开发关键基础设施防御方法的第一步
Miter Corporation发布的新知识库旨在帮助建立如何保护工业控制系统(IC)免受网络安全威胁的知识。
“ ATT&CK为ICS”已发布关键基础设施诸如电力分配和水管理系统已经成为民族国家参与者的敏感和宝贵目标。
就在上周,ICS安全公司Dragos发布了报告其中详细介绍了伊朗黑客对关键美国国家基础设施的新恶意活动。根据该报告,伊朗公寓一直在努力获得美国电网。
ICS漏洞可能会极大破坏,因为它们使黑客能够操纵物理世界。一个鲜明的例子是乌克兰电力电网的黑客入侵2015年,涉嫌与俄罗斯有联系的涉嫌黑客作品,导致冬季寒冷的停电广泛。
2017年底的另一次袭击是伊朗是主要嫌疑人,针对沙特油设施的安全控制系统。
“在过去的几年中,我们看到了诸如Industroyer之类的威胁,用于攻击乌克兰的电网;和特里顿(Triton)用来攻击沙特阿拉伯的石化综合体。”每日swbeplay2018官网ig。
“此类活动导致网络安全专业人员对ICS安全的兴趣日益增长;供应商,包括威胁情报供应商;以及整个政府。”
ICS的ATT&CK旨在建立准则和一种通用语言,以更好地理解,集中和传播有关恶意参与者在ICS领域的行为的知识。
工业控制系统为民族国家威胁参与者提供丰富的选择
基于先前的努力
ICS的ATT&CK建立了Miter原始的成功ATT&CK知识库,将对手策略和技术(ATT)映射到特定威胁的矩阵。
知识库使安全团队和威胁猎人能够更好地评估组织的风险。它还通过建立一种方法来揭示证据来回答诸如攻击者如何进入以及他们如何在组织网络内部转移诸如诸如攻击之类的问题,从而有助于副业后的调查。
自2015年发行以来,ATT&CK在网络安全社区变得非常流行。但是最初的ATT&CK专注于企业IT系统,这导致MITER开发ICS的ATT&CK。
“ ATT&CK的ICS主要关注对手对非IT基于非IT的系统的行动,” Alexander在A中解释博客文章概述了ICS的ATT&CK的发布。
与先前的发行版不同,对ICS的ATT&CK零对实体资产的安全,控制和监视的威胁有助于应对与数据破坏/操纵,拒绝服务和固件腐败有关的威胁。
亚历山大解释说:“这个知识库旨在支持那些经营美国一些最关键基础设施的人,包括能源传输,炼油厂和废水处理设施。”
“用于IC的ATT&CK建立在Miter Att&CK基础上,以系统地提高防御能力,并减轻影响财产或人类生命的灾难性失败。”
有关的Miter的CVE计划将20周年纪念日标记为注册安全漏洞Soar
奥斯汀·斯科特(Austin Scott),工业渗透测试Dragos的校长,将ICS的ATT&CK描述为“世界上第一个公开观察的工业对手威胁行为的百科全书”。
斯科特告诉Scott说:“在for IC的ATT&CK之前,您将不得不从众多来源收集所有公开和非公开报告,并创建一个数据集以了解工业对手景观。”每日swbeplay2018官网ig。
“在过去的两年中,米特(Miter)在幕后工作,以开发和仔细组织该数据集,以使各地的工业网络捍卫者受益。”
斯科特还说,使ATT&CK知识基础的独特之处在于其专注于威胁行为,而不是二进制签名和网络地址等指标。
“活动组更改IP地址,域名,文件哈希值和网络工件是微不足道的。
他说:“但是,改变战术,技术和程序(TTP)是挑战的。”
“更改TTP需要对新技术和再培训进行投资,这比获取新域名要昂贵且耗时得多。”
改进的空间
Marina Krotofil是一位经验丰富的ICS安全专业人员,也是ICS ATT&CK的几个贡献者之一每日swbeplay2018官网ig在书面评论中:“米特(Miter)手中的任务非常艰巨,在现有情况下,他们做了令人难以置信的工作。”
但是,Krotofil一直专门研究网络物理系统和ICS安全已有近十年的历史,但是,还有一些改进的余地。
当前版本的ATT&CK中包含的大多数技术来自网络层(例如,阻止命令/报告消息,拒绝服务,程序下载,操纵I/O映像)。
但是,这些技术本身并不能导致身体损害,并且需要与与操作技术系统的控制和物理层相关的其他技术补充。
此类技术的示例包括反应场所的变化,设备磨损,将系统锁定在陈旧数据中,利用跳过频率等等 - Krotofil在A中广泛讨论了这些技术在卡巴斯基ICS会议上谈话2019年12月。
Krotofil说:“迄今为止,我们还没有积累足够的系统知识来拥有来自物理和控制层的代表性技术池,尤其是在为这些ATT设计的防御措施时,”目前有活跃的研究领域。
“这一领域的进展对于确保在[工业安全计划的深入辩护)方面至关重要。”
MITER表示,ICS的ATT&CK目前正在进行中,并将依靠ICS安全从业者的贡献进一步发展。
亚历山大说:“我们选择在与一般ATT&CK网站分开的Wiki中为ICS启动ATT&CK,以使开发周期更加量身定制,以发布一个新的和非常不同的领域。”
“作为基于社区反馈的ICS的ATT&CK,我们将努力将其集成到[Main] ATT&CK网站中。”
