Casi todos están de acuerdo en que durante un pentest es imposible garantizar la integridad del objetivo ( ¿Es aceptable que un pentester profesional calificado borre o modifique datos confidenciales en la producción involuntariamente durante un pentest? ) porque va a utilizar información inesperada y automática Herramientas para ver su respuesta.
En este escenario, ¿es razonable realizar un pentest sobre una infraestructura crítica? La integridad de una infraestructura crítica puede ser necesaria para proteger las vidas humanas y su mal funcionamiento pone en riesgo las vidas humanas.
¿Cómo podemos realizar una prueba de seguridad en una infraestructura crítica que conoce su criticidad?
Las posibles soluciones a este problema son:
1) Realice una auditoría teórica
Las auditorías teóricas están bien, pero tendrán resultados teóricos y no reales.
2) Realizar un pentest en un entorno idéntico
Cuando hablamos de infraestructuras críticas (y para otros entornos también) puede ser imposible tener dos entornos idénticos debido al costo y la complejidad del entorno.
Cuando hablamos de infraestructuras críticas, hablamos de cosas como:
- generación, transmisión y distribución de electricidad;
- producción, transporte y distribución de gas;
- producción, transporte y distribución de petróleo y productos derivados del petróleo;
- telecomunicaciones;
- suministro de agua (agua potable, aguas residuales / aguas residuales, agua de superficie) (por ejemplo, diques y esclusas));
- agricultura, producción y distribución de alimentos;
- calefacción (por ejemplo, gas natural, fuel oil, calefacción urbana);
- salud pública (hospitales, ambulancias);
- sistemas de transporte (suministro de combustible, red ferroviaria, aeropuertos, puertos, transporte terrestre);
- servicios financieros (banca, compensación); servicios de seguridad (policía, militar).