¿Es razonable realizar un pentest (u otra auditoría de seguridad no teórica) sobre una infraestructura crítica?

5

Casi todos están de acuerdo en que durante un pentest es imposible garantizar la integridad del objetivo ( ¿Es aceptable que un pentester profesional calificado borre o modifique datos confidenciales en la producción involuntariamente durante un pentest? ) porque va a utilizar información inesperada y automática Herramientas para ver su respuesta.

En este escenario, ¿es razonable realizar un pentest sobre una infraestructura crítica? La integridad de una infraestructura crítica puede ser necesaria para proteger las vidas humanas y su mal funcionamiento pone en riesgo las vidas humanas.

¿Cómo podemos realizar una prueba de seguridad en una infraestructura crítica que conoce su criticidad?

Las posibles soluciones a este problema son:

1) Realice una auditoría teórica

Las auditorías teóricas están bien, pero tendrán resultados teóricos y no reales.

2) Realizar un pentest en un entorno idéntico

Cuando hablamos de infraestructuras críticas (y para otros entornos también) puede ser imposible tener dos entornos idénticos debido al costo y la complejidad del entorno.

Cuando hablamos de infraestructuras críticas, hablamos de cosas como:

  • generación, transmisión y distribución de electricidad;
  • producción, transporte y distribución de gas;
  • producción, transporte y distribución de petróleo y productos derivados del petróleo;
  • telecomunicaciones;
  • suministro de agua (agua potable, aguas residuales / aguas residuales, agua de superficie) (por ejemplo, diques y esclusas));
  • agricultura, producción y distribución de alimentos;
  • calefacción (por ejemplo, gas natural, fuel oil, calefacción urbana);
  • salud pública (hospitales, ambulancias);
  • sistemas de transporte (suministro de combustible, red ferroviaria, aeropuertos, puertos, transporte terrestre);
  • servicios financieros (banca, compensación); servicios de seguridad (policía, militar).
pregunta kinunt 04.09.2013 - 17:42
fuente

3 respuestas

5

En cualquier prueba que se ocupe de sistemas críticos, generalmente se limitaría la prueba a operaciones de bajo riesgo y evitaría las herramientas automatizadas (por ejemplo, Nessus) que podrían dañar el sistema.

Específico para infraestructura crítica, diría lo siguiente:

  • Programe la prueba en un punto de baja demanda donde corresponda.
  • Haga que los ingenieros y otro personal de soporte estén al tanto de la prueba, y haga que estén listos para solucionar cualquier problema rápidamente.
  • Asegúrese de que se planifique una capacidad / redundancia adicional durante la prueba, cuando sea posible.
  • Asegúrese de que los evaluadores reciban un plan de acción adecuado que detalle cómo tratar fallas graves o sistemas que no responden. Esto debería incluir contactos de emergencia.

A pesar de esto, siempre habrá un riesgo. Es algo con lo que tienes que lidiar, y en cierto modo es algo bueno. Si los evaluadores dejan algo fuera de línea realizando solo acciones de bajo riesgo, entonces saben que un atacante podría hacerlo mucho peor. Una falla accidental del sistema durante una prueba planeada apestaría, pero no tanto como las fallas generalizadas debido a la malicia cuando nadie lo espera. Tenerlo en el escenario de prueba le permite planificar en consecuencia y hacer las correcciones adecuadas.

    
respondido por el Polynomial 04.09.2013 - 17:58
fuente
4

Bueno, no, no es "razonable" realizar pruebas posiblemente destructivas en una infraestructura crítica. Eso es por definición: la infraestructura crítica es crítica .

Hagamos matemáticas (las matemáticas son geniales). Una prueba de penetración tiene alguna probabilidad (con suerte pequeña) de p1 para interrumpir el servicio en el que se aplica. También tiene la probabilidad p2 para permitir la detección y solución de un problema que habría tenido la probabilidad p3 para ser explotado, lo que lleva a una interrupción del servicio. Entonces, la probabilidad de interrupción al aplicar la prueba de penetración es p 1 + (1 - p 2 ) · p 3 (o el pentest rompe las cosas de inmediato, o "pierde" el agujero y el atacante tiene éxito de todos modos). Si ese valor es mayor que p3 , entonces el pentest en el sistema crítico en vivo hace más daño que bien y no debe realizarse.

En general, esto es todo análisis de riesgos : tiene que equilibrar los riesgos que implica hacer el pentest, con los riesgos involucrados con no haciendo el pentest. Contrariamente a lo que parecen indicar algunas de las pocas anotaciones matemáticas anteriores, las probabilidades relevantes no se pueden conocer con una precisión decente, por lo que al final todo es una cuestión de conjeturas. Lo que realmente se debe recordar es que hay un conjunto relativamente grande de estrategias posibles:

  • Puedes hacer el pentest en el sistema crítico en vivo.
  • Puede pagar la configuración de un clon del sistema en vivo, que será tan idéntico al sistema en vivo como se puede lograr físicamente, y hacer el pentest en ese sistema.
  • Puede realizar la mayor parte del pentest en una emulación burda del sistema en vivo, y trabajar con el pentester para categorizar las acciones del pentest: para algunos, es probable que el sistema en vivo se comporte como la emulación, para otros no. Esto ya puede revelar cosas interesantes.
  • También puedes hacer nada en absoluto. Sin embargo, el riesgo podría ser transferible con un mecanismo de seguro (según el contexto; los negocios se transfieren fácilmente, las vidas humanas son más difíciles).

Un punto adicional a considerar es que los ataques son solo un tipo de riesgo. Tienes otros tipos, por ejemplo Inundaciones, terremotos e incendios, que pueden destruir gran parte de la "infraestructura crítica" de todos modos, y también hay que tenerlos en cuenta. Una forma típica de lidiar con las inundaciones es tener una infraestructura de respaldo en algún lugar (un "sitio frío", "sitio cálido" o "sitio caliente", dependiendo de cuán lejos se completó de antemano la instalación de ese sitio). En algunos casos, este sitio de copia de seguridad se puede utilizar para pentests sin riesgos.

    
respondido por el Tom Leek 04.09.2013 - 19:16
fuente
0

Convierta los anfitriones en invitados de máquinas virtuales, luego llévelos fuera del sitio para probarlos en otro lugar. Reúna muestras de firmware y ejecútelas con Qemu. Solicite algunos dispositivos DCS, PLC, RTU o medidores inteligentes que puedan forzarse a la jubilación anticipada para fines de laboratorio.

    
respondido por el atdre 22.02.2014 - 16:04
fuente

Lea otras preguntas en las etiquetas