重要なインフラストラクチャに対してペンテスト（またはその他の非理論的なセキュリティ監査）を行うことは妥当ですか？

重要なシステムを扱うテストでは、通常、テストをリスクの低い操作に限定し、システムに害を及ぼす可能性のある自動化ツール（Nessusなど）を回避します。

重要なインフラストラクチャに固有の、私は次のように言います：

• 必要に応じて、需要の少ない場所でテストをスケジュールします。
• エンジニアやその他のサポートスタッフにテストを認識させ、問題をすばやく修正できるように待機させます。
• 可能な場合は、テスト中に追加の容量/冗長性が計画されていることを確認してください。
• テスターに​​、重大な障害、または応答しないシステムに対処する方法を詳しく説明した適切なアクションプランが与えられていることを確認してください。これには緊急連絡先を含める必要があります。

これにもかかわらず、常にリスクが存在します。それはあなたが対処しなければならないものであり、ある意味でそれは良いことです。テスターが低リスクのアクションのみを実行してオフラインで何かをノックすると、攻撃者はさらに悪い結果をもたらす可能性があることがわかります。計画されたテスト中に偶発的なシステムクラッシュが発生すると、悪意が原因で広範囲に及ぶクラッシュが発生することはありませんが、誰も予期していません。テストシナリオでそれを下げると、それに応じて計画を立て、適切な修正を行うことができます。

まあ、いいえ、重要なインフラストラクチャで破壊的なテストを実行することは「合理的」ではありません。これは定義によるものです。重要なインフラストラクチャは critical です。

計算しましょう（数学はかっこいいです）。侵入テストには、ある確率（できれば小さい）の確率があります p₁が適用されているサービスを中断します。また、確率 p₂可能性のある問題の検出と修正を可能にする p_３利用され、サービスの中断につながります。次に、侵入テストを適用するときの中断の確率は pです。₁ +（1-p₂）・p_３（ペンテストはすぐに物事を壊すか、穴を「見逃し」、攻撃者はとにかく成功します）。その値が pより大きい場合_３の場合、ライブの重要なシステムのペンテストは、害よりも害が大きく、実行してはなりません。

すべての一般論として、これがすべてです リスク分析 ：ペンテストの実行に伴うリスクと、ペンテストの実行に伴うリスクをしないでバランスさせる必要があります。上記のいくつかの数学的表記が示唆しているように思われるのとは対照的に、関連する確率は適切な精度で知ることができないため、結局のところ推測です。本当に覚えておかなければならないことは、可能な戦略の比較的大きなセットがあるということです：

• 稼働中の重要なシステムでペンテストを実行できます。
• ライブシステムのクローンのセットアップの費用を支払うことができます。これは、物理的に達成できるライブシステムと同じであり、そのシステムでペンテストを実行できます。
• ペンテストの大部分はライブシステムの大まかなエミュレーションで実行でき、ペンテスターと連携してペンテストアクションを分類できます。一部の場合、ライブシステムはエミュレーションのように動作する可能性がありますが、そうでない場合もあります。これはすでに興味深いことを明らかにしているかもしれません。
• また、まったく何もできません。それでもリスクは譲渡可能であり、保険のメカニズムを備えている場合があります（状況によって異なります。ビジネスは簡単に譲渡され、人間の生活はより困難になります）。

考慮すべき追加のポイントは、 attacks はリスクの1つのタイプにすぎないということです。他のタイプがあります。洪水、地震、火災、とにかく「重要なインフラストラクチャ」の多くを破壊する可能性があり、それらも考慮する必要があります。洪水に対処する一般的な方法は、どこかにバックアップインフラストラクチャを用意することです（「コールドサイト」、「ウォームサイト」、または「ホットサイト」、そのサイトのインストールが事前に完了した距離によって異なります）。場合によっては、このバックアップサイトはリスクのないペンテストに使用できます。

ホストをVMゲストに変換し、ゲストをオフサイトに移動して、別の場所でペンテストします。ファームウェアサンプルを収集して、Qemuで実行します。いくつかのDCS、PLC、RTU、またはスマートメーターデバイスを要求して研究室の目的で早期退職を余儀なくされました。