SCADAシステムのペンテスト中の問題
SCADAシステムが「ペンテスト中またはセキュリティ監査中」に動作する方法を監視し、ポートスキャンのみの影響を確認したり、ペイロードを送信しながらアクティビティの状態を監視したりする方法はありますか? SCADAセキュリティ監査のためにデバイスが故障する可能性はありますか?
SCADAデバイスは、他のタイプのネットワークデバイスで見られるものと同じ一般的な脆弱性(列挙、パスワードクラッキング、ネットワーク盗聴、サービス拒否など)を起こしやすいです。
SCADAネットワークで発生している異常な事態に気付くことができるように、システムにヘルスモニタリングシステムを配備することはかなり一般的だと思います。
SCADAシステムは、ペンテスト中に間違いなく故障したり壊れたりする可能性があります。ペンテストの結果は非常に多くなる可能性があり、PLCやその他の機器をクラッシュさせたとしても、セキュリティの問題(サービス拒否)に影響を与える可能性があります。長いファズストリングがPLCに当たり、故障した場合はどうなりますか?
私があなただったら、SCADAネットワークを他のネットワークと同じように扱います。これには、何かを削除したり、データを破壊したりするなどの心配が伴います。
このビデオは、送電網に対する段階的なSCADA攻撃を示しています。 http://www.youtube.com/watch?v=fJyWngDco3g
重要なサービスを停止したり、石油パイプラインをこぼしたりするリスクがある場合、本番SCADAシステムをテストする際の最も重要なルールは、本番SCADAシステムをテストすることではありません。常にテスト環境を使用してください。
ただし、ライブでテストする必要がある場合は、遵守する最善のルールは、システムエンジニアからすべてのステップの確認を求めることです。これは適切なテストを非常に煩雑で費用のかかるものにしますが、致命的な何かをするリスクを劇的に減らします。
そして、それが十分に高価である場合、おそらく来年のテストのために、テスト環境を得るかもしれません...
ペンテスター/「監査人」は、ツールがネットワークに送信するすべての完全なパケットキャプチャを保持する必要があり、これはクライアントとして利用できるはずです。何かがクラッシュしたり、誤って識別されたりした場合などに、これを使用して、テスト中のシステムの(誤)動作を特定します。
また、あらゆる種類のトラフィックでシステムを攻撃する前に、基本と手動を開始します。 (状況はすぐに悪くなる可能性があり、キャプチャを掘り下げるまでは何が原因かわからないでしょう)これは、使用中のポートを受動的に識別し、nmapフィンガープリント/サービススキャンでフルではなく単純な接続/ SYNSを送信することから始めます。など(とにかく、ツールが機器を識別するための有用な署名を持っている可能性は低い)
他のチャネルでもデータを取得することを検討してください。たとえば、多くのデバイスは、モデル、tcp/udpポート、ルートテーブルなどに関する情報を提供する標準のSNMP MIBをサポートしています。この情報を標準のSNMPクエリで回復できる場合は、65000以上のすべてのポートをスキャンする必要はありません。 。
コメントへのRookの返信は無視してください。現在、制御システムの多くのソフトウェアコンポーネントはWindowsおよび* nixシステムで実行されていますが、これらのシステムのアプリケーションをクラッシュ/破損させるリスクはまだたくさんあります。スキャンやテストに親切にしないことでさらに悪名高い。最新のオペレーティングシステムで実行している場合でも、これをバックアップする両方の例がたくさんあります。
TL; DR:テストタスクを達成し、制御システムの対象範囲を取得するために、フォールバックできるパッシブ/ハンズオフテストアプローチが常にあります。創造的であり、クライアントまたはテストチームと協力します。