proposer certaines solutions de sécurisation des comptes à privilèges pour l’administration de systèmes, notamment.

Dans la pratique, la plateforme se présente sous d’appliances physiques ou virtuelles à déployer sur la base d’une image Linux RedHat/CentOS 7. Un port Ethernet physique dédié doit être disponible pour la connexion au port SPAN d’un commutateur de cœur de réseau afin de permettre l’inspection des paquets en profondeur. Il faut compter sur au moins un appliance pour chaque site, et une appliance centrale. L’accès aux interfaces se fait via le navigateur Web, Chrome étant recommandé.

La plateforme de Claroty peut s’intégrer avec des systèmes de gestion des informations et des événements de sécurité (SIEM), comme IBM QRadar, Splunk, et ArSight, mais également avec les outils de gestion de journaux d’Alert Logic et de LogRhythm, la plateforme d’analyse de sécurité RSA NetWitness, et enfin des systèmes de gestion d’actifs et ticketing tels que ceux de ServiceNow et de BMC Software.  

Paul Forney from @SchneiderElec #S4x18 with kind words "Claroty has an impressive ability to detect Triton Triconex malware on the wire" - we're here to drive #ics #scada #infosec innovation!

— Claroty (@ClarotyLtd) January 18, 2018

La plateforme de Claroty a récemment été saluée par Paul Forney, architecte sécurité en chef de Schneider Electric, à l’occasion de la conférence S4, fin janvier à Miami. C’est là qu’il a présenté le fruit de ses recherches sur la vulnérabilité exploitée par Triton et présente de longue date dans les systèmes de sûreté industrielle Triconex du groupe. Et de souligner au passage la capacité de la plateforme de Claroty à détecter Triton. Celle-ci s’est d’ailleurs imposée à S4 comme solution de référence pour la supervision réseau des environnements industriels, devant Nozomi Networks.