Методология

Способы безопасного тестирования критически значимых информационных систем

akhalin.jpgАлексей Халин

Существуют информационные системы, которые могут относиться к критически значимым ввиду специфики отрасли, технологий обработки информации, важности решаемых задач и других критериев. К таким системам, как правило, относятся системы, работающие в реальном времени, например автоматизированные системы управления технологическими процессами. Тестирование таких систем осложняется тем, что сбой в их работе может привести к колоссальному ущербу или даже к человеческим жертвам. Это подчеркивает важность обеспечения защиты информации в таких системах.

Перед выбором вида работ и их проведением необходимо выделить сегмент в сети, в котором установлено технологическое оборудование и настроена информационно-телекоммуникационная инфраструктура, обеспечивающая его работу. Границами такого сегмента должно являться сетевое оборудование (межсетевой экран, однонаправленный шлюз, коммутатор, маршрутизатор или другое сетевое устройство), отделяющее офисный сегмент сети от технологического сегмента. Для безопасного тестирования технологического сегмента рекомендуется проводить два этапа работ, которые можно выполнять одновременно:

  • тестирование на проникновение офисного сегмента сети c проверкой возможности получения доступа в технологический сегмент;
  • анализ защищенности технологического сегмента методом белого ящика или на киберполигоне.

На первом этапе специалисты по тестированию на проникновение тестируют сетевой периметр и офисный сегмент сети компании. Ввиду того, что офисный сегмент не является критически важным с точки зрения технологических процессов, его тестирование можно осуществлять любым методом: методом черного ящика, методом серого ящика или методом белого ящика.

На втором этапе проводится ручной анализ защищенности технологического сегмента. Чтобы исключить вероятность нарушения работы технологического оборудования, анализ необходимо проводить методом белого ящика или с использованием киберполигона.

На киберполигоне для анализа защищенности технологического оборудования используется копия реальной системы, на которой можно проводить любые проверки. Эти проверки покажут, какие привилегии в каких системах могут быть использованы для успешной атаки. Если на киберполигоне удалось определить критерии успешного взлома промышленного оборудования и показать возможные последствия для системы, то в рамках тестирования на проникновение уже не нужно проводить атаки на такое оборудование, достаточно продемонстрировать выполнение этих критериев. Они и будут свидетельствовать о возможности нанесения неприемлемого ущерба в случае реальной атаки.

Целью на обоих этапах тестирования будет сетевое оборудование, разграничивающее офисный и технологический сегменты сети.

Рисунок 1. Схема работ по оценке защищенности критически значимых информационных систем

Идея подхода заключается в том, что две команды тестировщиков (специалисты по тестированию на проникновение с одной стороны и специалисты по анализу защищенности технологического сегмента с другой), двигаясь навстречу друг другу, должны встретиться в целевой точке. Когда обе команды ее достигают, они объединяют информацию, полученную в ходе тестирования. Такой подход позволяет строить векторы атак на технологический сегмент из сети Интернет, не производя атак на расположенное там оборудование.