PRUEBAS DE SCADA Y SISTEMAS DE CONTROL INDUSTRIAL (ICS)

¿Cómo podemos ayudarlo?

LRQA Nettitude puede proporcionar pruebas de penetración y evaluaciones de seguridad exhaustivas para sistemas de control industrial, incluida la prueba apropiadamente cautelosa de entornos de producción en vivo si es necesario. Nuestro enfoque lo ayudará a usted y a su organización a investigar y responder las siguientes preguntas cruciales:

Si necesita proporcionar un nivel de garantía a su junta directiva, clientes, industria o reguladores de que sus sistemas han sido probados para detectar debilidades de ciberseguridad, entonces algún tipo de ejercicio de garantía es un elemento esencial de su proceso de gobernanza de riesgos.

¿En qué consisten las pruebas de seguridad de SCADA e ICS?

Los sistemas de control industrial pueden ser probados con muchas de las mismas técnicas que otros tipos de sistemas, pero también hay diferencias importantes:

• Las herramientas que se utilizan para probar servidores y estaciones de trabajo basadas en Windows a menudo no son adecuadas para probar dispositivos de control integrados como PLC.
• Los dispositivos de diferentes fabricantes, e incluso del mismo fabricante, a menudo no son compatibles entre sí. También existen una serie de protocolos de red de control incompatibles en uso generalizado.
• Si las pruebas tienen efectos secundarios, estos son potencialmente mucho más graves que en una red corporativa típica, especialmente en el caso de un entorno de producción en vivo.

Para acomodar estas diferencias, las pruebas de ICS / SCADA requieren más planificación y un enfoque más adaptado que otros tipos de pruebas de seguridad. Las empresas de seguridad sin experiencia en pruebas de ICS / SCADA es poco probable que logren resultados valiosos, y podrían potencialmente causar un grave daño a sus sistemas si no están al tanto de los riesgos.

¿Por qué se necesita la prueba de seguridad?

Los sistemas de control industrial están en riesgo en el entorno de amenazas moderno si no están adecuadamente asegurados. Los principales impulsores empresariales para gestionar eficazmente este riesgo incluyen:

• Proteger la gran inversión de capital que representan ellos y el equipo que controlan.
• Asegurar la continuidad del negocio, para evitar los costos directos e indirectos que resultarían de cualquier pérdida de producción.

La prueba de seguridad es un componente importante de este proceso:

• Puede utilizarse para dirigir los recursos hacia aspectos del sistema donde el riesgo es mayor.
• Puede utilizarse como herramienta de validación para comprobar si un sistema ha sido adecuadamente asegurado.

Por ejemplo, el escaneo de puertos generalmente se considera un método de prueba de bajo riesgo, y los hosts de la red no deberían fallar cuando se exponen a él. Sin embargo, se sabe que algunos tipos de controladores lógicos programables hacen exactamente eso. Si es necesario, LRQA Nettitude puede mitigar el riesgo de este tipo realizando pruebas de seguridad previas contra los modelos de dispositivo específicos que están conectados a la red en prueba.

Se pueden necesitar decisiones difíciles para lograr los mejores resultados, pero no hacer nada no es una opción segura. No desea que la primera prueba de sus sistemas de control sea realizada por un atacante que tenga la intención de dañarlos.

¿Por qué LRQA Nettitude?

LRQA Nettitude ha realizado pruebas de sistemas de control industrial (ICS) / SCADA en múltiples sectores industriales:

• Servicios públicos (electricidad, gas, agua)
• Fabricación y eliminación de residuos

Esto ha incluido sistemas en una variedad de estados de operación diferentes, que van desde sistemas en vivo donde se ha necesitado gran cuidado, hasta aquellos donde se ha permitido una prueba de penetración exhaustiva.

Además, LRQA Nettitude ha iniciado recientemente un programa de investigación de vulnerabilidades contra dispositivos ICS como PLC y está llevando a cabo un proyecto de investigación conjunto con la Universidad de Lancaster sobre cómo la conectividad hacia arriba y hacia abajo de la cadena de suministro afecta la seguridad de los ICS.

Más en general, LRQA Nettitude realiza más de mil pruebas de penetración y evaluaciones
de seguridad cada año en aplicaciones de software, productos y entornos. Estas
incluyen aplicaciones web, aplicaciones móviles y dispositivos de hardware,
aplicaciones de software, compromisos de ingeniería social, inalámbricos y muchas
otras áreas.

Además, realizamos cientos de evaluaciones de seguridad y auditorías de sistemas y entornos contra una variedad de normas de la industria, incluyendo NCSC, PCI (DSS y PA-DSS), ISO27001, Finanzas/Banca (Reino Unido y Estados Unidos), SANS Critical Controls, NIST y estándares de atención médica de Estados Unidos.

LRQA Nettitude ha realizado investigaciones y pruebas exhaustivas de tabletas y teléfonos móviles de consumo lanzados en la calle (tanto a nivel de hardware como de sistema operativo/aplicación), sistemas bancarios como cajeros automáticos y dispositivos de pago con tarjeta, módulos de seguridad de hardware (HMS), aplicaciones de pago y muchos otros tipos de sistemas móviles y de usuario final donde se ha utilizado información confidencial.

LRQA Nettitude está certificado por el Consejo de Normas de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) para realizar evaluaciones del Estándar de Seguridad de Datos de Aplicaciones de Pago (PA DSS) en aplicaciones de pago autorizadas y realiza evaluaciones regulares durante todo el año.

LRQA Nettitude es líder mundial en la entrega de pruebas de seguridad cibernética, gestión de riesgos, consultoría, respuesta a incidentes y servicios de inteligencia de amenazas. Proporcionamos a nuestros clientes servicios de pruebas de penetración de infraestructura, aplicaciones, móviles e ingeniería social.