Outbound interfaces penetration test
Test di penetrazione su protocollo TCP/IP per routers, gateways e apparecchiature con interfaccia Internet collegati a reti di produzione per gli IACS
Scenario
La crescente interconnessione dei sistemi di produzione con il livello gestionale aziendale e il proliferare di collegamenti verso l'esterno degli impianti stessi per ragioni di telecontrollo, manutenzione e scambio dati espongono i sistemi di controllo preposti alla supervisione e alla gestione delle linee di produzione alla minaccia di attacchi informatici di varia natura.
Bureau Veritas Nexta può supportare i propri clienti per effettuare test di penetrazione su protocollo TCP/IP per i propri routers, gateways e apparecchiature collegate a reti di produzione per gli IACS - Industrial Automation Control Systems.
Soluzione
L’attività di test proposta in modalità remota permette di determinare se vi sono porte aperte, se queste sono monitorate e/o filtrate, per i protocolli industriali conosciuti e lo standard web/database. Una volta trovata una porta aperta, si va a verificare se questa porta si può manipolare, controllare al fine di ottenere privilegi fino ad arrivare a un server.
L’utilizzo di un port scanner permette immediatamente e da remoto di determinare lo stato di una porta. Con più sessioni di scansione è poi possibile costruire l’intera mappa delle porte aperte (e quindi dei servizi esposti sulla rete Internet) e capire lo stato del servizio (se in esecuzione, in crash,…).
Sempre da remoto, utilizzando un packet scanner, si può anche analizzare il traffico su una data porta e capire se il servizio è compromesso e se sta già inviando dati a un endpoint sconosciuto non valido o se è soggetto ad attacchi in entrata da client non validi.
Il servizio proposto prevede due modalità:
- Soluzione 1
- Port scanning su tutte le porte e costruzione dell’elenco delle porte aperte;
- Agent impersonation: utilizzo di client bot per effettuare chiamate al servizio esposto sulla porta e analisi delle risposte;
- Se esposta interfaccia di login: tentativo di login o hijack dell’interfaccia di login;
- Elenco delle porte aperte ma con servizi spenti;
- Elenco riassuntivo delle porte problematiche e dei servizi esposti; - Soluzione 2
- Utilizzando l’elenco delle porte compromesse: analisi del traffico su 24/72 ore;
- Segmentazione per sessione e per protocollo (UDP, TCP e protocolli Application Layer di servizio come DHCP, DNS, SNP,…);
- Identificazione degli endpoint del traffico in uscita;
- Identificazione dei client in entrata.
FAQ - Domande frequenti
Cosa deve mettere a disposizione l’azienda per permettere il test da remoto?
Per poter effettuare il test è sufficiente che siano disponibili un pool di indirizzi IP sui quali effettuare le attività di port scanning. Il team di Bureau Veritas Nexta è comunque sempre disponibile per spiegare e supportare l’azienda a distanza in ogni passaggio.