IZENA Produktuaren zibersegurtasunaren ebaluazio laborategia
Honako helburu hauek dituen zibersegurtasuneko laborategia: - Industria-osagaiak egiaztatzea, baliozkotzea eta ebaluatzea. - Aurre-homologazioa eta laguntza produktuen ziurtapenean. - Zibersegurtasun industrialaren erakusleak. Ekipamendu espezializatuak hainbat test-modalitate ditu, industria-zibersegurtasunaren erreferentziazko araudietako baldintzak betetzeko: - Sarbide-testa. - Komunikazioen sendotasun-testa. - Segurtasun funtzionala ebaluatzea. - Inplementazio-testa.
Aplikazio-eremuak
Aktiboen babesa
Erasoen detekzioa
Mehatxu eta arriskuen identifikazioa
EKIPO ETA OSAGAI GARRANTZITSUENAK
- Equipamiento de test de implementación (Riscure)
- Equipamiento de test de robustez de comunicacione
- Infraestructura PKI sobre Hardware Security Modul
- IoT Lab y Blockchain
AKTIBOAK ESKAINTZEN DITUEN ZERBITZUAK
Ahultasun eta sartze probak
Ahultasunen probak dira aztertzen diren produktu edo sistemetan ahultasunak identifikatzera zuzendutako proben exekuzioak. Kutxa beltzeko proba modura plantea daitezke. Horien bitartez, kanpoko interfazeetatik eta produktuaren diseinuaren eta inplementazioaren xehetasunak ezagutu gabe, produktuaren ahultasun ezagunak antzeman nahi dira (diseinuagatik ez-seguruak diren atakak edo zerbitzuak, protokoloen bertsio edo konfigurazio ez-seguruak, eta abar). Proba horiek egiteko laguntza tresnak Nmap eta Nessus dira. Sartze probak osagai edo sistemari egiten zaizkion eraso etikoak dira, bere konfidentzialtasuna, integritatea edota eskuragarritasuna arriskuan jartzeko baliatuak izan daitezkeen ahultasunak aurkitzeko xedearekin. Proba horien helburua da ezarrita dauden zibersegurtasun neurriak haustea, eta kutxa beltzeko proba modura planteatzen dira. Horiek egiteko erasotzailearen rola hartzen da, gailuaren informazio publiko guztia baliatuko lukeena ahultasunetako bat edo batzuk ustiatzen saiatzeko. Proba horiek egiteko laguntza tresnak Nessus eta Metasploit dira.
Inplementazio probak
Inplementazio proba osagai elektronikoen alderantzizko ingeniaritza egitea da nagusiki, hainbat teknikatatik abiatuta, honako hauek batez ere: - Side channel: osagaiaren inplementazio fisikotik ondorioztatutako interfazeen bidez informazioa aztertzea da (kontsumoa, erradiazio elektromagnetikoa, soinua, eta abar). - Fault injection: gailua manipulatzea da, bere funtzionamendu ohikotik aldentzeko (tentsioa, erlojuaren seinalea, pultsu elektromagnetikoak, eta abar). Teknika hauen bitartez eskuratutako informazioa ekipamendu espezializatu bat erabiliz prozesatzen da. Emaitzak ahalbidetzen du gailuaren informazio sentikorra eskuratzea (esate baterako gako kriptografikoak) eta inplementaziotik ondorioztatutako balizko ahultasunak antzematea. Proba hauek egiteko laguntza tresna SCA (Side Channel Analysis) estazioa da, Riscure fabrikatzailearena.
Komunikazioen sendotasun probak
Proba hauen xedea da produktuaren komunikazio interfazeak mezu okerrekin edo gaizki osatutakoekin saturatzea, bere sendotasuna egiaztatzeko helburuaz. Injektatutako mezu horiek teknika ezberdinen bidez sortzen dira (fuzzing, grammars, storms), eta komunikazio industrialeko protokolo ezberdinen bilbeak osatzeko posible diren konbinaketa guztien espektro zabalera iristeko aukera ematen dute. Produktuen komunikazioen sendotasuna egiaztatzeaz gain, proba hauek ezagutzen ez ziren ahultasun berriak antzematea ahalbidetzen dute, behatutako portaeraren analisiaren ondorioz. Proba hauek egiteko laguntza tresna Achilles da, GE Digital fabrikatzailearena. Tresna hori ISA Secure ziurtatze eskeman aitortuta dago, eta komunikazio industrialeko protokolo ugarirako balio du (Ethernet, TCP/IP, UDP, Foundation Fielbus (FF-HSE), MMS (IEC 61850/ICCP), Modbus TCP/IP, OPC UA, PROFINET IO, DNP3, SES-92, ZigBee SE (802.15.4), ICMP, ARP, Link State, OPC (VCS bidez), Heartbeat).
PKI azpiegitura: Ziurtagiri digitalen kudeaketa
PKI (Public Key Infrastructure) azpiegitura batek ahalbidetzen du bi alderen artean komunikazio ziberseguruak ezartzeko erabiltzen diren ziurtagiri digitalen bizitza zikloa kudeatzea. Ziurtagiri horiek erabil daitezke, besteak beste, erabiltzaileen identifikazioa eta autentifikazioa bermatzeko, edo trukatzen den informazioaren integritatea ziurtatzeko, eta bereziki baliagarriak dira komunikazioa egiten denean aldez aurretik elkar ezagutzen ez duten bi alderen artean. Zerbitzu hori gaur egun onartuta dauden praktika onenen arabera hedatu ahal izateko, horretarako espresuki erabiltzen den HSM (Hardware Security Module) hardwarea eskuragarri dago, nCipher fabrikatzailearena. Konfiantzazko erroa sortzeko erabiltzen da, gaur egun bermerik handienak eskaintzen dituzten kriptografia teknikak baliatuz, eta horrela IEC 62443 estandarraren arabera zibersegurtasun mailarik altuenak lor daitezke.
Produktuaren ziurtapena
Zibersegurtasun eskakizunak dituzten produktu edo sistemak garatu, baliozkotu eta ziurtatzeko zerbitzu integrala, nagusitzen ari diren arautegiekin bat (IEC 62443). Gure ikertzaileen ezagutzak eta gure laborategiaren ekipamenduak ahalbidetzen dute produktu industrialen garapen zibersegurua egitea, eta ondoren baliozkotu ahal izatea proba mota ezberdinen bidez (ahultasun eta sartze probak, komunikazioen sendotasun probak, inplementazio probak, segurtasun funtzionalaren probak). Jarduera horiek balio dute produktuen aurretiko homologazioa egiteko, eta erreferentzia modura erabiltzen dira enpresei laguntzen zaienean entitate akreditatuekin egin beharreko ziurtatze prozesuan.
Segurtasun funtzionaleko probak
Proba hauen xedea da zibersegurtasun eskakizunak ondo ezarri direla egiaztatzea, eta zibersegurtasun arriskuen azterketan antzemandako mehatxuen aurka ezarri diren neurriak ebaluatzea. Azken finean, ezarritako zibersegurtasun neurrien errendimendua, zuzentasuna eta sendotasuna egiaztatzea ahalbidetzen dute. Proba hauek ikuskaritza modura plantea daitezke, IEC 62443-4-2 estandarraren araberako zibersegurtasun eskakizunak zuzenki inplementatu diren egiaztatzeko.
AKTIBOA KUDEATZEN DUEN ERAKUNDEA
Harremanetarako pertsona:
Jose Luis Montero Bouza
jlmontero@ikerlan.es