SCADA, strumenti e metodologie di test specifici per ICS

4

Sono stato contattato per eseguire una valutazione dei rischi per la sicurezza che si riferisce specificamente ai sistemi ICS e SCADA. Ho eseguito molte valutazioni del rischio di sicurezza IT, tuttavia, sono nuovo nel valutare specificamente questi tipi di ambienti. Ho familiarità con i dispositivi simili a ICS e credo di avere una comprensione superficiale della funzionalità e alcune delle loro sfide intrinseche.

La mia domanda è per coloro che fanno questo ogni giorno, lavorano in un tale ambiente o hanno valutato prima un ambiente ICS.

Esistono strumenti specifici utili in questo tipo di valutazione che non sono ovvi? Ho fatto qualche ricerca e ho letto gli standard NIST per la valutazione di ICS. Ho anche trovato lo strumento CSS del DHS (che sembra più uno strumento di autovalutazione, ma potrebbe avere alcune funzioni utili come lo strumento di diagrammi).

Inoltre, esiste uno standard specifico che viene generalmente seguito per questo tipo di coinvolgimento?

Prima che qualcuno salga sulla loro soapbox del responsabile della sicurezza, questa entità è ben consapevole che questo è il mio primo coinvolgimento in ICS e che ho valutato ambienti IT unici per molti anni. Ho anche un strong sostegno alla schiena da parte del mio team che ha grande esperienza in questo tipo di fidanzamento. Sono sicuro che avranno anche molte idee per me, volevo solo metterlo lì fuori per un commento pubblico.

Grazie!

Reader's Digest:

Quali strumenti specifici esistono per la valutazione Scada / ICS?

Quali standard specifici sono generalmente accettabili per una valutazione del rischio Scada / ICS?

    
posta eficker 30.01.2014 - 05:57
fonte

1 risposta

4

Ovviamente, raccomando il progetto SamuraiSTFU per lo studio, incluso il Penetration Testing con SmartGrid & Addestramento SCADA. Ha preso il mio da Justin Searle la scorsa settimana.

Quello che ho imparato è che la conoscenza del dominio in diverse aree è fondamentale.

  1. Audit di postura di sicurezza, ad es. BITS FISAP, CIP CVA, IT COBIT, COSO, VisibleOpsSec. Tipicamente, il cliché CISSP si adatta bene qui come prerequisito (ovvero, 5 anni di esperienza nella gestione della sicurezza delle informazioni e nella gestione del rischio con la capacità di essere guidato da un continuo apprendimento / miglioramento e possedere un solido quadro etico / dorsale)
  2. Valutazioni dell'acquisizione di rete (il nuovo titolo di Syngress Press, "Applied Network Security Monitoring" e l'uscita dell'estate scorsa da NoStarch, "The Practice of Network Security Monitoring" sono ottimi punti di partenza mentre spiegano come implementare SecurityOnion, un Ubuntu distro appositamente progettato per questi impegni). FPC affidabile e ripetibile (ad es. Netsniff-NG) per raccogliere dati Tenable PVS e PRADS che alimentano Squert potrebbe essere tutto ciò che è necessario, anche se certamente puoi fare molto di più con il CERT NetSA Security Suite, NetWitness, Lancope, Arbor, 21CT , et al
  3. Test di penetrazione della rete (molti libri e risorse su questo argomento, particolarmente popolari e rilevanti sono Offensive Security - il team che rende Kali Linux). CAVEAT EMPTOR: probabilmente vuoi convertire qualsiasi rete di produzione in rete di laboratorio usando VMware Converter o simili. I test sui sistemi di controllo industriale di produzione o di controllo in tempo reale sono controindicati
  4. Test di penetrazione di applicazioni e Web (molti libri, ma di solito raccomando TAOSSA - l'Art of Software Security Assessment - e risorse come OWASP). A mio parere, non importa quali strumenti utilizzi ma se prevedi di immettere errori, dovresti essere un esperto di OWASPBWA e Web Security Dojo (ad esempio, Checkmarx, Contrast Security, Burp Suite Professional, NTOSpider, Netsparker, Appscan, sqlmap , et al) e se hai intenzione di usare il fuzz allora dovresti essere un esperto nei laboratori OSCP / OSCE e CertifiedNOP (es. Zulu, GPF / EFS, PFF, ImmDbg, Sulley, gdb, MSF, e altri). Con "esperto" intendo che dovresti essere in grado di trovare il 95 percento o più delle vulnerabilità dell'intero sistema ed essere in grado di portarli al pieno sfruttamento (tipicamente circa mille sessioni di pratica per target). Inoltre, devo notare che alcune piattaforme e framework richiedono conoscenze e strumenti ancora più specializzati (ad es. App per dispositivi mobili, Flash / Silverlight, Ajax, servizi Web, ecc.)
  5. Sistemi incorporati e test di inversione e penetrazione della frequenza radio (per iniziare potresti voler controllare il Bus Pirate per lo sniffing seriale o RTL-SDR / HackRF più GNURadio / RFCat per MIJI RF - meaconing, interferenze, jamming e intercettazione). Nota il pezzo più difficile di questo processo è l'effettiva acquisizione dell'hardware. RTU, PLC e test di dispositivi simili possono essere un problema di budget. Seleziona attentamente un campionamento di dispositivi mettendoli in un laboratorio (come descritto in Test di penetrazione di rete sopra) e non rimettendoli mai in produzione (cioè un "pensionamento anticipato")
  6. Revisione del firmware e test di penetrazione (di solito è necessaria una solida conoscenza della crittografia e del codice di auto-modifica / integrità - strumenti come binwalk, IDA Pro o altri disassemblatori / decompilatori e strumenti / risorse correlate
risposta data 18.02.2014 - 00:40
fonte

Leggi altre domande sui tag