C'è un modo per monitorare il comportamento dei sistemi SCADA durante i test di penne o di sicurezza, e scoprire le implicazioni di solo scansioni di porte e / o monitorare lo stato di attività durante l'invio di un carico utile? È possibile che un dispositivo si guasta a causa di un controllo di sicurezza SCADA?
I dispositivi SCADA sono soggetti alle stesse vulnerabilità comuni, come enumerazione, cracking delle password, intercettazione della rete e denial of service, che si trovano in qualsiasi altro tipo di dispositivo di rete.
Penso che sia abbastanza comune implementare sistemi di monitoraggio della salute per i sistemi in modo da poter raccogliere cose insolite che accadono sulla rete SCADA.
I tuoi sistemi SCADA possono fallire e rompersi deffinitamente durante un pentest. I risultati di un pentest possono essere così tanti, e anche se si fa schiantare un PLC o altre apparecchiature che è anche un problema di sicurezza (denial of service). Cosa succede se una lunga stringa fuzz colpisce il PLC e si rompe?
Se fossi in te tratterei la tua rete SCADA come qualsiasi altra rete. Con questo arriva il preoccupante di prendere qualcosa, rompere i dati, e così via.
Questo video mostra un attacco SCADA in sequenza su una rete elettrica: link
La singola regola più importante quando si testano i sistemi SCADA di produzione non è mai un sistema di test SCADA di produzione se esiste il rischio di eliminare qualsiasi servizio critico, di versare un oleodotto, ecc. Utilizzare sempre un ambiente di test.
Se tuttavia è necessario testare in diretta, la regola migliore per aderire è chiedere conferma di ogni passaggio - conferma scritta, dall'ingegnere del sistema. Questo rende un test corretto molto macchinoso e costoso, ma riduce drasticamente il rischio di fare qualcosa di fatale.
E se è abbastanza costoso, forse per il test del prossimo anno potresti ottenere un ambiente di test ...
I Pentesters / "Revisori" dovrebbero tenere un pacchetto completo per catturare tutto ciò che i loro strumenti mettono sul filo e questo dovrebbe essere disponibile per te come cliente. Usalo se succede qualcosa che si blocca, viene identificato in modo errato, ecc. Per individuare il comportamento (errato) dei sistemi sotto test.
Inoltre, avviare basic e manual prima di attaccare il sistema con tutti i tipi di traffico. (le cose possono andare male rapidamente e non avrai idea di cosa l'abbia causata fino a quando non riesci a scavare attraverso le acquisizioni) Questo significa identificare passivamente le porte in uso, quindi iniziare inviando semplici collegamenti / SYNS piuttosto che una scansione completa di impronte digitali / servizio nmap, ecc. (è improbabile che gli strumenti abbiano firme utili per identificare l'attrezzatura)
Considera anche l'acquisizione dei dati da parte di altri canali. Ad esempio, molti dispositivi supportano un MIB SNMP standard che fornisce informazioni su modello, porte tcp / udp, tabella di routing, ecc. Se è possibile recuperare queste informazioni con query SNMP standard, non è necessario eseguire la scansione di tutte le porte 65000+. .
Ignora la risposta di Rook al tuo commento. Sebbene molti componenti software dei sistemi di controllo girino su sistemi Windows e * nix ora, c'è ancora molto rischio di crash / corruzione delle applicazioni su questi sistemi, per non parlare dei dispositivi integrati che costituiscono il campo del sistema di controllo che sono ancora più famoso per non aver fatto attenzione alla scansione o al test. Ci sono un sacco di esempi di entrambi i tipi di backup, anche quando sono in esecuzione su sistemi operativi moderni.
TL; DR: Esistono sempre più approcci di test passivi / passivi a cui è possibile ricorrere per eseguire l'attività di test e ottenere la copertura del sistema di controllo. Sii creativo e collabora con il cliente o il team di test.
Un sistema SCADA è solo una grande rete distribuita che di solito è su IP. I sistemi SCADA sono molto dipendenti da un database e SQL è una scelta comune. Le stesse regole si applicano per qualsiasi pen-test contro una rete. Un sistema SCADA ha bisogno di un firewall per bloccare le connessioni in entrata. Un IDS come uno sbuffo è ancora utile per mantenere una rete sicura. I sistemi SCADA possono avere interfacce Web e un firewall di applicazioni Web come mod_secuirty (come proxy inverso) è utile.
L'unico trucchetto con SCADA è che di solito sono LARGE . Come nei sistemi informatici per lo spostamento dell'elettricità in un intero paese. Quindi per i test di penetrazione fisica è necessario considerare l'accesso fisico alla rete osservando i singoli nodi nel sistema SCADA. Rompi il tuo seghetto e un piegatore a filo: D.
Leggi altre domande sui tag audit penetration-test vulnerability-scanners scada