Herramientas y metodologías de prueba específicas de ICS

4

Me han contratado para realizar una evaluación de riesgos de seguridad que se relaciona específicamente con los sistemas ICS y SCADA. He realizado muchas evaluaciones de riesgos de seguridad de TI, sin embargo, soy nuevo en la evaluación de este tipo de entornos específicamente. Estoy familiarizado con los dispositivos tipo ICS y creo que tengo una comprensión superficial de la funcionalidad y algunos de sus desafíos inherentes.

Mi pregunta es para aquellos que hacen esto todos los días, trabajan en ese entorno o han evaluado un entorno de ICS anteriormente.

¿Existen herramientas específicas que son útiles en este tipo de evaluación que no son obvias? He realizado algunas búsquedas y he leído los estándares del NIST para evaluar el ICS. También he encontrado la herramienta CSET de DHS (que parece ser más una herramienta de autoevaluación, pero puede tener algunas características útiles como la herramienta de diagramación).

Además, ¿existe un estándar específico que se siga generalmente para este tipo de compromiso?

Antes de que alguien se ocupe de su caja de jabón de seguridad, esta entidad es consciente de que este es mi primer compromiso con ICS y que he estado evaluando entornos de TI únicos durante muchos años. También tengo un fuerte respaldo de mi equipo que tiene mucha experiencia en este tipo de participación. Estoy seguro de que también tendrán muchas ideas para mí, solo quería publicar esto para comentarios del público.

¡Gracias!

Resumen del lector:

¿Qué herramientas específicas existen para la evaluación de Scada / ICS?

¿Qué estándares específicos son generalmente aceptables para una evaluación de riesgo Scada / ICS?

    
pregunta eficker 30.01.2014 - 05:57
fuente

1 respuesta

4

Obviamente, recomiendo el proyecto SamuraiSTFU para su estudio, incluida la prueba de penetración con SmartGrid & Entrenamiento SCADA. Tomé la mía de Justin Searle la semana pasada.

Lo que aprendí es que el conocimiento del dominio en varias áreas es clave.

  1. Auditorías de postura de seguridad, por ejemplo, BITS FISAP, CIP CVA, IT COBIT, COSO, VisibleOpsSec. Por lo general, el cliché CISSP encaja bien aquí como un requisito previo (es decir, 5 años de experiencia en gestión de seguridad de la información y gestión de riesgos con la capacidad de ser impulsado por el aprendizaje / mejora continuos y poseer un sólido marco ético / backbone)
  2. Evaluaciones de captura de red (el nuevo título de Syngress Press, "Applied Network Security Monitoring" y el lanzamiento del verano pasado de NoStarch, "The Practice of Network Security Monitoring" son excelentes lugares para comenzar, ya que explican cómo implementar SecurityOnion, un Ubuntu distro especialmente diseñado para estos compromisos). FPC confiable y repetible (por ejemplo, Netsniff-NG) para recopilar datos de PVS y PRADS sostenibles que alimentan a Squert podría ser todo lo que sea necesario, aunque ciertamente puede llevar esto mucho más lejos con CSA NetSA Security Suite, NetWitness, Lancope, Arbor, 21CT , et al
  3. Pruebas de penetración de la red (muchos libros y recursos sobre este tema, particularmente populares y relevantes son Seguridad ofensiva, el equipo que hace Kali Linux). CAVEAT EMPTOR: es probable que desee convertir cualquier red de producción a redes de laboratorio utilizando VMware Converter o similar. Las pruebas en vivo, la producción de control industrial o los sistemas de automatización están contraindicadas
  4. Pruebas de penetración de aplicaciones y sitios web (muchos libros, pero generalmente recomiendo TAOSSA, el Arte de la Evaluación de la Seguridad del Software, y recursos como OWASP). En mi opinión, no importa qué herramientas utilice, pero si planea inyectar por error, debe ser un experto en OWASPBWA y Web Security Dojo (por ejemplo, Checkmarx, Contrast Security, Burp Suite Professional, NTOSpider, Netsparker, Appscan, sqlmap , et al) y si planea fuzz, debe ser un experto en los laboratorios OSCP / OSCE y CertifiedNOP (por ejemplo, Zulu, GPF / EFS, PFF, ImmDbg, Sulley, gdb, MSF, et al). Por "experto", quiero decir que debería poder encontrar el 95 por ciento o más de las vulnerabilidades de todo el sistema y poder llevarlas a una explotación completa (normalmente alrededor de mil sesiones de práctica por objetivo). Además, debo señalar que algunas plataformas y marcos requieren conocimientos y herramientas aún más especializados (por ejemplo, aplicaciones móviles, Flash / Silverlight, Ajax, servicios web, etc.).
  5. Sistemas integrados y pruebas de penetración y reversión de radiofrecuencia (para comenzar, es posible que desee revisar el Bus Pirate para el sniffing en serie o RTL-SDR / HackRF más GNURadio / RFCat para RF MIJI: medición, interferencia, interferencia, y interceptación). Tenga en cuenta que la pieza más difícil de este proceso es la adquisición real de hardware. RTU, PLC, y pruebas de dispositivos similares pueden ser un sumidero de presupuesto. Seleccione cuidadosamente una muestra de dispositivos colocándolos en un laboratorio (como se describe en Pruebas de penetración de la red más arriba) y nunca vuelva a ponerlos en producción (es decir, una "jubilación anticipada")
  6. Pruebas de inversión y penetración del firmware (por lo general es necesario contar con un sólido conocimiento de la criptografía y del código de auto-modificación / verificación de la integridad (herramientas como binwalk, IDA Pro u otros desensambladores / descompiladores, y herramientas / recursos relacionados)
respondido por el atdre 18.02.2014 - 00:40
fuente

Lea otras preguntas en las etiquetas