Industrielle Schwachstellenbewertung / Pentest (VAPT)

> Operative Technologie > Industrieller VAPT

Penetrationstests in einer industriellen Umgebung

In industriellen Umgebungen erfordert das Testen der Cybersicherheit einen speziellen Ansatz. Dies liegt an den unterschiedlichen Risiken und Bedrohungsmodellen innerhalb der Betriebstechnologie (OT).

Erfahren Sie mehr über VAPT im Industriesektor:

FORDERN SIE EIN ANGEBOT FÜR IHREN PENTEST AN

Highlight-image

Was ist "Schwachstellenanalyse / Penetrationstest" (VAPT)?

Viele Arten von Tests werden unter dem Begriff 'Schwachstellenanalyse und Penetrationstests' (VAPT) zusammengefasst. Klassische Penetrationstests bedeuten, dass die Tests aus der Perspektive eines Angreifers durchgeführt werden und Schwachstellen ausgenutzt werden, um zu sehen, wie weit ein Angreifer kommen kann. Dies ist jedoch nicht immer die effektivste Testmethode, da es oft sinnvoller ist, eine Schwachstellenbewertung durchzuführen.

Bei einer Schwachstellenbewertung wird so getestet, dass möglichst viele Schwachstellen gefunden werden, ohne Zeit damit zu verschwenden, diese Schwachstellen auszunutzen, um zu sehen, wie weit man kommt. Das Auffinden von mehr Schwachstellen ist oft wertvoller, weil es die Risiken effektiver reduziert: Es wird in die Breite statt (nur) in die Tiefe geforscht.

Der Wert von VAPT in der OT

Der Zweck eines Penetrationstests besteht darin, so deutlich wie möglich zu zeigen, welche Folgen ein bestimmtes Problem mit Ihrer Cybersicherheit haben könnte und was dies für Ihr Unternehmen bedeuten würde. Zum Beispiel das Risiko, dass sich ein IT-Sicherheitsvorfall wie Ransomware auch auf das OT-Netzwerk auswirkt, dass Bedrohungsakteure in das OT-Netzwerk eindringen, um sich Zugang zu geistigem Eigentum zu verschaffen, dass Risiken für die Lieferkette durch die Anbindung externer Lieferanten entstehen oder die potenziellen Auswirkungen eines cyber-physischen Angriffs.

VAPT gibt Aufschluss über die aktuelle Widerstandsfähigkeit von IT- und/oder OT-Netzwerken gegen diese Arten von Bedrohungen und darüber, ob Verbesserungen erforderlich sind. Secura hält die Ergebnisse des VAPT-Tests in einem übersichtlichen Bericht mit einer prägnanten Management-Zusammenfassung, einer umfassenden Risikoanalyse für jedes Ergebnis und Empfehlungen auf strategischer, taktischer und operativer Ebene fest. Die Ergebnisse der Bewertung können genutzt werden, um Maßnahmen zur Schließung von Sicherheitslücken und zur Risikominderung in Ihrem Unternehmen zu ergreifen.

VAPT im industriellen Sektor

In industriellen Umgebungen hängen viele kritische Geschäftsprozesse von OT ab. Netzwerke für industrielle Kontrollsysteme (ICS), wie DCS, SPS und SCADA-Systeme, verwalten und automatisieren kritische Prozesse. Doch die IT-Dienste des Unternehmens sind für den täglichen Betrieb ebenso wichtig. Mit der Konvergenz von IT und OT und den Industrie 4.0-Initiativen nimmt auch die Abhängigkeit zwischen diesen beiden Umgebungen zu. Ein erfolgreiches Unternehmen hängt von zuverlässigen Systemen sowohl in der IT als auch in der OT ab; daher sind VAPT-Tests für alle diese Systeme wichtig. In diesen Umgebungen werden unterschiedliche Technologien verwendet, und es ist allgemein bekannt, dass OT-Systeme möglicherweise nicht resistent gegen VAPT-Scans sind. Es ist klar, dass jeder Bereich einen anderen Ansatz erfordert.

Scoping der VAPT-Bewertung

Das Scoping der VAPT-Bewertung ist wichtig. Die verschiedenen Ansätze für bestimmte Teile der Infrastruktur werden im Folgenden anhand eines allgemeinen Referenzmodells kurz beschrieben. Jede Infrastruktur ist anders, und deshalb wird Secura immer damit beginnen, die Netzwerktopologie mit dem Kunden zu überprüfen, um unseren Ansatz auf die vom Umfang erfassten Systeme abzustimmen.

  • Informationstechnologie (IT)
  • IT/OT-DMZ
  • Betriebliche Technologie (OT)
  • Internet der Dinge (IIoT)
Image in image block

Bestimmte Teile der Infrastruktur.

01

Informationstechnologie (IT)

Zusätzlich zu den regulären Komponenten, die in jedem modernen IT-Netzwerk zu finden sind (und den damit verbundenen Schwachstellen), können Industrieunternehmen vor zusätzlichen Herausforderungen stehen. Dienste, die von Daten abhängen, die von der OT-Ebene empfangen werden oder umgekehrt. Ein gutes Beispiel ist die Verbindung zwischen dem IT-ERP-System und OT-Anwendungen, oft mit unverschlüsselten SQL- oder HTTP-Verbindungen. Selbst OT-Cloud-Dienste oder OT-Zugriffe von außen können über die IT-Domäne geleitet werden. Diese Konnektivität und Abhängigkeit erhöht das Risiko von Cyber-Vorfällen zwischen diesen Domänen. Vorfälle innerhalb der IT-Umgebung können sich auf die OT-Umgebung auswirken, aber auch das Gegenteil ist der Fall.

Sie können natürlich einen Standard-VAPT innerhalb Ihrer IT-Domäne ausführen. Es ist aber auch möglich, dies zu erweitern und zu fragen, ob Schwachstellen in der IT-Domäne ausgenutzt werden können, um die OT-Systeme zu erreichen oder zu beeinträchtigen. In diesem Fall versuchen wir, die entdeckten Schwachstellen auszunutzen, um auf Server im IT/OT-DMZ oder möglicherweise direkt im OT-Netzwerk zuzugreifen.

02

IT/OT-DMZ

Die DMZ trennt das IT-Netzwerk des Unternehmens vom OT-Netzwerk. Häufig besteht diese Ebene aus allgemeinen IT-Komponenten, sie kann aber auch spezifische OT-bezogene Anwendungen enthalten, einschließlich spezifischer OT-Kommunikationsprotokolle wie Modbus, OPC oder OPC-UA. Einige Beispiele sind Server für den Fernzugriff, Server für die Verteilung von Patch-Updates und Server für den Datenverlauf. Es handelt sich dabei oft um eine entscheidende Schicht, da sie eine der ersten Verteidigungsschichten der zugrunde liegenden OT-Systeme ist.

Im Allgemeinen sind diese Systeme resistenter gegen Schwachstellen-Scans. Aus diesem Grund schlagen wir oft einen "Grey-Box"-Ansatz vor. Wir erhalten einige Informationen im Voraus, um störende Techniken auf Systemen zu vermeiden, die möglicherweise nicht in der Lage sind, diese Angriffe zu bewältigen. Gleichzeitig verwenden die meisten Tests einen realistischen "Hacker-Ansatz". Eine der wichtigsten Fragen dabei ist die Suche nach Schwachstellen, die ein Angreifer ausnutzen könnte, um sich Zugang zu OT-Daten oder -Systemen zu verschaffen.

Während des Penetrationstests wird versucht, die Beschränkungen der DMZ zu umgehen, indem man sich entweder seitlich zu anderen Systemen in der DMZ bewegt, Privilegien ausweitet oder Sicherheits- oder Konfigurationsschwachstellen ausnutzt. Die Möglichkeit der Manipulation der Kommunikation zwischen IT und OT (z.B. Änderungen des Produktionssollwerts, Remote-Operationen usw.) wird erforscht. Das ultimative Ziel ist es jedoch, die Firewall zu umgehen und Zugang zur OT-Domäne zu erhalten.

03

Operationelle Technologie (OT)

In der OT-Umgebung gibt es viel mehr Komponenten wie DCS-Steuerungen, PLCs, RTUs, SCADA-Systeme und möglicherweise andere ältere Systeme, die nicht mit den störenden Scans oder Aktionen eines herkömmlichen Penetrationstests umgehen können. Selbst ein einfacher Netzwerkscan kann ausreichen, um den Betrieb einer SPS zu stören. Dies ist ein Grund, warum oft gesagt wird, dass es keine gute Idee ist, VAPT-Befehle in laufenden Produktionsnetzwerken auszuführen.

In der Zwischenzeit wissen Hacker vielleicht nichts davon und wir wissen, dass es in OT-Netzwerken viele Schwachstellen gibt. Wie können Sie also damit umgehen? Anstatt nur dem Konsens zu folgen, sollten Sie sich auf Tests konzentrieren, die in OT-Umgebungen möglich sind. Das hängt von der jeweiligen Infrastruktur ab, aber im Allgemeinen bevorzugen wir einen "Crystal Box"-Ansatz. In diesem Fall werden Informationen über das interne Netzwerk bereitgestellt, vielleicht mit einigen Anmeldedaten und Zugang zu Konfigurationsbeispielen. Diese Informationen werden benötigt, damit der Ansatz für jedes Gerät darauf zugeschnitten werden kann, wo es sich in Bezug auf das Purdue-Modell "befindet".

VAPT-Techniken für OT-Systeme

Passives Scannen

Eine der Techniken, die Sie in OT-Umgebungen einsetzen können, ist das passive Scannen auf Schwachstellen. Im Gegensatz zum normalen (aktiven) Scannen wird kein (aufdringlicher) Datenverkehr in das Netzwerk eingespeist, um sicherzustellen, dass selbst die anfälligsten Systeme nicht betroffen sind. Passives Scannen verwendet eine Kopie des bestehenden Netzwerkverkehrs. Dieser Datenverkehr wird analysiert und kann Schwachstellen wie schwache Protokolle, schlechte Konfiguration oder veraltete Firmware aufdecken.

Der Nachteil dieser Methode ist, dass sie weniger genau ist und keine vollständige Abdeckung bietet (nur Geräte, die während des Tests verwendet werden, erzeugen Datenverkehr, der analysiert wird). Es sind mehr manuelle Untersuchungen erforderlich, um die Ergebnisse zu bestätigen.

Selektives Scannen

Zusätzlich zum passiven Scannen ist es möglich, in Zusammenarbeit mit dem Kunden spezifische und weniger aufdringliche aktive Scanning-Techniken einzusetzen. Diese Abfragen sind auf einen einzelnen Host oder einen ausgewählten Teil des Netzwerks zugeschnitten und die Parameter werden so konfiguriert, dass der Datenverkehr nicht überwältigt wird. Diese Technik ist genauer als das passive Scannen, braucht aber Zeit. Einige Geräte, wie z.B. alte SPS, werden möglicherweise nie gescannt, solange sie in Produktion sind. Es kann jedoch möglich sein, diese Scans während einer Wartungsperiode, einer manuellen Überwachung oder in einer separaten Testumgebung mit der gleichen Art von Geräten durchzuführen.

Der Ansatz von Bureau Veritas Cybersecurity bei VAPT für OT

Unser spezifischer VAPT-Ansatz in der OT-Umgebung hängt von den Purdue-Ebenen ab, die in Frage kommen.

Das Purdue-Modell

Nach dem Purdue-Modell besteht ein typisches OT-Netzwerk aus mehreren Ebenen:

Purdue-Ebenen 2 and 3

Im Allgemeinen befinden sich die Systeme auf den Purdue-Ebenen 2 und 3 auf generischen IT-Komponenten. Je nach der Kritikalität der einzelnen Systeme können wir mehr oder weniger eingreifende Methoden anwenden. Die Frage ist oft, wie resistent die Systeme und das Netzwerk gegen gezielte Angriffe sind. Systeme auf diesen Ebenen können auch OT-spezifische Protokolle verwenden, wie z.B. Modbus, DNP3, IEC-101/104, CIP Ethernet/IP, usw. Es ist auch nicht ungewöhnlich, dass auf dieser Ebene kundenspezifische Anwendungen oder Lösungen installiert werden. Die entscheidende Frage ist, ob sich ein Hacker seitlich über das Netzwerk zu den tieferen Ebenen des Systems bewegen kann.

Bei Penetrationstests versuchen wir, Schwachstellen in Systemkonfigurationen, installierten Anwendungen, schwachen IT-Protokollen wie FTP, Telnet, HTTP und SNMP sowie unsicheren Industrieprotokollen auszunutzen.

Purdue Stufe 0 and 1

Auf Stufe 1 (Basiskontrolle) und Stufe 0 (Prozess) verwenden wir keine aufdringlichen Methoden, es sei denn, wir werden ausdrücklich darum gebeten. Oft geht es um die Frage, ob ein Angreifer Signale oder Messungen manipulieren kann. Es kann auch untersucht werden, ob diese unteren Ebenen Zugang zu höheren Ebenen des OT-Netzwerks bieten können.

Auf diesen Ebenen wird die meiste Kommunikation über OT-spezifische Protokolle abgewickelt. Als Teil des Penetrationstests können wir auf Wunsch auch mögliche Schwachstellen auf diesen Ebenen untersuchen.

Konnektivität

Schließlich sind all diese Komponenten über Netzwerkgeräte wie Switches, Router und Firewalls miteinander verbunden. Es ist auch üblich, dass in OT-Umgebungen viele Protokoll- und Medienkonverter eingesetzt werden. Diese Geräte schaffen zusätzliche Angriffsflächen. Netzwerkkonfiguration und -segmentierung sind daher von entscheidender Bedeutung. Diese Geräte sind resistent gegen diese Scans und werden in den Umfang der regelmäßigen Schwachstellen-Scans und -Tests einbezogen.

Bei Penetrationstests versuchen wir, Schwachstellen in der Konfiguration dieser Geräte auszunutzen.

Image in image block

Ebene 0 - Prozess

Diese Ebene umfasst Geräte, die physisch mit dem Prozess interagieren. Zum Beispiel Feldinstrumente, Antriebe mit variabler Frequenz (VDF), Pumpen, Motoren, Aktuatoren und Robotertechnik.

Ebene 1 - Grundlegende Steuerung

Diese Ebene enthält Steuerungen, die mit Feldinstrumenten und Aktuatoren interagieren. Zum Beispiel DCS und Sicherheitssteuerungen, speicherprogrammierbare Steuerungen (PLC) und Remote Terminal Units (RTU).

Ebene 2 - Bereichsmanagement

Diese Ebene umfasst die Geräte, die zur Überwachung oder Interaktion mit den Controllern verwendet werden. Zum Beispiel Human Machine Interfaces (HMI), Engineering Workstations (EWS) und OPC-Datensammler.

Ebene 3 - Betrieb und Kontrolle vor Ort

Diese Ebene umfasst ein System zur Unterstützung des standortweiten Betriebs, der Wartung und der Optimierung. Zum Beispiel Datenhistorien, E/A-Server und allgemeinere Sicherheitsdienste für die OT-Umgebung wie Domain-Controller, Backup-Server und Patch- und AV-Verteilungsserver.

Mehr Informationen

Möchten Sie mehr über unseren Industrial Vulnerability Assessment / Pentest (VAPT) Service erfahren? Füllen Sie das untenstehende Formular aus und wir werden uns innerhalb eines Arbeitstages mit Ihnen in Verbindung setzen.

USP

Verwandte Dienstleistungen

Standortbewertung

OT Site Assessment

Wie schützen Sie Ihre ICS- und SCADA-Systeme? Die OT-Standortbewertung identifiziert technische Risiken auf Standortebene. Die Bewertung umfasst Besuche vor Ort, Bewertungen der Systemarchitektur, Expertenbefragungen und sogar Pentesting, basierend auf IEC 62443, NIST SP 800-82 und ALARP.

Bedrohungsmodellierung für industrielle Kontrollsysteme

Secura Threat Modeling Service

Die Bedrohungsmodellierung liefert ein vollständiges Bild der Bedrohungen und möglichen Angriffspfade. Diese Angriffspfade können dann z.B. dazu verwendet werden, effiziente Testszenarien zu erstellen, Designanpassungen vorzunehmen oder zusätzliche Entschärfungsmaßnahmen zu definieren.

OT Cyber FAT/SAT

OT Cyber FATSAT

Verbessern Sie die Cybersicherheit Ihrer industriellen Kontrollsysteme mit den ICS Cyber FAT/SAT Services von Bureau Veritas Cybersecurity. Wir bieten gründliche Überprüfungen während der FAT- und SAT-Phasen und gewährleisten so effektive Sicherheit während des gesamten Projektlebenszyklus.

Grundlagen der OT-Cybersicherheitsschulung

In company training course or open to public

Industrielle Kontrollsysteme sind das Rückgrat des täglichen Lebens und bilden die Grundlage für alles, von kritischer Infrastruktur bis zur Gebäudeautomatisierung. Dieser Kurs soll den Teilnehmern ein Verständnis für die OT-Sicherheitslandschaft vermitteln, damit sie ICS bewerten und verteidigen können.

Schwachstellenbewertung / Penetrationstests (VAPT)

Pentesting VAPT Quality and Standards

Schwachstellenbewertung und Penetrationstests, oder Pentesting, zusammen VAPT, sind zwei Möglichkeiten, um Schwachstellen in der Sicherheit Ihrer Website, Anwendung oder Infrastruktur zu entdecken.

Red Teaming

Red Teaming Assessment Secura Cybersecurity

Red Teaming ist eine umfassende Simulation von Cyberangriffen, mit der Sie die Effektivität Ihrer Cyberabwehr messen und Ihre Verteidiger ihre Erkennungs- und Reaktionsfähigkeiten trainieren können. Eine Red Team-Analyse deckt auch Lücken in Ihren allgemeinen Sicherheitsvorkehrungen auf.

Warum sollten Sie sich für Bureau Veritas Cybersecurity entscheiden?

Bureau Veritas Cybersecurity ist Ihr kompetenter Partner für Cybersicherheit. Wir unterstützen Unternehmen dabei, Risiken zu identifizieren, ihre Abwehrmaßnahmen zu stärken und Cybersicherheitsstandards und -vorschriften einzuhalten. Unsere Dienstleistungen umfassen Menschen, Prozesse und Technologien, von Sensibilisierungsschulungen und Social Engineering bis hin zu Sicherheitsberatung, Compliance und Penetrationstests.

Wir sind in IT-, OT- und IoT-Umgebungen tätig und unterstützen sowohl digitale Systeme als auch vernetzte Produkte. Mit über 300 Cybersicherheitsexperten weltweit verbinden wir fundiertes technisches Fachwissen mit einer globalen Präsenz. Bureau Veritas Cybersecurity ist Teil der Bureau Veritas Group, einem weltweit führenden Unternehmen im Bereich Prüfung, Inspektion und Zertifizierung.