渗透测试ICS/OT环境的价值
当公司决定是时候为工业控制系统(ICS)和操作技术(OT)环境订购pentest时,需要考虑几个因素。
在建立和测试一个全新的网络安全项目时,如渗透测试(pentest),可能很难确切地知道采取什么步骤是合理的,以及何时采取这些步骤。
什么时候是pentest的时候?
建立网络安全项目是一场马拉松,而不是赛跑。最终进行渗透测试是令人兴奋的,但测试应该被认为是一种后期成熟活动。换句话说,在考虑渗透测试之前,系统所有者应该确保他们拥有网络安全程序的基本构建模块。
德拉戈斯专业服务公司的客户通常都经历过建筑审查和场地评估的过程在订购网络渗透测试之前。这样做是为了确保网络体系结构的概念框架是合理的。在进行架构审查时,Dragos可能会要求提供某些文档,包括网络拓扑、事件响应计划、恢复计划和防火墙配置。然后,Dragos与客户员工进行访谈,以更好地了解现有安全程序的构成。
后续的现场评估探索了地面真相,这有助于发现纸上内容与设施内实际情况之间的差异。没有什么比巡视安全行动发生的场所更能暴露安全行动的好坏和丑陋了。这种做法通常会导致额外的发现,应该在任何渗透测试之前进行补救。
一旦完成了这些练习,并且解决了所有的发现,就该考虑测试在最后两轮练习之后实施的缓解措施了。测试这些缓解措施应该是渗透测试的主要目标。当然,还有其他方法可以得出结论,是时候进行渗透测试了。然而,系统所有者得出的结论是,是时候进行测试了,当涉及到要求什么样的测试时,有一些事情需要考虑。
其中战略
当需要与供应商讨论渗透测试时,了解一些基本的渗透测试策略会有所帮助。就渗透测试策略而言,通常有三种广泛的方法:
当Dragos执行工业渗透测试时,我们会围绕一系列限制进行工作,这些限制有助于指导我们的测试方法。其中一个限制就是时间。然而,大多数对手没有这个时间限制,可以“驻留”较长时间来收集信息和研究他们的目标,渗透测试者没有这个优势。因此,我们的目标是模拟高级阶段的决口。我们称之为“假定破坏”测试。
在假设的破坏测试中,系统所有者考虑一个场景,其中他们的网络已经在某种程度上被破坏了。这使得系统所有者可以考虑与攻击者可以走多远有关的问题,以及一旦他们成功访问了所有者的网络,他们可以造成多大的破坏。
无论系统所有者决定采用何种策略,他们都应该仔细考虑他们所选择的供应商,以及他们所选择的供应商在ICS渗透测试方面有多少经验。在ICS环境中,应该特别考虑网络可用性,而不是所有渗透测试提供商都尊重,甚至意识到这一点。
OT测试有什么不同
没有两次穿透测试是相同的。不同的目标、不同的策略和不同的网络布局都有助于独特的渗透测试体验。这篇文章的读者可能有It渗透测试的经验,反映了这一事实,然而,It和OT渗透测试之间有巨大的差异。
由于OT渗透测试需要采取额外的预防措施,在对生产ICS网络进行渗透测试时优先考虑可用性,因此某些工具和技术被认为是高风险的,因此不使用,因为它们会给客户带来稳定性风险。我们确实认识到,这在彻底测试和卫生测试之间产生了权衡。我们处理这种权衡的一种方法是在使用利用之前检查可利用性。
这种方法允许我们使用“defanged”漏洞,或者既降低了使用“fanged”(完全漏洞技术)方法的风险,又允许我们继续测试的漏洞。这在IT渗透测试中并不常见,但我们在ICS渗透测试中得到了大量使用。
下图提供了Dragos进行渗透测试过程的简化概述。要查看更详细的过程,请参阅我们的信息图表,渗透测试剖析,在这里.
图片:德拉戈
影响和结果
IT渗透测试不同于ICS渗透测试的另一个领域是我们希望实现的结果。在渗透测试之后,客户可以期望对他们的网络遭到入侵的情况有一个真实的了解。
知道一个专业的黑客团队将如何成功地对抗网络中的保护和缓解措施。拥有这些信息可以直接用于通知更改安全性改进,仅从纸上练习可能并不明显。
渗透测试不仅有助于阐明攻击者在实现网络访问时可能采取的路径,而且客户还可以期望了解网络破坏可能导致的影响类型。当涉及到影响时,我们希望确定对ICS操作产生影响的途径,例如:
- 视野缺失
- 失控
- 丧失信心
- 影响过程控制
- 抑制反应功能。
所有这些都可能对操作的连续性造成障碍,并且通常不是客户期望在其IT系统的独家测试中看到的结果。
总之
渗透测试可以显著改善日益增长的网络安全项目的安全态势,有很多事情需要考虑。成熟度是一种投资,通过测试确保网络安全投资对于准备好的系统所有者来说是非常有益的和有启发性的。
-这最初出现在德拉格的网站.德拉格是CFE媒体和技术内容合作伙伴。由CFE媒体与技术杂志副主编摩根·格林编辑,mgreen@cfemedia.com
原始内容可以在德拉格.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
