Тестирование на проникновение АСУ ТП
Целью тестирования на проникновение является проведение тестирования одного из следующих периметров:
- Аудит корпоративной сети предприятия (возможность перехода из корпоративной зоны в зону диспетчеризации).
- Анализ технологического периметра (возможность перехода из зоны диспетчеризации в зону исполнительных устройств).
Риски традиционных информационных имущественных объектов ориентированы на целостность, доступность и конфиденциальность. В отличие от традиционного тестирования на проникновение, исследование проводится с учетом актуальных для промышленной автоматики приоритетов (именно в такой последовательности):
- Доступность
- Целостность
- Конфиденциальность
Работы выполняются до выявления k-той уязвимости критичной/высокой степени риска (где k равен классу защищенности системы), или до исчерпания всех известных специалистам Исполнителя методик проведения тестирования.
- Cбор информации
- Инструментальный и ручной анализ защищенности серверной части приложений
- Инструментальный и ручной анализ защищенности веб-приложений и мобильных приложений. Указанные этапы работ проводятся в формате «черного ящика»
Методологии
-
01
Open Web Application Security Project (OWASP)
-
02
Open Source Security Testing Methodology Manual (OSSTMM)
-
03
Computer Forensics And Investigation Methodology (SANS Institute)
-
04
Приказ № 31 ФСТЭК
Результаты
-
Высокоуровневая экспертная оценка возможности вторжения злоумышленника с целью нарушения конфиденциальности, целостности или доступности информации, а также оценку последствий эксплуатации уязвимостей;
-
Техническая часть, содержащая детальные аналитические выводы, подробное описание выявленных уязвимостей, их классификацию, оценку по методологии CVSS, описание способов эксплуатации, а также результаты эксплуатации для наиболее критичных уязвимостей и рекомендации по их устранению