Industriële systemen pentest
Steeds vaker zijn industriële systemen gekoppeld aan het internet en uw bedrijfsnetwerken. Vaak hebben deze IACS (Industrial Automation and Control Systems) geen optimale beveiliging. Dit maakt ze tot een interessant doelwit voor hackers. Bovendien heeft een inbreuk of hack op uw systemen een grote potentiële impact. Met een pentest kunt u uw systemen beter beveiligen tegen deze risico’s. We vertellen u graag hoe het werkt.
Onvio wint KPN Pentest-competitie 2020!
Onvio wint Den Haag Hack-competitie 2019!
Onvio wint KPN Pentest-competitie 2018!
Onvio is ISO27001 gecertificeerd en lid van Cyberveilig Nederland.
Uw IACS en OT infrastructuur pentesten
Industrial Automation and Control Systems (IACS of ICS) en Operational Technology (OT) netwerken zijn kritieke infrastructuur. Onvio is gespecialiseerd in het uitvoeren van Pentesten binnen het IACS-domein. Veel industriële systemen hebben een levensloop van meerdere decennia. De wat oudere modellen zijn vaak ontworpen met de aanname dat deze systemen communiceren via kleine, dedicated netwerken; afgeschermd van het internet en beveiligd met dezelfde fysieke maatregelen als de fabriek zelf. Zelfs nieuwere systemen hebben soms nog software die is geschreven toen deze aannames nog juist waren.
Het risicolandschap verandert in rap tempo en IACS en OT is steeds vaker een doelwit. Hackers worden steeds geavanceerder en kunnen soms zelfs zonder directe verbinding op de verkeerde plaats terecht komen. Wij onderzoeken binnen uw omgeving o.a. ICS/IACS/SCADA, SIS, HVAC, communicatiesystemen, gateways en firewalls op kwetsbaarheden.
Welke soorten Pentesten zijn er?
Een Pentest wordt uitgevoerd op alle typen IT systemen waar veiligheid van belang is.
Bedrijfsnetwerk
Een Pentest gericht op uw bedrijfsnetwerk wijst uit of criminelen uw interne of externe (wifi)netwerk kunnen binnendringen. Ook wordt er onderzocht of (kwaadwillende) medewerkers of gasten ongewenst data kunnen compromitteren.
Bedrijfsnetwerk pentest(Web)applicaties
Webapplicaties en services zoals websites, financiële systemen en portals vormen dé toegangsdeur tot uw data en zelf uw interne infrastructuur. Een Pentest haalt kwetsbaarheden in deze webapplicaties naar boven.
Webapplicatie PentestMobiel Apps & API's
Mobiele Apps verwerken vaak gevoelige gegevens en zijn op verschillende manieren gekoppeld aan andere (web)services en API's. Een Pentest onderzoekt alle mogelijke aanvalsvectoren en koppelingen van de Mobiele Apps.
IACS en OT
Toets de veiligheid van uw Industriële Automatisering en Controle Systemen (IACS) en Operationele Technologie (OT) omgevingen met ICS/SCADA, SIS, HVAC, communicatiesystemen, gateways of firewalls op kwetsbaarheden.
Industriële systemen pentestAudits en assessments
Een Pentest is vaak een verplicht onderdeel van audits voor DigiD, BIO, ISAE of ISO27001. Een Pentest in het kader van een IT assessment is gericht op het voldoen aan normenkaders. Het rapport is direct bruikbaar voor een auditor.
Audits en Assessments PentestIOT & Hardware
IoT devices en de hardware worden steeds slimmer en vormen een toegangspunt tot uw infrastructuur. Ze verwerken data en zijn vaak gekoppeld aan API's. Een Pentest onderzoekt fysiek de hardware en alle software en netwerkmogelijkheden.
IoT & Hardware PentestRisico's en kwetsbaarheden binnen het IACS domein
Onvio brengt kwetsbaarheden binnen uw IACS en OT omgeving in kaart. Zo krijgt inzicht in onder andere:
- Het beveiligingsniveau van ICS/SCADA, SIS, HVAC, communicatiesystemen, gateways en firewalls.
- De mate waarin uw OT correct gescheiden is van uw KA of IT netwerken.
- Of u compliant met normenkaders zoals IEC 62443, BIO, of de ISO 27001.
- De consequenties van gevonden kwetsbaarheden.
- Een GAP-analyse.
- Welke mitigerende maatregelen getroffen kunnen worden.
Hoe we te werk gaan
Voor tests op industriële controle systemen worden gespecialiseerde hackers ingezet die kennis hebben van actuele dreigingen binnen het IACS landschap. We gaan op zoek naar kwetsbaarheden en risico’s binnen uw OT netwerk. Denk aan:
Verkenning en scans
Hoe ziet de infrastructuur eruit? Welke componenten en applicaties zijn er? We brengen alle componenten en risicogebieden in kaart.
Segmentatie van de OT
We onderzoeken zorgvuldig of uw OT netwerk op wat voor wijze dan ook te benaderen is, bijvoorbeeld via het KA of zwak geconfigureerde firewalls en switches.
Handmatig Pentesten
Onze IACS specialisten gaan handmatig op zoek naar kwetsbaarheden die zij uit kunnen buiten om OT systemen te compromitteren of of manipuleren.
De tools en methodieken die wij gebruiken zijn specifiek gericht op OT systemen en met de kwetsbaarheid van deze systemen in het achterhoofd. Daarnaast zijn veel apparaten van verschillende fabrikanten, of soms zelfs dezelfde fabrikant, niet compatibel met elkaar. Bovendien zijn potentiële neveneffecten van de tests veel ingrijpender dan bij een typisch corporate netwerk, met name wanneer het om een draaiende productieomgeving gaat.
Om met deze bijzonderheden rekening te houden vereisen tests op ICS of SCADA systemen over het algemeen extra planning en een toegespitste aanpak. We zetten hierbij onze ervaring met deze systemen in om op een veilige manier de pentest uit te voeren, zonder schade toe te brengen aan uw systemen of processen.
Rapportage en vervolg
Onze hackers leggen alle kwetsbaarheden en bijzonderheden die zij tegenkomen zorgvuldig vast. Hiervan ontvangt u een uitgebreid rapport met een hoog, midden en laag classificatie van de kwetsbaarheden, gekoppeld aan een risicomatrix. Zo krijgt u een duidelijk beeld van welke kwetsbaarheden het meeste risico opleveren en dus het beste als eerste opgepakt worden.
Daarnaast helpen onze specialisten u om de juiste mitigerende maatregelen te treffen.
Uw IACS en OT netwerken periodiek testen
Tot slot is het van belang om na te denken over de frequentie waarmee u pentesten laat uit voeren. In een jaar tijd kan er veel veranderen aan uw netwerk en raakt ook de gereedschapskist van hackers steeds voller.
Met periodieke (jaarlijkse) pentesten blijft u ongewenste of risicovolle situaties voor en kunt u vertrouwen op een veilig industrieel netwerk. Is uw bedrijf toe aan een jaarlijkse controle? Neem dan contact op met onze specialisten.