Sérülékenység-vizsgálat

A sérülékenység-vizsgálat feladata, hogy a rendelkezésre álló idő alatt a lehető legtöbb sérülékenységet azonosítsa a vizsgált eszközön vagy rendszerben, majd a feltárt sérülékenységeket értékelje, priorizálja, és javaslatokat tegyen a feltárt sérülékenységek javítására.

Aktív sérülékenység-vizsgálat

Az aktív sérülékenység-vizsgálat során a klasszikus ethical hacking módszertanok segítségével (BlackBox, GrayBox, WhiteBox) kerülnek az ipari környezetek és eszközök ellenőrzésre, de az IT környezetek vizsgálatához képest kevésbé használunk automata eszközöket és jobban fókuszálunk a manuális tesztelésre.

Az aktív sérülékenység-vizsgálat során etikus hackereink elvégzik:

• a hálózat és csatlakoztatott eszközök felderítését
• a hálózati szeparáció kialakításának, határvédelmi megoldásainak elemzését, esetleges sérülékenységeik azonosítását
• az egyes eszközök által használt szolgáltatások, protokollok és a kommunikáció irányainak vizsgálatát
• az ipari routerek és switchek vizsgálatát
• a PLC-k, IED, RTU eszközök vizsgálatát,
• a Device Server és egyéb átjárók vizsgálatát
• a SCADA és HMI eszközök vizsgálatát (OS és applikációs réteg, pl. web felület)
• egyéb specifikus vizsgálatok, mint például OWASP TOP10, SANS-25.

Az ICS/OT környezetek aktív sérülékenység-vizsgálatával visszajelzés kapható az ipari vezérlők, eszközök és környezetük biztonsági állapotáról. A sérülékenység-vizsgálati jelentés tartalmazza a feltárt sérülékenységeket, azok besorolását és priorizálását, a sérülékenységek kockázatait, valamint a sérülékenységek javításának, és a kockázatok csillapításának lehetőségeit.

Passzív sérülékenység-vizsgálat

A passzív vizsgálathoz speciális eszközöket alkalmazunk, amelyeket integrálni kell a vizsgált hálózathoz, és amelyekre kitükrözésre kerülnek az ipari hálózatok és eszközök adatforgalmai. A vizsgálat során az ipari és IT eszközök egymás közötti forgalma, illetve az ipari hálózatok és egyéb hálózatok közötti forgalom kerül elemzésre.

A passzív vizsgálat során a sérülékenységek megállapítása nem az ipari eszközök lekérdezésével vagy szkennelésével történik. A kitükrözött hálózati forgalomból, az eszközök egymás közötti, illetve más rendszerekkel történő kommunikációjából és a kommunikációs protokollok dekódolásával azonosíthatók az ipari eszközök (gyártó, firmware, konfiguráció),  illetve az azonosított eszközökhöz társíthatók a valószínűsített sérülékenységek (amelyek szükség esetén validálhatók)

A passzív sérülékenység-vizsgálat a forgalomelemzésen, vizualizáción és feltérképezésen kívül tartalmazhat olyan audit-interjúkon és műszaki ellenőrzéseken alapuló felmérési elemeket, amelyek az ipari környezet üzemeltetési és üzembiztonsági feladatait vizsgálják. Ilyenek lehetnek például:

• szegmentáció vagy mikroszegmentáció megvalósításának ellenőrzése,
• az adathordozók használatának és az adatbeléptetésnek a vizsgálata,
• a vírus- és malware védelem megvalósítása az ipari hálózat és egyéb hálózatok között,
• a kiépített ipari távelérés és remote support vizsgálata,
• programkód tárolása és kezelése,
• a programkód letöltésének szabályozása és védelme,
• projektfájlok tárolása, kezelése, védelme,
• engineering állomások védelme,
• Ipar 4.0 adatgyűjtés, adatvizualizáció ellenőrzése,
• OT eljárásrendek, szabályzatok vizsgálata a megfelelőséghez.

A passzív sérülékenység-vizsgálat olyan szervezeteknek javasolt, ahol magas szintű biztonsági ellenőrzésre van szükség, de az aktív sérülékenység-vizsgálat lehetséges kockázatai nélkül, illetve ahol az üzemeltetési folyamatok lehetséges sérülékenységeinek feltárására is szükség van.

MITTRE ATT&CK ICS-alapú sérülékenység-vizsgálat

A MITRE szervezet 2020 elején adata ki „MITRE ATT&CK ICS Matrix” nevű keretrendszerét, amely az ipari vezérlők és ipari rendszerek elleni támadásokban  használt technikákat, taktikákat és eljárásokat foglalja össze.

A keretrendszeren alapuló vizsgálati módszertanunk a támadási formák mátrixának pontjait, a támadási formák megvalósíthatóságát és lehetséges kimeneteleit ellenőrzi a vizsgált rendszerrel, vagy akár csak egyetlen eszközzel kapcsolatban. A vizsgálat jellemzően audit interjúkon és ellenőrzéseken keresztül valósul meg.

A vizsgálat nagyon fókuszált, ezért az aktív és passzív sérülékenység-vizsgálatnál sokkal gyorsabban és kevesebb előkészület mellett végezhető el. A módszertan alapján egy viszonylag rövid projekten belül is megállapítható, hogy mennyire és hogyan sebezhető a vizsgált rendszer az ismert és gyakori támadási eljárásokkal, technikákkal és eszközökkel.