近日,MITRE 官方发布了首个针对工控系统的 ATT&CK 知识库 (详细请参考:https://collaborate.mitre.org/attackics),其中介绍了网络攻击者在攻击 ICS 时使用的战术和技术,该 ICS 知识库覆盖了美国一些最关键的基础设施,包括能源传输和分配厂、炼油厂、废水处理设施、运输系统等。
ATT&CK for ICS 工控系统知识库建立在全球可访问的、免费的 MITER ATT&CK 知识库的基础上,该知识库已被世界各地成熟的网络安全团队广泛采用,以了解对手的行为和交易技巧并系统地提高防御能力。
MITRE负责 ICS 网络安全的首席网络安全工程师 Otis Alexander 表示:
资产所有者和保护者希望了解攻击对手用来渗透和破坏工业控制系统的商业手段和技术,以帮助其防御。顾问们可能会试图通过破坏工业流程来中断关键服务的交付。他们还可能试图对设备造成物理损坏。借助 MITER ATT&CK for ICS,我们可以帮助减轻影响财产或人类生命的灾难性故障。
对ICS系统的威胁
ICS 系统最近面临的威胁包括乌克兰电网的网络攻击,该攻击在 2015 年和 2016 年短期内关闭了电源。2017 年的 NotPetya 行动对乌克兰的能源公司以及机场、银行、其他主要公司造成了约 100 亿美元的损失。
其他例子包括一家公司的前雇员,该公司在澳大利亚安装了无线电控制的污水处理设备,他使用便携式计算机和无线电发射器导致泵站故障,使超过 200,000 加仑的污水溢出到公园、水道和度假胜地内,杀死海洋生物,破坏水域并制造恶臭。
现有的用于企业IT系统的 ATT&CK 知识库的某些方面适用于 ICS,并且在许多情况下,有助于找到 ICS 系统的攻击切入点。
ATT&CK for ICS工控知识库的关注点
ATT&CK for ICS 添加了在 ICS 环境中使用的恶意行为。它强调了 ICS 系统操作员通常使用的专门应用程序和协议的独特性,这也是攻击者与物理设备进行交互的 “语境”。
工控系统知识库为安全团队提供多个重要功能,包括帮助建立一种标准的语言,供安全从业人员在报告事件时使用。凭借在该领域的专业知识,它还可以帮助开发事件响应手册,确定防御的优先级以及发现漏洞、报告威胁情报、分析师培训和发展以及在演习中模拟对手。
Dragos 的首席 ICS 安全分析师 Austin Scott 表示:
ICS 的 ATT&CK 揭示了针对工业控制系统环境的对手的独特威胁行为。我们了解 ICS 威胁行为在有效的网络安全策略中所起的至关重要的作用。对于一线ICS网络防御者来说,这是一个巨大的胜利,他们现在有了一个通用词汇表,可以对ICS特定技术进行分类,以支持报告和进一步分析。
在启动之前,来自 39 个组织的 100 多名参与者进行了审查,提供了意见,或为 ATT&CK for ICS 做出了贡献。这些组织由广泛的私有和公共实体组成,包括专注于 ICS 的网络情报和安全公司、工业产品制造商、国家实验室、研究机构、大学、信息共享和分析中心以及支持公共和私有关键基础架构的政府机构。
FireEye 首席安全架构师 Christopher Glyer 表示:
ATT&CK 框架有助于网络防御团队编纂描述网络攻击词典。ICS ATT&CK 框架创建了一个论坛,以帮助人们了解 ICS 入侵与企业 IT 入侵之间的区别,并使 ICS 运营和安全团队能够更好地保护这些关键任务系统。
相关阅读
