È ragionevole fare un pentest (o altro controllo di sicurezza non teorico) su un'infrastruttura critica?

5

Quasi tutti concordano sul fatto che durante un pentest è impossibile garantire l'integrità del target ( È accettabile che un esperto pentester professionista cancelli o modifichi involontariamente i dati sensibili in produzione durante un pentest? ) perché userete input inattesi e automaticamente strumenti per vedere la sua risposta.

In questo scenario, è ragionevole eseguire un pentest su un'infrastruttura critica? L'integrità di un'infrastruttura critica potrebbe essere necessaria per proteggere le vite umane e il suo malfunzionamento mette a rischio le vite umane.

Come possiamo eseguire un test di sicurezza su un'infrastruttura critica che ne conosce la criticità?

Possibili soluzioni a questo problema sono:

1) Effettua un audit teorico

Gli audit teorici sono ok ma i risultati teorici non saranno reali.

2) Esegui un pentest su un ambiente identico

Quando parliamo di infrastrutture critiche (e anche per altri ambienti) potrebbe essere impossibile avere due ambienti identici a causa del costo e della complessità dell'ambiente.

Quando parliamo di infrastrutture critiche, parliamo di cose come:

  • generazione, trasmissione e distribuzione di elettricità;
  • produzione, trasporto e distribuzione di gas;
  • produzione, trasporto e distribuzione di petrolio e prodotti petroliferi;
  • telecomunicazioni;
  • approvvigionamento idrico (acqua potabile, acque reflue / liquami, arginamento delle acque superficiali) (ad esempio dighe e chiuse));
  • agricoltura, produzione e distribuzione alimentare;
  • riscaldamento (ad esempio gas naturale, olio combustibile, teleriscaldamento);
  • salute pubblica (ospedali, ambulanze);
  • sistemi di trasporto (rifornimento di carburante, rete ferroviaria, aeroporti, porti, navigazione interna);
  • servizi finanziari (banca, compensazione); servizi di sicurezza (polizia, militari).
posta kinunt 04.09.2013 - 17:42
fonte

3 risposte

5

In qualsiasi test che si occupa di sistemi critici, in genere si limiterà il test a operazioni a basso rischio e si eviteranno strumenti automatici (ad esempio Nessus) che potrebbero potenzialmente danneggiare il sistema.

Specifico per l'infrastruttura critica, direi quanto segue:

  • Pianifica il test a un basso punto di domanda, dove applicabile.
  • Rendi consapevoli del test i tecnici e gli altri addetti all'assistenza e assicurati che siano pronti a risolvere rapidamente eventuali problemi.
  • Assicurati che durante il test sia pianificata una maggiore capacità / ridondanza.
  • Assicurarsi che ai tester venga fornito un piano d'azione appropriato che specifichi come gestire guasti gravi o sistemi non responsivi. Questo dovrebbe includere i contatti di emergenza.

Nonostante ciò, ci sarà sempre un rischio. È qualcosa che devi affrontare, e in un certo senso è una buona cosa. Se i tester mettono fuori linea qualcosa eseguendo solo azioni a basso rischio, allora sai che un attaccante potrebbe fare molto peggio. Un crash accidentale del sistema durante un test pianificato potrebbe far schifo, ma non tanto quanto un arresto anomalo a causa della malizia quando nessuno se lo aspetta. Se si scende nello scenario di test, è possibile pianificare di conseguenza e apportare le correzioni appropriate.

    
risposta data 04.09.2013 - 17:58
fonte
4

Bene, no, non è "ragionevole" fare test potenzialmente distruttivi su un'infrastruttura critica. Questo è per definizione: l'infrastruttura critica è critica .

Facciamo matematica (la matematica è bella). Un test di penetrazione ha alcune probabilità (auspicabilmente piccole) p 1 di interrompere il servizio su cui è applicato. Ha anche probabilità p 2 per consentire il rilevamento e la correzione di un problema che avrebbe avuto probabilità p 3 da sfruttare, portando a un'interruzione del servizio. Quindi la probabilità di interruzione quando si applica il test di penetrazione è p 1 + (1 - p 2 ) · p 3 (o il pentest rompe le cose subito o "manca" il buco e l'attaccante ha comunque successo). Se quel valore è maggiore di p 3 , allora il pentest sul live, sistema critico fa più male che bene e non deve essere eseguito.

In generale, questa è tutta la analisi dei rischi : devi bilanciare i rischi legati al fare il pentito, con i rischi coinvolti con non a fare il pentest. Contrariamente a quanto le mie poche annotazioni matematiche di cui sopra sembrano implicare, le probabilità rilevanti non possono essere conosciute con una precisione decente, quindi alla fine è tutto congetture. Ciò che davvero deve essere ricordato è che esiste una serie relativamente ampia di possibili strategie:

  • Puoi fare il pentest sul sistema critico dal vivo.
  • Puoi pagare per la configurazione di un clone del sistema live, che sarà identico al sistema live che può essere raggiunto fisicamente, e fare il pentest su quel sistema.
  • Puoi fare la maggior parte del pentest su una cruda emulazione del sistema live, e lavorare con il pentestore per classificare le azioni più potenti: per alcuni, il sistema live può comportarsi come l'emulazione, per altri no. Questo potrebbe già rivelare cose interessanti.
  • Puoi anche non fare nulla. Il rischio potrebbe tuttavia essere trasferibile con un meccanismo assicurativo (a seconda del contesto, gli affari sono facilmente trasferibili, le vite umane sono più difficili).

Un altro punto da considerare è che gli attacchi sono solo un tipo di rischio. Hai altri tipi, ad es. inondazioni, terremoti e incendi, che possono comunque distruggere la maggior parte delle "infrastrutture critiche", e devi anche tenerne conto. Un modo tipico per gestire le inondazioni consiste nell'avere un'infrastruttura di backup da qualche parte (un "sito freddo", "sito caldo" o "sito caldo", a seconda di quanto è stata completata in anticipo l'installazione di quel sito). In alcuni casi, questo sito di backup può essere utilizzato per pentests privi di rischio.

    
risposta data 04.09.2013 - 19:16
fonte
0

Converti gli host in guest VM e poi portali fuori sede per metterli alla prova altrove. Raccogli i campioni del firmware ed eseguili con Qemu. Richiedi alcuni dispositivi DCS, PLC, RTU o smart meter che possono essere forzati al prepensionamento per scopi di laboratorio.

    
risposta data 22.02.2014 - 16:04
fonte

Leggi altre domande sui tag