Sérülékenység-vizsgálat
A sérülékenység-vizsgálat feladata, hogy a rendelkezésre álló idő alatt a lehető legtöbb sérülékenységet azonosítsa a vizsgált eszközön vagy rendszerben, majd a feltárt sérülékenységeket értékelje, priorizálja, és javaslatokat tegyen a feltárt sérülékenységek javítására.
Aktív sérülékenység-vizsgálat
Az aktív sérülékenység-vizsgálat során a klasszikus ethical hacking módszertanok segítségével (BlackBox, GrayBox, WhiteBox) kerülnek az ipari környezetek és eszközök ellenőrzésre, de az IT környezetek vizsgálatához képest kevésbé használunk automata eszközöket és jobban fókuszálunk a manuális tesztelésre.
Az aktív sérülékenység-vizsgálat során etikus hackereink elvégzik:
- a hálózat és csatlakoztatott eszközök felderítését
- a hálózati szeparáció kialakításának, határvédelmi megoldásainak elemzését, esetleges sérülékenységeik azonosítását
- az egyes eszközök által használt szolgáltatások, protokollok és a kommunikáció irányainak vizsgálatát
- az ipari routerek és switchek vizsgálatát
- a PLC-k, IED, RTU eszközök vizsgálatát,
- a Device Server és egyéb átjárók vizsgálatát
- a SCADA és HMI eszközök vizsgálatát (OS és applikációs réteg, pl. web felület)
- egyéb specifikus vizsgálatok, mint például OWASP TOP10, SANS-25.
Az ICS/OT környezetek aktív sérülékenység-vizsgálatával visszajelzés kapható az ipari vezérlők, eszközök és környezetük biztonsági állapotáról. A sérülékenység-vizsgálati jelentés tartalmazza a feltárt sérülékenységeket, azok besorolását és priorizálását, a sérülékenységek kockázatait, valamint a sérülékenységek javításának, és a kockázatok csillapításának lehetőségeit.
Passzív sérülékenység-vizsgálat
A passzív vizsgálathoz speciális eszközöket alkalmazunk, amelyeket integrálni kell a vizsgált hálózathoz, és amelyekre kitükrözésre kerülnek az ipari hálózatok és eszközök adatforgalmai. A vizsgálat során az ipari és IT eszközök egymás közötti forgalma, illetve az ipari hálózatok és egyéb hálózatok közötti forgalom kerül elemzésre.
A passzív vizsgálat során a sérülékenységek megállapítása nem az ipari eszközök lekérdezésével vagy szkennelésével történik. A kitükrözött hálózati forgalomból, az eszközök egymás közötti, illetve más rendszerekkel történő kommunikációjából és a kommunikációs protokollok dekódolásával azonosíthatók az ipari eszközök (gyártó, firmware, konfiguráció), illetve az azonosított eszközökhöz társíthatók a valószínűsített sérülékenységek (amelyek szükség esetén validálhatók)
A passzív sérülékenység-vizsgálat a forgalomelemzésen, vizualizáción és feltérképezésen kívül tartalmazhat olyan audit-interjúkon és műszaki ellenőrzéseken alapuló felmérési elemeket, amelyek az ipari környezet üzemeltetési és üzembiztonsági feladatait vizsgálják. Ilyenek lehetnek például:
- szegmentáció vagy mikroszegmentáció megvalósításának ellenőrzése,
- az adathordozók használatának és az adatbeléptetésnek a vizsgálata,
- a vírus- és malware védelem megvalósítása az ipari hálózat és egyéb hálózatok között,
- a kiépített ipari távelérés és remote support vizsgálata,
- programkód tárolása és kezelése,
- a programkód letöltésének szabályozása és védelme,
- projektfájlok tárolása, kezelése, védelme,
- engineering állomások védelme,
- Ipar 4.0 adatgyűjtés, adatvizualizáció ellenőrzése,
- OT eljárásrendek, szabályzatok vizsgálata a megfelelőséghez.
A passzív sérülékenység-vizsgálat olyan szervezeteknek javasolt, ahol magas szintű biztonsági ellenőrzésre van szükség, de az aktív sérülékenység-vizsgálat lehetséges kockázatai nélkül, illetve ahol az üzemeltetési folyamatok lehetséges sérülékenységeinek feltárására is szükség van.
MITTRE ATT&CK ICS-alapú sérülékenység-vizsgálat
A MITRE szervezet 2020 elején adata ki „MITRE ATT&CK ICS Matrix” nevű keretrendszerét, amely az ipari vezérlők és ipari rendszerek elleni támadásokban használt technikákat, taktikákat és eljárásokat foglalja össze.
A keretrendszeren alapuló vizsgálati módszertanunk a támadási formák mátrixának pontjait, a támadási formák megvalósíthatóságát és lehetséges kimeneteleit ellenőrzi a vizsgált rendszerrel, vagy akár csak egyetlen eszközzel kapcsolatban. A vizsgálat jellemzően audit interjúkon és ellenőrzéseken keresztül valósul meg.
A vizsgálat nagyon fókuszált, ezért az aktív és passzív sérülékenység-vizsgálatnál sokkal gyorsabban és kevesebb előkészület mellett végezhető el. A módszertan alapján egy viszonylag rövid projekten belül is megállapítható, hogy mennyire és hogyan sebezhető a vizsgált rendszer az ismert és gyakori támadási eljárásokkal, technikákkal és eszközökkel.
Alverad Technology Focus Kft.
Tel: +36 1 550 7557
E-mail: info@alverad.hu
Székhely: 1119 Budapest, Andor utca 21.c
Kiberbiztonsági vizsgálólaboratórium:
1138 Budapest, Madarász Viktor utca 47-49. II. ép. 1.emelet
Levelezési cím: 1550 Budapest, Pf. 104.