VAPT industriale

Il Vulnerability Assessment / Penetration Testing (VAPT) è un modo per scoprire i punti deboli nella sicurezza dei suoi sistemi OT.

> OT | VALUTAZIONE DEL SITO and ALTRO ANCORA > VAPT industriale

Penetration Testing in un ambiente industriale

Negli ambienti industriali, i test di cybersecurity richiedono un approccio specializzato. Ciò è dovuto ai diversi rischi e modelli di minaccia all'interno della Tecnologia Operativa (OT).

Scopra di più sul VAPT nel settore industriale:

  1. Cos'è la Valutazione delle vulnerabilità / Penetration Testing (VAPT)?
  2. Il valore e i risultati del VAPT nel settore OT
  3. VAPT nel settore industriale
  4. Diverse tecniche per i sistemi OT
  5. L'approccio di Bureau Veritas Cybersecurity nel VAPT per OT

RICHIEDA UN PREVENTIVO PER IL SUO PENTEST

Highlight-image

Che cos'è la Valutazione delle vulnerabilità e il Penetration Testing?

Molti tipi di test sono conosciuti collettivamente come Vulnerability Assessment / Penetration Testing (VAPT). Il Penetration Testing classico significa che i test vengono eseguiti dalla prospettiva di un aggressore e le vulnerabilità vengono sfruttate per vedere 'fino a che punto può arrivare un aggressore'. Tuttavia, questo non è sempre il modo più efficace di eseguire i test, perché spesso ha più senso eseguire una Valutazione delle vulnerabilità.

Una Valutazione delle vulnerabilità implica l'esecuzione di test in modo da trovare il maggior numero possibile di vulnerabilità, senza perdere tempo ad exploitarle per vedere fino a che punto si può arrivare. Trovare più vulnerabilità è spesso più prezioso perché riduce i rischi in modo più efficace: esplorando in profondità, invece che (solo) in profondità.

Il valore del VAPT nell'OT

L'obiettivo di un test di penetrazione è quello di illustrare nel modo più chiaro possibile quali potrebbero essere le conseguenze di un determinato problema di cybersecurity e cosa significherebbe per la sua organizzazione. Ad esempio, il rischio che un incidente di sicurezza IT, come il Ransomware, possa colpire anche la rete OT, gli attori minacciosi che si introducono nella rete OT per accedere alla proprietà intellettuale, i rischi della catena di fornitura causati dalla connettività remota dei fornitori, o il potenziale impatto di un attacco cyber-fisico.

Il VAPT fornisce informazioni sull'attuale cyber resilience delle reti IT e/o OT per questi tipi di minacce e se sono necessari miglioramenti. Bureau Veritas Cybersecurity registra i risultati del test VAPT in un rapporto chiaro, con una sintesi gestionale, un'ampia analisi del rischio per ogni risultato e raccomandazioni a livello strategico, tattico e operativo. I risultati dell'assessment possono essere utilizzati per prendere provvedimenti per colmare i gap di sicurezza e ridurre il rischio nella sua organizzazione.

VAPT nel settore industriale

Negli ambienti industriali, molti processi aziendali critici dipendono dall'OT. Le reti con Industrial Control Systems (ICS) come DCS, PLC e sistemi SCADA gestiscono e automatizzano i processi critici. Tuttavia, i servizi IT dell'azienda sono altrettanto importanti per le operazioni quotidiane. Inoltre, a causa della convergenza di IT e OT e delle iniziative di Industria 4.0, la dipendenza tra questi due ambienti sta aumentando. Un'azienda di successo dipende da sistemi affidabili sia in ambito IT che OT; pertanto, i test VAPT sono importanti per tutti questi sistemi. In questi ambienti si utilizzano tecnologie diverse e si sa collettivamente che i sistemi OT potrebbero non essere resistenti alle scansioni VAPT. È ovvio che ogni area richiede un approccio diverso.

Definizione dell'assessment VAPT

La definizione della valutazione VAPT è importante. I diversi approcci per parti specifiche dell'infrastruttura sono brevemente descritti di seguito, utilizzando un modello di riferimento comune. Ogni infrastruttura sarà diversa e pertanto Bureau Veritas Cybersecurity inizierà sempre con l'esaminare la topologia della rete con il cliente per adattare il nostro approccio ai sistemi in questione.

  • Tecnologia informatica (IT)
  • IT/OT-DMZ
  • Tecnologia operativa (OT)
  • Internet delle cose (IIoT)
Image in image block

Scoping - Parti specifiche dell'infrastruttura

01

Tecnologia dell'informazione (IT)

Oltre a tutti i normali componenti presenti in qualsiasi rete IT moderna (e alle relative vulnerabilità), le organizzazioni industriali potrebbero trovarsi ad affrontare ulteriori sfide. Servizi che dipendono da dati ricevuti dal livello OT o viceversa. Un buon esempio è il collegamento tra il sistema ERP IT e le applicazioni OT, spesso utilizzando connessioni SQL o HTTP non criptate. Anche i servizi OT-cloud o l'accesso OT-remoto potrebbero essere instradati attraverso il dominio IT. Questa connettività e dipendenza aumentano il rischio che gli incidenti informatici attraversino questi domini. Gli incidenti all'interno dell'ambiente IT potrebbero influenzare l'ambiente OT, ma è vero anche il contrario.

Naturalmente, è possibile far eseguire un VAPT standard all'interno del dominio IT. Tuttavia, è anche possibile estendere il discorso alla domanda se le vulnerabilità nel dominio IT possano essere sfruttate per raggiungere o influenzare i sistemi OT. In questo caso, cerchiamo di sfruttare le vulnerabilità scoperte per ottenere l'accesso ai server nel dominio IT/OT-DMZ o potenzialmente direttamente nella rete OT.

02

IT/OT-DMZ

LA DMZ separa la rete IT aziendale e la rete OT. Spesso, questo livello è costituito da componenti IT generici, ma potrebbe anche contenere applicazioni specifiche legate all'OT, compresi protocolli di comunicazione OT specifici, come Modbus, OPC o OPC-UA. Alcuni esempi sono i server di accesso remoto, i server di distribuzione degli aggiornamenti delle patch e i server dello storico dei dati. Si tratta spesso di un livello cruciale, in quanto è uno dei primi livelli di difesa dei sistemi OT sottostanti.

In generale, questi sistemi sono più resistenti alle scansioni di vulnerabilità. Pertanto, spesso suggeriamo di utilizzare un approccio 'grey box'. Otteniamo alcune informazioni in anticipo per evitare tecniche di disturbo su sistemi che potrebbero non essere in grado di far fronte a questi attacchi. Allo stesso tempo, la maggior parte dei test utilizza unapprocciorealistico da "hacker". Una delle domande principali in questo caso è verificare se esistono vulnerabilità che potrebbero essere sfruttate da un aggressore per accedere a dati o sistemi OT.

Durante il test di penetrazione, si cerca di sfuggire ai vincoli della DMZ, spostandosi lateralmente verso altri sistemi nella DMZ, scalando i privilegi o sfruttando le vulnerabilità di sicurezza o di configurazione. Verrà analizzato se è possibile manipolare la comunicazione tra IT e OT (come le modifiche dei setpoint di produzione, le operazioni remote, ecc.) Tuttavia, l'obiettivo finale è quello di bypassare il firewall e ottenere l'accesso al dominio OT.

03

Tecnologia operativa (OT)

All'interno dell'ambiente OT, ci sono molti più componenti come i controllori DCS , i PLC, le RTU, i sistemi SCADA ed eventuali altri sistemi legacy che non possono gestire le scansioni o le azioni di disturbo utilizzate durante un test di penetrazione convenzionale. Anche una semplice scansione della rete potrebbe già essere sufficiente per disturbare il funzionamento di un PLC. Questo è uno dei motivi per cui si dice comunemente che non è una buona idea eseguire incarichi VAPT nelle reti di produzione dal vivo.

Nel frattempo, gli hacker potrebbero non saperlo o non preoccuparsi di questo, e sappiamo che esistono molte vulnerabilità nelle reti OT. Quindi, come si può gestire questa situazione? Invece di limitarsi a seguire il consenso, è necessario concentrarsi sui test che sono possibili negli ambienti OT. Questo dipende dall'infrastruttura specifica in questione, ma in genere preferiamo un approccio "a scatola di cristallo". In questo caso, vengono fornite le informazioni sulla rete interna, magari con alcune credenziali e l'accesso a esempi di configurazione. Queste informazioni sono necessarie affinché l'approccio per ogni dispositivo possa essere personalizzato in base alla sua "residenza" rispetto al modello Purdue.

Tecniche VAPT per i sistemi OT


Scansione passiva

Una delle tecniche che possono essere utilizzate negli ambienti OT è la scansione passiva delle vulnerabilità. Contrariamente alla normale scansione delle vulnerabilità (attiva), non viene iniettato traffico (intrusivo) nella rete, per garantire che anche i sistemi più fragili non vengano colpiti. La scansione passiva è una tecnica di "sola lettura" che utilizza una copia del traffico di rete già esistente. Questo traffico viene analizzato e potrebbe esporre vulnerabilità come protocolli deboli, scarsa configurazione o firmware obsoleto.

Lo svantaggio di questo metodo è che è meno accurato e non fornisce una copertura completa (solo i dispositivi in uso al momento del test genereranno traffico da analizzare). Pertanto, richiederà un' indagine un po' più manuale per confermare i risultati.


Scansione selettiva

Oltre alla scansione passiva, è possibile utilizzare tecniche di scansione attiva specifiche e meno invasive in collaborazione con il cliente. Queste query saranno adattate a un singolo host o a una parte selezionata della rete, e i parametri saranno configurati in modo da evitare una quantità eccessiva di traffico. Questa tecnica è più accurata della scansione passiva, ma richiede molto tempo. Tuttavia, alcuni dispositivi come i PLC legacy non dovrebbero mai essere sottoposti a scansione quando sono in produzione. Tuttavia, potrebbe essere possibile eseguire queste scansioni durante un periodo di manutenzione o di supervisione manuale, oppure, se disponibile, in un ambiente di test separato contenente gli stessi tipi di dispositivi.

Il nostro approccio in VAPT per OT

Il nostro approccio VAPT specifico nell'ambiente OT dipende da quali sono i livelli che rientrano nell'ambito dei livelli Purdue.

Il modello Purdue

Secondo il modello Purdue, una tipica rete OT è composta da diversi livelli:

Livello Purdue 2 e 3

In genere, i sistemi che risiedono nei livelli Purdue 2 e 3 (rispettivamente Area Supervisory e Site Operations) si basano su componenti IT generici. A seconda della criticità di ciascun sistema, possiamo utilizzare metodi più o meno intrusivi. Spesso si tratta di verificare la resistenza dei sistemi e della rete agli attacchi mirati. In questi livelli, i sistemi possono anche utilizzare protocolli specifici OT, come Modbus, DNP3, IEC-101/104, CIP Ethernet/IP, ecc. per comunicare tra loro e con i sistemi dei modelli Purdue inferiori. Inoltre, non è raro che negli ambienti OT vengano installate applicazioni o soluzioni personalizzate a questo livello, che potrebbero aggiungere una superficie di attacco. La domanda finale è se un hacker può muoversi lateralmente sulla rete e raggiungere i livelli più profondi del sistema.

Nella fase di penetration test, cerchiamo di exploitare le vulnerabilità nelle configurazioni del sistema, nelle applicazioni installate (personalizzate), nei protocolli IT deboli come FTP, Telnet, HTTP e SNMP e nei protocolli industriali insicuri. L'obiettivo è ottenere l'accesso alle postazioni di lavoro dell'ingegneria, ai database SCADA o alle interfacce uomo-macchina per verificare se possiamo influenzare il processo.


Livello 0 e 1 di Purdue

Nel livello 1 (Controllo di base) e nel livello 0 (Processo), non utilizzeremo alcun metodo intrusivo, a meno che non sia specificamente richiesto, ad esempio quando il sistema potrebbe essere azionato anche manualmente o non è in uso attivo a causa di un periodo di manutenzione programmata. Spesso, ci si chiede se un aggressore possa manipolare i segnali o le misurazioni o effettuare un attacco cyber-fisico, soprattutto quando questo livello potrebbe contenere anche sistemi di sicurezza (SIS). È anche possibile ricercare se questi livelli inferiori (che potrebbero essere installati in luoghi remoti non presidiati) possono fornire accesso a livelli superiori della rete OT e forse anche all'ambiente IT.

In questi livelli, la maggior parte della comunicazione avviene tramite protocolli specifici OT, molti dei quali sono insicuri. Alcuni esempi sono Modbus-TCP, Fieldbus, Profibus, HART e molti altri, compresi i protocolli proprietari del fornitore.

Su richiesta, potremmo, come parte del test di penetrazione, indagare le possibili vulnerabilità anche in questi livelli. Cercheremo di exploitare le vulnerabilità nei protocolli di comunicazione utilizzati, le potenziali vulnerabilità nel firmware del controllore o del dispositivo, o le debolezze di abuso nella configurazione del dispositivo.


Connettività

Infine, tutti questi componenti sono collegati tramite dispositivi di rete come switch, router, firewall e persino punti di accesso wireless. Oltre a ciò, è anche comune l'utilizzo di molti convertitori di protocollo e di media negli ambienti OT, come i convertitori da RS-232/RS-485 a Ethernet o da rame a fibra ottica. Tutti questi dispositivi intelligenti generano ulteriori superfici di attacco. Pertanto, la configurazione e la segmentazione della rete sono cruciali e rappresentano una buona area di interesse per il nostro servizio VAPT. Questi dispositivi sono resilienti per questi tipi di scansioni e saranno inclusi nell'ambito delle scansioni e dei test di vulnerabilità regolari.

Durante il test di penetrazione, cerchiamo di abusare dei punti deboli nella configurazione di questi dispositivi o di sfruttare potenziali vulnerabilità nel firmware per accedere al livello dell'infrastruttura. Se ci si riesce, diventa più facile attaccare altre parti della rete, manipolare il traffico di rete per influenzare il processo o origliare le comunicazioni non criptate.

Image in image block

  • Livello 0 - Processo
    Questo livello contiene i dispositivi che interagiscono fisicamente con il processo. Ad esempio, strumenti di campo, azionamenti a frequenza variabile (VDF), pompe, motori, attuatori e robotica.
  • Livello 1 - Controllo di base
    Questo livello contiene i controllori che interagiscono con gli strumenti di campo e gli attuatori. Ad esempio, controllori DCS e di sicurezza, controllori logici programmabili (PLC) e unità terminali remote (RTU).
  • Livello 2 - Supervisione dell'area
    Questo livello contiene i dispositivi utilizzati per monitorare o interagire con i controllori. Ad esempio, le interfacce uomo-macchina (HMI), le stazioni di lavoro di ingegneria (EWS) e i raccoglitori di dati OPC.
  • Livello 3 - Operazioni e controlli del sito
    Questo livello contiene un sistema per supportare le operazioni, la manutenzione e le ottimizzazioni a livello del sito. Ad esempio, storici di dati, server I/O e servizi di sicurezza più generici per l'ambiente OT, come Domain Controller, server di backup e server di distribuzione di patch e AV.

Vorrei saperne di più sul Pentesting Industriale

Compili il modulo sottostante e la contatteremo entro un giorno lavorativo.

USP

Servizi correlati

Site Assessment

OT Site Assessment

Esplori i nostri servizi OT Site Assessment e salvaguardi i suoi Industrial Control Systems (ICS) dalle minacce informatiche. Comprenda i rischi e scopra i miglioramenti secondo i requisiti IEC 62443. Protegga le sue operazioni oggi stesso con Bureau Veritas Cybersecurity.

Modellazione delle minacce per i sistemi di controllo industriali.

Secura Threat Modeling Service

Scopra le potenziali minacce informatiche ai suoi Industrial Control Systems con il servizio di Modellazione delle minacce di Bureau Veritas Cybersecurity, in modo da poter implementare in modo proattivo misure di sicurezza efficaci.

OT Cyber FAT/SAT

OT Cyber FATSAT

Migliori la cybersecurity dei suoi Industrial Control Systems con i servizi ICS Cyber FAT/SAT di Bureau Veritas Cybersecurity. Forniamo controlli rigorosi durante le fasi FAT e SAT, assicurando una sicurezza efficace per tutto il ciclo di vita del progetto.

Formazione sui fondamenti della cybersecurity OT

In company training course or open to public

Padroneggi gli elementi essenziali della cybersecurity OT con la nostra formazione completa 'OT Cybersecurity Fundamentals'. Afferra le complessità della sicurezza degli Industrial Control Systems (ICS) e naviga negli standard applicabili per applicare controlli di sicurezza efficaci.

Vulnerability Assessment / Penetration Testing (VAPT)

Pentesting VAPT Quality and Standards

La valutazione delle vulnerabilità e i test di penetrazione, o pentesting, sono modi per scoprire i punti deboli nella sicurezza del suo sito web, applicazione o infrastruttura. Si lasci aiutare dagli esperti di cybersecurity di Bureau Veritas Cybersecurity.

Red Teaming

Red Teaming Assessment Bureau Veritas Cybersecurity

Sperimenti un attacco informatico simulato, elevi la sua difesa e aumenti la sua cyber resilience con il nostro Red Teaming Assessment.

Perché scegliere Bureau Veritas Cybersecurity?

Bureau Veritas Cybersecurity è il vostro partner esperto in materia di sicurezza informatica. Aiutiamo le organizzazioni a identificare i rischi, rafforzare le difese e conformarsi agli standard e alle normative in materia di sicurezza informatica. I nostri servizi riguardano persone, processi e tecnologie, dalla formazione sulla consapevolezza e l'ingegneria sociale alla consulenza sulla sicurezza, la conformità e i test di penetrazione.

Operiamo in ambienti IT, OT e IoT, supportando sia i sistemi digitali che i prodotti connessi. Con oltre 300 professionisti della sicurezza informatica in tutto il mondo, uniamo una profonda competenza tecnica a una presenza globale. Bureau Veritas Cybersecurity fa parte del Bureau Veritas Group, leader mondiale nel settore dei test, delle ispezioni e delle certificazioni.