Bezpečnostní testy | Taylor McCoy

BEZPEČNOSTNÍ TESTOVÁNÍ

pro vaše ICT prostředí, OT, ICS, SCADA

You are here:

Home
Bezpečnostní testy

„Bezpečnost a zvyšování spolehlivosti průmyslových řídicích systémů a sítí je výzvou pro třetí desetiletí 21. století. Propojování ICT infrastruktury s dříve izolovaným průmyslovým prostředím vytváří nové výzvy pro udržení si přehledu o bezpečnosti komunikačních tras a jednotlivých aktiv, pro rychlou a správnou identifikaci kybernetických rizik a pro procesy jejich zvládání.
Naše úsilí cílí na zlepšení bezpečnosti průmyslových systémů a zefektivnění způsobu reakce na hrozby tak, abychom ochránili provozní činnosti našich klientů.“

Michal Zábelka, obchodní ředitel

Máme řešení pro váš segment

Díky mnoholetým zkušenostem s bezpečnostním testováním vám dokážeme nabídnout služby přesně přizpůsobené vašemu segmentu.

Výrobní podniky

Provádíme testování prostředí výroby počínaje výrobními PLC přes ASD systémy, ICT infrastrukturu po kamerové a vstupové systémy.

Energetika

Zaměřujeme se na testování zranitelností systémů výrobní a distribuční soustavy včetně testů ochrany nestřežených přípojných bodů.

Doprava

Dopravní řídící systémy a dohledová centra testujeme s ohledem na jejich vysokou geografickou distribuovanost a zvláštní požadavky bezpečnostních režimů některých dopravních staveb.

Farmaceutický průmysl

Pro producenty léčiv poskytujeme testování bezpečnosti validovaných i nevalidovaných výrobních systémů a nevýrobní ICT infrastruktury.

Zdravotnictví

Provádíme testování zdravotnické techniky, nemocničních, laboratorních, radiologických a dalších informačních systémů, stejně jako ostatního ICT prosředí včetně veřejných ICT služeb.

Facility management

Testujeme řídící systémy budov včetně řízení prostředí, vstupových a kamerových systémů.

Typy bezpečnostních testů

Bezpečnostní testování lze rozdělit do dvou základních přístupů s ohledem na stanovení rozsahu, postupu testování a způsobu stanovení cílů, kterých má být dosaženo.

Test zranitelností

Cílem je identifikace zranitelností informačního systému, které by mohl útočník zneužít. Tester se pokouší ověřit, zda jsou na systémech přítomny známé zranitelnosti.

Rozsah je stanoven počtem testovaných systémů, aplikací a infrastrukturních prvků.

Výstupem testu je závěrečná zpráva, která obsahuje:

celkový obrázek o stavu bezpečnosti testovaného prostředí
přehled nalezených zranitelnosti s ohodnocením jejich významu
popis a klasifikace nalezených zranitelností a doporučení k ošetření zranitelností

Penetrační test

Cílem je ověření, zda lze proniknout do informačního systému organizace. Tester využívá prostředky a metody nejrychleji vedoucí k cíli.

Rozsah je stanoven parametry:

Jak dlouho se bude tester pokoušet o průnik.
Jaké jsou priority testování – např. ovládnutí infrastruktury, získání informací apod.
Jaká jsou omezení testování.

Výstupem testu je závěrečná zpráva, která obsahuje:

záznam o provedení testu obsahující podrobnosti o zkoušených metodách a postupech průniku
přehled dosažených výsledků zahrnující získané přístupové údaje, informace apod.
seznam zranitelností, kterých bylo využito k provedení průniku

Testujeme vás jako potenciální útočník

Doporučíme vám a provedeme způsob testování formou, která nejlépe odpovídám rizikům vaší organizace a potenciálním útokům, kterým budete čelit.

Black box

Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti minimum informací o testovaných cílech, např. pouze IP adresou, URL atp. Tento typ testu je zejména vhodný pro případy simulace chování externího útočníka.

Gray box

Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti omezenou sadou informací o testovaných cílech, např. architektuře, technologiích a uživatelích a zároveň základní přístupy k testovaným cílům, např. na úrovni legitimního uživatele. Tento typ je zejména vhodný pro případ simulace chování interního útočníka s limitovanou sadou informací a uživatelskými oprávněními.

White box

Před realizací skenování zranitelností nebo penetračního testu disponují naši konzultanti veškerými dostupnými informacemi o testovaných cílech, např. plná dokumentace, zdrojové kódy aplikací atp. Zároveň disponují přístupem k testovaným systémům na úrovni privilegovaných uživatelů. Tento typ je zejména vhodný pro testování, kdy je potřeba identifikovat maximální množství zranitelností včetně těch, které není možné identifikovat v průběhu testování formou black box nebo gray box testů.

Používané metodiky a standardy

Metodiky pro bezpečností testování používané konzultanty společnosti Taylor McCoy jsou založeny zejména, nikoliv však výlučně, na níže uvedených metodikách, které se řadí do kategorie “best practice” pro různé typy bezpečnostního testování napříč různými sektory.

IEC 62443

Pro testování prostředí průmyslových sítí a řídících systémů využíváme rámce mezinárodních norem IEC řady 62443, a to především dvou dílčích norem 62443-1-1 a 62443-3-3.

Dílčí norma 62443-1-1-2007 Security for Industrial Automation and Control Systems Part 1-1: Terminology, Concepts, and Models je využita pro stanovení hlavních kategorií požadavků, do kterých jsou organizovány dílčí bezpečnostní testované vlastnosti.

OSSTMM

Naše testovací postupy (tedy včetně penetračních testů) jsme zlepšili pomocí uznávaného mezinárodního standardu OSSTMM – Open Source Security Testing Methodology Manual. Tato metodika byla vytvořena v Institute for Security and Open Methodologies – www.isecom.org a je neustále rozvíjena velkou skupinou profesionálních testerů a specialistů na bezpečnost informačních a komunikačních technologií (ICT).

NIST SP 800-115

Jako pomocnou metodiku pro organizování testování využíváme doporučení NIST SP 800-115 a to především pro části

posouzení bezpečnosti informací, včetně politik, rolí a odpovědností, využívaných metodik a technik
identifikaci cílů a jejich analýzu z hlediska potenciálních zranitelností včetně technik vyhledávání v síti a skenování zranitelností
ověřování existence zranitelných míst
koordinaci, hodnocení, analýzy a zpracování dat

CVSS v3

Aby bylo možné sledovat trendy ve vývoji bezpečnosti vašeho prostředí, zjištěné zranitelnosti jednotně hodnotíme podle významu. Pro tento účel využíváme metriky CVSS (Common Vulnerability Scoring System), která je průmyslovým standardem pro ohodnocování závažnosti zranitelností v informačních systémech. Na rozvoj této metriky CVSS dohlíží Forum of Incident Response and Security Teams (FIRST)..

Technologická partnerství

Taylor McCoy je partnerem společnosti Nozomi Networks.

Nozomi Networks, světová jednička ve svém oboru, se zabývá kybernetickou bezpečností v oblasti průmyslových sítí. Řešení Nozomi Networks poskytuje kompletní visualizaci prostředí a datového provozu uvnitř sítě. Za pomoci strojového učení (detekce anomálií) a rozsáhlé databáze signatur škodlivého softwaru, poskytuje ochranu před širokou škálou hrozeb, kterým toto prostředí musí čelit.

V nabídce máme kompletní portfolio tohoto výrobce – tedy hardwarová i virtuální řešení. Mezi zákazníky Nozomi Networks patří globální průmyslové a energetické společnosti.