Sérülékenység-vizsgálat

A sérülékenység-vizsgálat feladata, hogy a rendelkezésre álló idő alatt a lehető legtöbb sérülékenységet azonosítsa a vizsgált eszközön vagy rendszerben, majd a feltárt sérülékenységeket értékelje, priorizálja, és javaslatokat tegyen a feltárt sérülékenységek javítására.

 

Aktív sérülékenység-vizsgálat

Az aktív sérülékenység-vizsgálat során a klasszikus ethical hacking módszertanok segítségével (BlackBox, GrayBox, WhiteBox) kerülnek az ipari környezetek és eszközök ellenőrzésre, de az IT környezetek vizsgálatához képest kevésbé használunk automata eszközöket és jobban fókuszálunk a manuális tesztelésre.

Az aktív sérülékenység-vizsgálat során etikus hackereink elvégzik:

  • a hálózat és csatlakoztatott eszközök felderítését
  • a hálózati szeparáció kialakításának, határvédelmi megoldásainak elemzését, esetleges sérülékenységeik azonosítását
  • az egyes eszközök által használt szolgáltatások, protokollok és a kommunikáció irányainak vizsgálatát
  • az ipari routerek és switchek vizsgálatát
  • a PLC-k, IED, RTU eszközök vizsgálatát,
  • a Device Server és egyéb átjárók vizsgálatát
  • a SCADA és HMI eszközök vizsgálatát (OS és applikációs réteg, pl. web felület)
  • egyéb specifikus vizsgálatok, mint például OWASP TOP10, SANS-25.

Az ICS/OT környezetek aktív sérülékenység-vizsgálatával visszajelzés kapható az ipari vezérlők, eszközök és környezetük biztonsági állapotáról. A sérülékenység-vizsgálati jelentés tartalmazza a feltárt sérülékenységeket, azok besorolását és priorizálását, a sérülékenységek kockázatait, valamint a sérülékenységek javításának, és a kockázatok csillapításának lehetőségeit.

 

Passzív sérülékenység-vizsgálat

A passzív vizsgálathoz speciális eszközöket alkalmazunk, amelyeket integrálni kell a vizsgált hálózathoz, és amelyekre kitükrözésre kerülnek az ipari hálózatok és eszközök adatforgalmai. A vizsgálat során az ipari és IT eszközök egymás közötti forgalma, illetve az ipari hálózatok és egyéb hálózatok közötti forgalom kerül elemzésre.

A passzív vizsgálat során a sérülékenységek megállapítása nem az ipari eszközök lekérdezésével vagy szkennelésével történik. A kitükrözött hálózati forgalomból, az eszközök egymás közötti, illetve más rendszerekkel történő kommunikációjából és a kommunikációs protokollok dekódolásával azonosíthatók az ipari eszközök (gyártó, firmware, konfiguráció),  illetve az azonosított eszközökhöz társíthatók a valószínűsített sérülékenységek (amelyek szükség esetén validálhatók)

 

A passzív sérülékenység-vizsgálat a forgalomelemzésen, vizualizáción és feltérképezésen kívül tartalmazhat olyan audit-interjúkon és műszaki ellenőrzéseken alapuló felmérési elemeket, amelyek az ipari környezet üzemeltetési és üzembiztonsági feladatait vizsgálják. Ilyenek lehetnek például:

  • szegmentáció vagy mikroszegmentáció megvalósításának ellenőrzése,
  • az adathordozók használatának és az adatbeléptetésnek a vizsgálata,
  • a vírus- és malware védelem megvalósítása az ipari hálózat és egyéb hálózatok között,
  • a kiépített ipari távelérés és remote support vizsgálata,
  • programkód tárolása és kezelése,
  • a programkód letöltésének szabályozása és védelme,
  • projektfájlok tárolása, kezelése, védelme,
  • engineering állomások védelme,
  • Ipar 4.0 adatgyűjtés, adatvizualizáció ellenőrzése,
  • OT eljárásrendek, szabályzatok vizsgálata a megfelelőséghez.

A passzív sérülékenység-vizsgálat olyan szervezeteknek javasolt, ahol magas szintű biztonsági ellenőrzésre van szükség, de az aktív sérülékenység-vizsgálat lehetséges kockázatai nélkül, illetve ahol az üzemeltetési folyamatok lehetséges sérülékenységeinek feltárására is szükség van.

MITTRE ATT&CK ICS-alapú sérülékenység-vizsgálat

A MITRE szervezet 2020 elején adata ki „MITRE ATT&CK ICS Matrix” nevű keretrendszerét, amely az ipari vezérlők és ipari rendszerek elleni támadásokban  használt technikákat, taktikákat és eljárásokat foglalja össze.

A keretrendszeren alapuló vizsgálati módszertanunk a támadási formák mátrixának pontjait, a támadási formák megvalósíthatóságát és lehetséges kimeneteleit ellenőrzi a vizsgált rendszerrel, vagy akár csak egyetlen eszközzel kapcsolatban. A vizsgálat jellemzően audit interjúkon és ellenőrzéseken keresztül valósul meg.

A vizsgálat nagyon fókuszált, ezért az aktív és passzív sérülékenység-vizsgálatnál sokkal gyorsabban és kevesebb előkészület mellett végezhető el. A módszertan alapján egy viszonylag rövid projekten belül is megállapítható, hogy mennyire és hogyan sebezhető a vizsgált rendszer az ismert és gyakori támadási eljárásokkal, technikákkal és eszközökkel.

Alverad Technology Focus Kft.

Tel: +36 1 797 6689
E-mail: info@alverad.hu
Székhely: 1119 Budapest, Andor utca 21.c
Labor: 1138 Budapest, Madarász Viktor utca 47-49. II. ép. 1.emelet
Levelezési cím: 1550 Budapest, Pf. 104.

LinkedIn