web-dev-qa-db-ja.com

SCADA、ICS特定のテストツールおよび方法論

特にICSおよびSCADAシステムに関連するセキュリティリスク評価を実行するように契約しています。多くのITセキュリティリスク評価を実行しましたが、これらのタイプの環境を具体的に評価するのは初めてです。私はICSデバイスのようなものです)に精通しており、機能性とそれらの固有の課題のいくつかをざっと理解していると思います。

私の質問は、これを毎日行う、そのような環境で作業する、またはICS以前に環境を評価したことがある人です。

このタイプの評価に役立つ明確でない特定のツールはありますか?私はいくつかの検索を行い、ICSを評価するためのNIST標準を読みました。 DHSツールCSET(自己評価ツールのように見えますが、作図ツールのようないくつかの便利な機能があるかもしれません)も見つけました)。

また、このタイプのエンゲージメントのために一般的に守られている特定の基準はありますか?

だれかがセキュリティ担当者のsoapboxに踏み込む前に、このエンティティは、これが私の最初のICSエンゲージメントであり、長年にわたって独自のIT環境を評価してきたことをよく認識しています。また、強力なバックこの種のエンゲージメントで非常に経験豊富な私のチームからのサポート。彼らも私のために多くのアイデアを持っていると確信しています、私はそこにパブリックコメントのためにそこに出したかっただけです。

ありがとう!

リーダーズダイジェスト:

Scada/ICS評価のための特定のツールは何ですか?

Scada/ICSリスク評価のために一般的に受け入れられる特定の基準は何ですか?

auditrisk-analysisscada
4
eficker

明らかに、SmartGridを使用した侵入テストとSCADAトレーニングを含むSamuraiSTFUプロジェクトの研究をお勧めします。先週、ジャスティン・サールから私のものを取りました。

私が学んだことは、いくつかの分野のドメイン知識が鍵であることです。

  1. BITS FISAP、CIP CVA、IT COBIT、COSO、VisibleOpsSecなど。通常、決まり文句のCISSPは、前提条件(つまり、情報セキュリティ管理における5年の経験)として適切です。継続的な学習/改善によって推進され、強力な倫理的フレームワーク/バックボーンを所有する能力を備えたリスク管理)
  2. ネットワークキャプチャアセスメント(新しいSyngress Pressのタイトル、「Applied Network Security Monitoring」、およびNoStarchからの過去の夏のリリース、「The Practice of Network Security Monitoring」は、特別に設計されたUbuntuディストリビューションであるSecurityOnionの実装方法を説明するのに最適な場所です。これらの婚約)。 CERT NetSA Security Suite、NetWitness、Lancope、Arbor、21CTを使用すれば、SquertにフィードするTenable PVSおよびPRADSデータを収集するための信頼性の高い、再現可能なFPC(Netsniff-NGなど)で十分ですが、これ以上のことは可能です。 、他
  3. ネットワーク侵入テスト(このテーマに関する多くの書籍とリソース、特に人気があり、関連性の高いものは、Kali Linuxを作成するチームであるOffensive Securityです)。 CAVEAT EMPTOR:おそらく、VMware Converterなどを使用して、実稼働ネットワークをラボネットワークに変換する必要があります。ライブの生産産業制御または自動化システムでのテストは禁忌です
  4. Webとアプリケーションの侵入テスト(多くの本ですが、TAOSSA-ソフトウェアのセキュリティ評価の芸術-およびOWASPなどのリソースをお勧めします)。私の意見では、どのツールを使用するかは問題ではありませんが、フォールトインジェクトを計画している場合は、OWASPBWAおよびWeb Security Dojo(たとえば、Checkmarx、Contrast Security、Burp Suite Professional、NTOSpider、Netsparker、Appscan、sqlmap)の専門家である必要があります。など)、ファジングを計画している場合は、OSCP/OSCEラボとCertifiedNOP(Zulu、GPF/EFS、PFF、ImmDbg、Sulley、gdb、MSFなど)の専門家である必要があります。 「専門家」とは、システム全体の脆弱性の95%以上を発見し、完全に悪用できるようにする必要があることを意味します(通常、ターゲットごとに約1000の練習セッション)。さらに、一部のプラットフォームとフレームワークにはさらに専門的な知識とツールが必要です(たとえば、モバイルアプリ、Flash/Silverlight、Ajax、Webサービスなど)。
  5. 組み込みシステムと無線周波数反転および侵入テスト(開始するには、Bus Pirateでシリアルスニッフィングを確認するか、RTL-SDR/HackRFとGNURadio/RFCatでRF MIJI-meaconing 、干渉、妨害、傍受。このプロセスの最も難しい部分は、実際のハードウェアの取得であることに注意してください。RTU、PLC、および同様のデバイスのテストは、予算のシンクになる可能性があります。デバイスのサンプルを慎重に選択して、ラボに配置します(上記のネットワーク侵入テストで説明したとおり)、本稼働環境に戻さないでください(つまり、「早期退職」)。
  6. ファームウェアのリバースおよび侵入テスト(通常、暗号化および自己変更/整合性チェックコードに関する強力な知識が必要です-ビンウォーク、IDA Proまたは他の逆アセンブラー/逆コンパイラーなどのツール、および関連するツール/リソース)
4
atdre