Penetrační testy SCADA

Penetrační testy SCADA (Supervisory Control And Data Acquisition) a ICS (Industrial Control System) jsou specializovaným druhem penetračních testů, které se zaměřují na prověření zabezpečení řídicích systémů.

Účel

Cílem penetračního testu SCADA/ICS je prověření odolnosti technického zabezpečení prostředí, sítě či samotných dohledových a řídicích systémů.

Řídicí systémy jsou jádrem businessu pro řadu provozovatelů, ať již jde o energetiku, další utility či průmysl. Jejich výpadek může způsobit organizaci obrovské škody a je proto vhodné otestovat robustnost stávajícího řešení.

Řídící a dohledové systémy mohou být též zařazeny mezi kritickou infrastrukturu státu nebo být určeným významným informačním systémem (v dikci Kybernetického zákona) a tudíž by měly být prověřovány penetračním testem.

Bezpečnost SCADA / ICS

Penetrační testy jsou disciplínou, která zcela názorně zkouší slabiny sítí (aktivních prvků), serverů i koncových zařízení. V případě průmyslových systémů jde o podobnou strukturu, nicméně koncová zařízení mohou představovat PLC (Programmable Logic Controller), která nemusí komunikovat „počítačovým“ IP protokolem.

Například SCADA/ICS systémy v energetice využívají protokoly pro dálkové ovládání a přenos dat v reálném čase dle standardu IEC 60870 jako je ICCP/TASE.2 (Inter-Control Center Communications Protocol / Telecontrol Application Service Element).

Protokol IEC 101 (dle standardu IEC 60870-5-101) je již poměrně starým standardem pro vzdálený monitoring a řízení elektrických systémů, na kterém je postavena většina současných systémů.

Rozšiřující protokol IEC 104 (dle standardu IEC 60870-5-104) přináší komunikaci přes TCP/IP do světa řídicích systémů, nicméně ještě bez bezpečnostních mechanismů, které je nutné řešit dodatečnými opatřeními.

Mimo to existuje řada dalších protokolů (DNP3, Modbus, Profibus, BACnet, aj.) používaných v jiných průmyslových odvětvích.

Vše výše uvedené se musí vzít v potaz při realizaci penetračního testu, který musí být dobře připraven, aby nedošlo k výpadkům testovaných systémů.

Naše zkušenosti na poli testů řídicích systémů jsou Vaší zárukou, že budou systémy prověřeny, aniž by došlo k fatálnímu narušení provozu.

Testování

Testování řídicích systémů probíhá vždy po konzultaci se zákazníkem, kdy se upřesní rozsah testovaných sítí a zařízení, testovací scénáře a techniky, použité nástroje a třeba i čas testů tak, aby se minimalizoval dopad na provoz. Ideální je testování testovacích (neprodukčních) prostředí, které jsou kopií produkčních systémů, ale to není příliš časté (z důvodu neexistence testovacích instancí).

Důležité je i stanovení konkrétních cílů testu – má to být nalezení zranitelností nebo i jejich využití a případné ovládnutí zařízení (a z toho vyplývajícími riziky)? Má být nalezeno maximum zranitelností („test do šířky“) nebo demonstrace jejich zneužití („test do hloubky“)? Cílem může být i pokus o omezení funkčnosti systému zahlcením (DoS).

Následně proběhnou testy dle předem domluvených parametrů. Tester využívá svých zkušeností k nejrychlejšímu dosažení cíle. Využívá se technických zranitelností testovaných systémů a sítí. Nevyužívají se techniky sociálního inženýrství, to bývá předmětem jiných typů testování. Ke zvážení je i auditní přístup k celému „ekosystému“ řídicích systémů organizace.

Vzhledem k citlivosti předmětu testu se používá především manuálních testů, což zvyšuje nároky na znalosti a časové kapacity testu.

Reporting

Výstupem penetračního testu je závěrečná zpráva, která obsahuje podrobnosti o průběhu testu, popis a klasifikaci nalezených zranitelností a samozřejmě doporučení ke snížení rizika.

Pro klasifikaci závažnosti zranitelnosti standardně využíváme škálu: Nízká (Low), Střední (Medium), Vysoká (High) a Kritická (Critical). V případě požadavku zákazníka přidáme hodnocení pomocí CVSS skóre (Common Vulnerability Scoring System) nebo použijeme zákazníkem dodané klasifikační schéma.

Zpráva je připravena ve formátu MS Word a PDF a zákazníkovi zaslána bezpečným způsobem.

Penetrační testy mohou být zakončeny prezentací výsledků u zákazníka – manažerská prezentace nebo technický workshop/diskuse nad závěrečnou zprávou.

Další typy testů

Vedle výše popsaných testů poskytujeme našim klientům také mnoho jiných typů penetračních testů – viz Penetrační testování – přehled.