VAPT industrial

La Evaluación de vulnerabilidades y Penetration Testing (VAPT) son formas de descubrir puntos débiles en la seguridad de sus sistemas de OT.

> OT | SITE ASSESSMENT and MÁS > VAPT industrial

Pruebas de Penetración en un Entorno Industrial

Dentro de los entornos industriales, las pruebas de ciberseguridad requieren un enfoque especializado. Esto se debe a los diferentes riesgos y modelos de amenazas dentro de la Tecnología Operativa (OT).

Descubra más sobre VAPT en el sector industrial:

  1. ¿Qué es la Evaluación de vulnerabilidades / Penetration Testing (VAPT)?
  2. El valor y los resultados de VAPT en OT
  3. VAPT en el sector industrial
  4. Diferentes técnicas para sistemas OT
  5. El enfoque de Bureau Veritas Cybersecurity en VAPT para OT

SOLICITE PRESUPUESTO PARA SU PENTEST

Highlight-image

¿Qué es la Evaluación de vulnerabilidades y las Pruebas de penetración?

Muchos tipos de pruebas se conocen colectivamente como Evaluaciones de vulnerabilidades y Penetration Testing'(VAPT). Las Pruebas de Penetración clásicas significan que las pruebas se realizan desde la perspectiva de un atacante y se explotan las vulnerabilidades para ver "hasta dónde puede llegar un atacante". Sin embargo, ésta no siempre es la forma más eficaz de realizar las pruebas, ya que a menudo tiene más sentido llevar a cabo una Evaluación de vulnerabilidades.

Una Evaluación de vulnerabilidades implica realizar las pruebas de forma que se encuentren tantas vulnerabilidades como sea posible sin perder tiempo explotando esas vulnerabilidades para ver hasta dónde se puede llegar. Encontrar más vulnerabilidades suele ser más valioso porque reduce los riesgos de forma más eficaz: explorando a lo ancho, en lugar de (sólo) a lo profundo.

El valor de VAPT en OT

El objetivo de una prueba de penetración es ilustrar lo más claramente posible cuáles podrían ser las consecuencias de un determinado problema con su ciberseguridad y lo que eso significaría para su Empresa. Por ejemplo, el riesgo de que un incidente de seguridad de TI, como el ransomware, pueda afectar también a la red de OT, la irrupción de actores de amenazas en la red de OT para acceder a la propiedad intelectual, los riesgos de la cadena de suministro causados por la conectividad remota de los proveedores o el impacto potencial de un ataque ciberfísico.

VAPT proporciona una visión de la actual ciberresiliencia de las redes de TI y/o OT para este tipo de amenazas y si podrían ser necesarias mejoras. Bureau Veritas Cybersecurity registra los resultados de la prueba VAPT en un informe claro con un resumen de gestión conciso, un amplio análisis de riesgos para cada resultado y recomendaciones a nivel estratégico, táctico y operativo. Los resultados de la assessment pueden utilizarse para tomar medidas para cerrar las brechas de seguridad y reducir el riesgo en su Empresa.

VAPT en el sector industrial

En los entornos industriales, muchos procesos empresariales críticos dependen de la OT. Las redes con Sistemas de control industrial (ICS) como DCS, PLC y sistemas SCADA gestionan y automatizan los procesos críticos. Sin embargo, los servicios informáticos de la empresa son igual de importantes para las operaciones diarias. Además, debido a la convergencia de TI y OT y a las iniciativas de Industria 4.0, la dependencia entre estos dos entornos también está aumentando. Un negocio de éxito depende de sistemas fiables tanto en TI como en OT; por lo tanto, las pruebas VAPT son importantes para todos estos sistemas. En estos entornos se utilizan diferentes tecnologías, y se sabe colectivamente que los sistemas OT pueden no ser resistentes a los escaneados VAPT. Es obvio que cada área requiere un enfoque diferente.

Determinar el alcance de la assessment VAPT

El alcance de la assessment VAPT es importante. A continuación se describen brevemente los diferentes enfoques para partes específicas de la infraestructura utilizando un modelo de referencia común. Cada infraestructura será diferente y, por lo tanto, Bureau Veritas Cybersecurity siempre empezará revisando la topología de la red con el cliente para adaptar nuestro enfoque a los sistemas en alcance.

  • Tecnología de la Información (TI)
  • IT/OT-DMZ
  • Tecnología Operativa (OT)
  • Internet de las cosas (IIoT)
Image in image block

Alcance - Partes específicas de la infraestructura

01

Tecnología de la Información (TI)

Además de todos los componentes habituales que se encuentran en cualquier red de TI moderna (y sus vulnerabilidades relacionadas), las Empresas industriales pueden enfrentarse a desafíos adicionales. Servicios que dependen de los datos recibidos de la capa OT o viceversa. Un buen ejemplo es la conexión entre el sistema ERP de TI y las aplicaciones OT, a menudo utilizando conexiones SQL o HTTP sin cifrar. Incluso los servicios en la nube de OT o el acceso remoto de OT podrían enrutarse a través del dominio de TI. Esta conectividad y dependencia aumentan el riesgo de que los incidentes cibernéticos atraviesen entre estos dominios. Los incidentes dentro del entorno de TI podrían afectar al entorno de OT, pero lo contrario también es cierto.

Por supuesto, puede tener un VAPT estándar realizado dentro de su dominio de TI. Aun así, también es posible ampliar esto con la pregunta de si se podría abusar de las vulnerabilidades del dominio de TI para alcanzar o afectar a los sistemas de OT. En este caso, se trata de explotar las vulnerabilidades descubiertas para obtener acceso a los servidores en la IT/OT-DMZ o, potencialmente, directamente en la red OT.

02

IT/OT-DMZ

LA DMZ separa la red de TI de la empresa y la red de OT. A menudo, este nivel está formado por componentes genéricos de TI, pero también podría contener aplicaciones específicas relacionadas con OT, incluidos protocolos de comunicación específicos de OT, como Modbus, OPC u OPC-UA. Algunos ejemplos son los servidores de acceso remoto, los servidores de distribución de actualizaciones de parches y los servidores historiadores de datos. A menudo se trata de una capa crucial, ya que es una de las primeras capas de defensa de los sistemas OT subyacentes.

En general, estos sistemas son más resistentes a los escáneres de vulnerabilidades. Por lo tanto, a menudo sugerimos utilizar un enfoque de "caja gris". Obtenemos cierta información por adelantado para evitar técnicas perturbadoras en sistemas que podrían no ser capaces de hacer frente a estos ataques. Al mismo tiempo, la mayoría de las pruebas utilizan un "enfoque de hackers" realista. Una de las cuestiones principales aquí es comprobar si existen vulnerabilidades que puedan ser aprovechadas por un atacante para acceder a datos o sistemas OT.

Durante la prueba de penetración, se intenta escapar de las limitaciones de la DMZ, ya sea desplazándose lateralmente a otros sistemas de la DMZ, escalando privilegios o explotando vulnerabilidades de seguridad o de configuración. Se investigará si es posible manipular la comunicación entre TI y OT (como cambios en el punto de ajuste de producción, operaciones remotas, etc.). Aun así, el objetivo final es eludir el cortafuegos y obtener acceso al dominio de OT.

03

Tecnología Operativa (OT)

Dentro del entorno OT, hay muchos más componentes como controladores DCS , PLC, RTU, sistemas SCADA y posiblemente otros sistemas heredados que no pueden soportar los escaneos o acciones disruptivas utilizadas durante una prueba de penetración convencional. Incluso un simple escaneado de la red ya podría ser suficiente para perturbar el funcionamiento de un PLC. Esta es una de las razones por las que se suele decir que no es una buena idea realizar tareas de VAPT en redes de producción en vivo.

Mientras tanto, es posible que los piratas informáticos no sepan o no les importe esto, y sabemos que existen muchas vulnerabilidades en las redes OT. Entonces, ¿cómo puede gestionar esto? En lugar de limitarse a seguir el consenso, debe centrarse en las pruebas que son posibles en los entornos OT. Esto depende de la infraestructura específica en cuestión, pero generalmente preferimos un enfoque de "caja de cristal". En este caso, se proporciona la información sobre la red interna, quizá con algunas credenciales y acceso a ejemplos de configuración. Esta información es necesaria para que el enfoque para cada dispositivo pueda adaptarse en función de dónde "vive" en relación con el Modelo Purdue.

Técnicas VAPT para sistemas OT


Escaneado pasivo

Una de las técnicas que pueden utilizarse en entornos OT es la exploración pasiva de vulnerabilidades. A diferencia de la exploración de vulnerabilidades normal (activa), no se inyecta tráfico (intrusivo) en la red para garantizar que ni siquiera los sistemas más frágiles se vean afectados. El Escaneado pasivo es una técnica de "sólo lectura" que utiliza una copia del tráfico de red ya existente. Este tráfico se analiza y podría exponer vulnerabilidades como protocolos débiles, mala configuración o firmware obsoleto.

El inconveniente de este método es que es menos preciso y no proporcionará una cobertura completa (sólo los dispositivos en uso en el momento de la prueba generarán tráfico para ser analizado). Por lo tanto, requerirá un poco más de investigación manual para confirmar los hallazgos.


Escaneado selectivo

Además del escaneado pasivo, es posible utilizar técnicas de escaneado activo específicas y menos intrusivas en colaboración con el cliente. Estas consultas se adaptarán a un único host o a una parte seleccionada de la red, y los parámetros se configurarán de forma que se evite una cantidad abrumadora de tráfico. Esta técnica es más precisa que el escaneado pasivo, pero requiere mucho tiempo. Aun así, algunos dispositivos, como los PLC heredados, no deberían escanearse nunca cuando están en producción. Sin embargo, aún sería posible realizar estos escaneos durante un periodo de mantenimiento o supervisión manual, o si se dispone de ellos, en un entorno de pruebas independiente que contenga los mismos tipos de dispositivos.

Nuestro enfoque en VAPT para OT

Nuestro enfoque específico de VAPT en el entorno de OT depende de los niveles que estén en el ámbito de los niveles Purdue.

El Modelo Purdue

Según el Modelo Purdue, una red típica de OT consta de diferentes niveles:

Niveles Purdue 2 y 3

Generalmente, los sistemas que residen en los niveles Purdue 2 y 3 (Supervisión del área y Operaciones del emplazamiento, respectivamente) se basan en componentes informáticos genéricos. Dependiendo de la criticidad de cada sistema, podemos utilizar métodos más o menos intrusivos. A menudo se trata de comprobar la resistencia de los sistemas y de la red frente a ataques selectivos. En estos niveles, los sistemas también pueden utilizar protocolos específicos de OT, como Modbus, DNP3, IEC-101/104, CIP Ethernet/IP, etc., para comunicarse entre sí y con los sistemas de los modelos Purdue inferiores. Tampoco es infrecuente que en los entornos OT se instalen aplicaciones o soluciones personalizadas en este nivel que puedan añadir una superficie de ataque. La cuestión final es si un pirata informático puede desplazarse lateralmente por la red y hacia los niveles más profundos del sistema.

En la fase de Pruebas de Penetración, tratamos de explotar las vulnerabilidades de las configuraciones del sistema, las aplicaciones instaladas (personalizadas), los protocolos informáticos débiles como FTP, Telnet, HTTP y SNMP, y los protocolos industriales inseguros. El objetivo es obtener acceso a estaciones de trabajo de ingeniería, bases de datos SCADA o interfaces hombre-máquina para investigar si podríamos influir en el proceso.


Niveles 0 y 1 de Purdue

En el nivel 1 (Control básico) y en el nivel 0 (Proceso), no utilizaremos ningún método intrusivo a menos que se solicite específicamente, por ejemplo, cuando el sistema también podría funcionar manualmente o no está en uso activo debido a un periodo de mantenimiento programado. A menudo, la cuestión es si un atacante puede manipular señales o mediciones o llevar a cabo un ataque ciberfísico, especialmente cuando este nivel también podría contener sistemas de seguridad (SIS). También es posible investigar si estos niveles inferiores (que podrían estar instalados en ubicaciones remotas no tripuladas) pueden proporcionar acceso a niveles superiores de la red OT y quizá incluso al entorno TI.

En estos niveles, la mayor parte de la comunicación se realiza a través de protocolos específicos de OT, de los cuales muchos son inseguros. Algunos ejemplos son, Modbus-TCP, Fieldbus, Profibus, HART, y muchos más, incluidos los protocolos propietarios de los proveedores.

A petición, podríamos, como parte de la prueba de penetración, investigar también las posibles vulnerabilidades en estos niveles. Intentaremos explotar vulnerabilidades en los protocolos de comunicación utilizados, vulnerabilidades potenciales en el firmware del controlador o del dispositivo, o abusar de debilidades en la configuración del dispositivo.


Conectividad

Por último, todos estos componentes están conectados a través de dispositivos de red como conmutadores, enrutadores, cortafuegos e incluso puntos de acceso inalámbricos. Además, también es habitual que se utilicen muchos convertidores de protocolos y medios en entornos OT, como convertidores de RS-232/RS-485 a Ethernet o de cobre a fibra óptica. Todos estos dispositivos inteligentes generan superficies de ataque adicionales. Por lo tanto, la configuración y la segmentación de la red son cruciales y una buena área de enfoque para nuestro servicio VAPT. Estos dispositivos son resistentes para este tipo de exploraciones y se incluirán en el ámbito de las exploraciones y pruebas de vulnerabilidad habituales.

Durante la prueba de penetración, intentamos abusar de los puntos débiles en la configuración de estos dispositivos o explotar posibles vulnerabilidades en el firmware para acceder a la capa de infraestructura. Si se tiene éxito, resulta más fácil atacar otras partes de la red, manipular el tráfico de red para influir en el proceso o espiar la comunicación no cifrada.

Image in image block

  • Nivel 0 - Proceso
    Este nivel contiene dispositivos que interactúan físicamente con el proceso. Por ejemplo, instrumentos de campo, variadores de frecuencia (VDF), bombas, motores, actuadores y robótica.
  • Nivel 1 - Control básico
    Este nivel contiene los controladores que interactúan con los instrumentos de campo y los actuadores. Por ejemplo, los controladores DCS y de seguridad, los Controladores Lógicos Programables (PLC) y las Unidades terminales remotas (RTU).
  • Nivel 2 - Supervisión del área
    Este nivel contiene los dispositivos utilizados para supervisar o interactuar con los controladores. Por ejemplo, Interfaces hombre-máquina (HMI), Estaciones de trabajo de ingeniería (EWS) y colectores de datos OPC.
  • Nivel 3 - Operaciones y controles del emplazamiento
    Este nivel contiene un sistema de apoyo a las operaciones, el mantenimiento y las optimizaciones de todo el emplazamiento. Por ejemplo, historiadores de datos, servidores de E/S y servicios de seguridad más genéricos para el entorno OT como controladores de dominio, servidores de copias de seguridad y servidores de distribución de parches y AV.

Me gustaría saber más sobre Pentest Industrial

Rellene el formulario y nos pondremos en contacto con usted en el plazo de un día laborable.

USP

Servicios relacionados

Site Assessment

OT Site Assessment

Explore nuestros servicios de Evaluación in situ de entornos OT y proteja sus Sistemas de control industrial (ICS) de las ciberamenazas. Comprenda los riesgos y descubra mejoras según los requisitos de la norma IEC 62443. Asegure sus operaciones hoy con Bureau Veritas Cybersecurity.

Modelado de Amenazas para Industrial Control Systems

Secura Threat Modeling Service

Descubra las ciberamenazas potenciales para sus Industrial Control Systems con el servicio de Modelado de Amenazas de Bureau Veritas Cybersecurity, para que pueda implantar de forma proactiva medidas de seguridad eficaces.

OT Cyber FAT/SAT

OT Cyber FATSAT

Mejore la ciberseguridad de sus Industrial Control Systems con los servicios de Pruebas de Aceptación en Fábrica y en Sitio (FAT-SAT) de Ciberseguridad para Sistemas de control industrial (ICS) de Bureau Veritas Cybersecurity. Proporcionamos comprobaciones rigurosas durante las fases FAT y SAT, garantizando una seguridad eficaz durante todo el ciclo de vida de su proyecto.

Formación en fundamentos de ciberseguridad OT

In company training course or open to public

Domine los aspectos esenciales de la ciberseguridad de los sistemas de control industrial con nuestra completa formación "Fundamentos de la ciberseguridad de los sistemas de control industrial". Comprenda las complejidades de la seguridad de los Sistemas de control industrial (ICS) y navegue por las normas aplicables para aplicar controles de seguridad eficaces.

Evaluación de vulnerabilidades / Penetration Testing (VAPT)

Pentesting VAPT Quality and Standards

La evaluación de vulnerabilidades y las pruebas de penetración, o pentesting, son formas de descubrir puntos débiles en la seguridad de su sitio web, aplicación o infraestructura. Permita que los expertos en ciberseguridad de Bureau Veritas Cybersecurity le ayuden.

Red Teaming

Red Teaming Assessment Bureau Veritas Cybersecurity

Experimente un ciberataque simulado, eleve su defensa y aumente su ciberresiliencia con nuestra evaluación Red Teaming.

¿Por qué elegir la ciberseguridad de Bureau Veritas?

Bureau Veritas Cybersecurity es su socio experto en ciberseguridad. Ayudamos a las organizaciones a identificar riesgos, reforzar sus defensas y cumplir con las normas y regulaciones de ciberseguridad. Nuestros servicios abarcan personas, procesos y tecnología, desde la formación en materia de concienciación y la ingeniería social hasta el asesoramiento en seguridad, el cumplimiento normativo y las pruebas de penetración.

Operamos en entornos de TI, TO e IoT, y damos soporte tanto a sistemas digitales como a productos conectados. Con más de 300 profesionales de la ciberseguridad en todo el mundo, combinamos una profunda experiencia técnica con una presencia global. Bureau Veritas Cybersecurity forma parte del Bureau Veritas Group, líder mundial en pruebas, inspección y certificación.