¿Hay alguna manera de monitorear la forma en que se comportan los sistemas SCADA 'durante la prueba de la pluma o la auditoría de seguridad', y descubrir las implicaciones de los análisis de puertos y / o monitorear el estado de actividad mientras se envía una carga útil? ¿Es posible que un dispositivo se vuelva defectuoso debido a una auditoría de seguridad de SCADA?
Los dispositivos SCADA son propensos a las mismas vulnerabilidades comunes, como enumeración, descifrado de contraseñas, escuchas ilegales y denegación de servicio, que se encuentran en cualquier otro tipo de dispositivo de red.
Creo que es bastante común implementar sistemas de monitoreo de salud para sus sistemas para que pueda detectar cosas inusuales que suceden en su red SCADA.
Sus sistemas SCADA pueden fallar y romperse definitivamente durante un pentest. Los resultados de un Pentest pueden ser muchos, e incluso si falla un PLC u otro equipo que también es un problema de seguridad (denegación de servicio). ¿Qué sucede si una cadena larga y difusa golpea su PLC y se descompone?
Si fuera usted, trataría su red SCADA como cualquier otra red. Con esto viene la preocupación de tomar algo, romper datos, etc.
Este video muestra un ataque de SCADA en una red eléctrica: enlace
La regla más importante cuando se prueban los sistemas SCADA de producción es nunca probar los sistemas SCADA de producción si existe el riesgo de eliminar algún servicio crítico, o de derramar un oleoducto, etc. Siempre use un entorno de prueba.
Si, sin embargo, tiene que realizar una prueba en vivo, la mejor regla a seguir es solicitar la confirmación de cada paso, una confirmación escrita del ingeniero de sistemas. Esto hace que una prueba adecuada sea muy engorrosa y costosa, pero reduce dramáticamente el riesgo de que usted haga algo fatal.
Y si es lo suficientemente caro, tal vez para la prueba del próximo año podría obtener un entorno de prueba ...
Los Pentesters / "Auditores" deben mantener una captura completa del paquete de todo lo que sus herramientas ponen en el cable y esto debe estar disponible para usted como cliente. Use esto si algo se bloquea, se identifica incorrectamente, etc. para identificar el (mal) comportamiento de los sistemas bajo prueba.
También, inicie básico y manual antes de atacar el sistema con todo tipo de tráfico. (las cosas pueden ir mal rápidamente y no tendrá idea de lo que lo causó hasta que escarbe a través de las capturas) Esto significa identificar pasivamente los puertos en uso, luego comenzar enviando conexiones / SYNS simples en lugar de un escaneo completo de huellas dactilares / servicio de nmap. etc. (es poco probable que las herramientas tengan firmas útiles para identificar el equipo de todos modos)
Considera también obtener los datos por otros canales. Por ejemplo, muchos dispositivos admiten una MIB SNMP estándar que le proporcionará información sobre el modelo, los puertos tcp / udp, la tabla de rutas, etc. Si puede recuperar esta información con consultas estándar de SNMP, no necesita escanear todos los 65,000 puertos. .
Ignora la respuesta de Rook a tu comentario. Aunque muchos componentes de software de los sistemas de control se ejecutan en los sistemas Windows y * nix ahora, todavía existe un gran riesgo de bloquear / corromper las aplicaciones en estos sistemas, por no mencionar los dispositivos integrados que conforman el campo del sistema de control que son Aún más notorio por no ser amable con el escaneo o las pruebas. Hay muchos ejemplos de ambos para respaldar esto, incluso cuando se ejecutan en sistemas operativos modernos.
TL; DR: siempre hay más enfoques de prueba pasivos / de no intervención a los que puede recurrir para realizar su tarea de prueba y obtener cobertura del sistema de control. Sea creativo y coopere con el cliente o el equipo de prueba.
Un sistema SCADA es solo una gran red distribuida que generalmente está sobre IP. Los sistemas SCADA son muy dependientes de una base de datos, y SQL es una opción común. Las mismas reglas se aplican para cualquier prueba de lápiz en una red. Un sistema SCADA necesita un firewall para bloquear las conexiones entrantes. Un IDS como un snort sigue siendo útil para mantener una red segura. Los sistemas SCADA pueden tener interfaces web y es útil un Firewall de aplicación web como mod_secuirty (como proxy inverso).
El único problema con SCADA es que generalmente son GRANDES . Como en los sistemas informáticos para mover electricidad a través de un país entero. Por lo tanto, para las pruebas de penetración física, debe considerar obtener acceso físico a la red observando nodos individuales en el sistema SCADA. Rompa su sierra para metales y un engarzador de alambre: D.
Lea otras preguntas en las etiquetas penetration-test audit vulnerability-scanners scada