Skip to main content

Instalazioetako software industrialaren ebaluazioa eta hobekuntza

Proiektuaren azalpena

Kontrol industrialeko sistemak, ekoizpenaren kontrola eta abar kudeatzen dituen softwarea ez da garatu, oro har, segurtasun-neurriak diseinutik aplikatuz; horregatik, oso ohikoa da gabezia asko izatea, hirugarren erasotzaile baten aurrean oso kaltebera egiten dutenak.

Batzuetan, softwarearen antzinatasunagatik, edo enpresa hornitzaileek garapen seguruko sistemetara ez egokitzeagatik, egia da ez dela ohikoa garapen seguruko frameworkak erabiltzea kalteberatasun klasikoen aurkako (SQL Injection, Cross Site Scripting, etab.) neurriak inplementatzeko, baita fuzing, DoS, eta abarretan oinarritutako erasoen aurkako neurriak ere.

Mota honetako proiektuen eremuan, jarduera hauek egin daitezke:

  • Industria-eremuko softwarearen/sistemen aurkako kalteberatasunen analisia egitea.
  • Sarearen beraren eremuan sistemen eskuragarritasuna eta osotasuna ebaluatzeko probak egitea.
  • Programen iturburu-kodea berrikustea eta ikuskatzea, softwarean bertan dauden oinarrizko gabeziak identifi

Zalantzarik gabe, baimendu gabeko hirugarren batek industria-prozesuak gobernatzen eta erabiltzen dituzten sistemak konprometitzeak oso inpaktu larria izan dezake enpresan; horregatik, softwarearen zibersegurtasuna bermatzea –nahiz eta batzuetan konplexua izan– hobekuntza-neurri garrantzitsua da zibersegurtasunaren arloan.

Nabarmendu behar da softwarearen zibersegurtasunaren hobekuntza oso lotuta egongo dela software-hornitzailearen beraren gaitasunei, seguru asko. Alde horretatik, eta ezin direnez adabakiak edo eguneratzeak garatu eta/edo aplikatu, bestelako konpentsazio-neurri batzuk (edo virtual-patching) planteatu beharko dira.

Helburuak

ONURAK

Proiektu honek helburu hauek lortu nahi ditu:

Izaera industrialeko aplikazioen segurtasuna aztertzea eta baimendu gabeko sarbideen aurka duten arrisku maila zehaztea.

Softwareari lotuta dagoen industria-prozesuaren kritikotasunari egokitutako babes-maila izateko hedatu beharreko neurriak ebaluatzea eta ezartzea.

Onurak

Hauek izango lirateke proiektua martxan jartzeak ekarriko lituzkeen onurak:

Industria-prozesuen jarraipena bermatzen laguntzea eragiten dituen softwarea sekurizatuz.

Zibermehatxuen aurkako erresilientzia-maila hobetzea.

Industria-inguruneko softwarearen esposizio-maila eta kalteberatasunak identifikatzea.

Softwarearen esparruan industria-prozesuen jarraipena bermatzeko hedatu beharko liratekeen neurriak zehaztea.

Proiektuaren exekuzioa hobetzen duen zibersegurtasunaren dimentsioak

PROIEKTUAREN EXEKUZIOA HOBETZEN DUEN ZIBERSEGURTASUNAREN DIMENTSIOAK

Estimatutako exekuzio-denbora

Horrelako proiektuak exekutatzeko aurreikusitako denborak orientazio gisa bakarrik adierazten dira.

ESTIMATUTAKO EXEKUZIO-DENBORA

Enpresa eskatzaileen baliabideen dedikazio-eskakizunak

ENPRESA ESKATZAILEEN BALIABIDEEN DEDIKAZIO-ESKAKIZUNAK

Jardunbide egokiak proiektua exekutatzean

Horrelako proiektuak behar bezala gauzatzeko, alderdi hauek hartu behar dira kontuan:

  • Ordutegi-leihoak ezartzea testak egiteko: erakundeak egokitzat jotzen badu, testak exekutatzeko ordutegi-leihoak definitu behar dira; hala ere, kontuan hartu behar da benetako erasotzaile batek ez duela ordu-mugarik eraso bat egiteko.
  • Iturburu-kodearen atzigarritasuna: batzuetan ezin izango da atzitu aplikazioen iturburu-kodea; beraz, ezin izango da mota horretako auditoretzarik egin.
  • Segurtasun-hutsegiteak software-hornitzaileei jakinaraztea: segurtasun-arrakalak identifikatzen diren neurrian, hornitzaileari komunikatu beharko litzaizkioke lehenbailehen konpon ditzan, bai gure enpresaren ingurunerako, bai hirugarrenen gainerako instalazioetarako. Alde horretatik, garrantzitsua da hornitzaileak horrelako gertaeren aurrean emandako erantzuna ebaluatzea, hedatu beharreko neurrien kritikotasuna kontuan hartuta.

Lotutako zerbitzuak

  • Hacking Etikoan espezializatutako eta industria-inguruneari eta -teknologiari buruzko ezagutza duen lantalde baten aholkularitza-zerbitzuak.
  • Softwarearen garapenari aplikatutako zibersegurtasunaren ezagutza aurreratuak dituen pertsonal espezializatuaren aholkularitza-zerbitzuak.

Lotutako beste proiektu batzuk

  • Industria-sareetan arkitektura seguruak diseinatzea eta ezartzea.
  • Estandarren jardunbide egokiak ezartzea.

Zibersegurtasun industrialeko laguntzen programako proiektu diruz lagungarriaren arloa

  • Industria-softwarearen zibersegurtasuna ebaluatzea ekoizpen-instalazioetan eta hura hobetzea.

Zerbitzuen edo produktuen enpresa hornitzailearen profila

Mota honetako proiektuetan sartutako zerbitzuak emateko gaitasuna duten enpresak, “Euskadiko Zibersegurtasunaren Liburu Zuria”n erregistratuta daudenak, kategorizazio honetan sartuta daudenak dira:

Gaitasuna Konponbidearen kategoria Produktu- / zerbitzu-multzoa
BABESTEA Mantentzea Intrusio-testa / Red Teaming
Informazioa babesteko prozesuak eta
prozedurak
Static Application Security Testing (SAST)

Aplikazioen segurtasuna