信息來源:FreeBuf
1月7日,MITER發(fā)布了ATT&CK for ICS知識庫,主要介紹了網(wǎng)絡攻擊者在攻擊工業(yè)控制系統(tǒng)(ICS)時所使用的策略和技術,為關鍵基礎設施和其他使用工業(yè)控制系統(tǒng)的組織評估網(wǎng)絡風險提供了參考。
為什么是ICS?
首先,何為工業(yè)控制系統(tǒng)?它包括多種工業(yè)生產(chǎn)中使用的控制系統(tǒng),監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)和其他較小的控制系統(tǒng),如可編程邏輯控制器(PLC),就已經(jīng)廣泛應用在工業(yè)部門和關鍵基礎設施中。正因為工業(yè)控制系統(tǒng)往往涉及一個城市或國家的重要基礎設施,比如電力、燃氣、自來水等。一旦“中招”,后果非常嚴重。
1、2015年和2016年,烏克蘭2次電網(wǎng)電力中斷事件,給其帶來了難以估量的損失。
2、澳大利亞安裝了無線電控制的污水處理設備,卻因安裝公司的前雇員使用便攜式計算機和無線電發(fā)射器導致泵站故障,造成污水溢出破壞水域,大量海洋生物被殺死。
可以說,工業(yè)控制系統(tǒng)牽一發(fā)而動全身,而隨著網(wǎng)絡空間的安全對抗逐漸激烈,關鍵基礎設施成為攻擊者主要瞄準對象,工控安全問題愈發(fā)嚴峻。在現(xiàn)有的用于企業(yè)系統(tǒng)的ATT&CK框架中,部分確實也是適用于工業(yè)控制系統(tǒng)的,但其完善性和針對性還不高。因此,整理ATT&CK for ICS知識庫確實是當務之急。
ATT&CK for ICS
據(jù)了解,來自39個組織的100多名參與者都參與了調(diào)研,為ATT&CK for ICS知識庫的建立提供了幫助。其中包括專注于ICS的網(wǎng)絡情報和安全公司、工業(yè)產(chǎn)品制造商、國家實驗室、研究機構、大學、信息共享和分析中心以及支持公共和私有關鍵基礎架構的政府機構。
目前,ATT&Ck for ICS知識庫涵蓋了ATT&Ck for ICS技術框架、ICS威脅者使用的軟件、威脅團體和資產(chǎn)四大維度。MITER已經(jīng)羅列的有10個威脅團體,81種攻擊技術,17個惡意軟件家族和7種資產(chǎn)。
可以說,ATT&CK for ICS的建立區(qū)將ICS入侵與普通的企業(yè)IT入侵區(qū)分開來。首先針對目標:通過攻擊工業(yè)控制系統(tǒng)來破壞工業(yè)控制流程,破壞財產(chǎn)或?qū)θ祟愒斐蓵簳r/永久性傷害或死亡的攻擊者。其次,由于ICS系統(tǒng)操作員需要將系統(tǒng)保持在24/7的安全工作狀態(tài),并且是攻擊者的主要目標。因此,在這個知識庫中,著重介紹了ICS系統(tǒng)操作員常用專門應用程序和協(xié)議的特性,并且對手利用了這些特性來與物理設備進行交互。
ATT&CK for ICS技術框架作為整個知識庫的核心,則提供了對ICS系統(tǒng)進行過攻擊的威脅參與者相關的TTP概述。如圖:
建立針對性的標準的語言,不僅能讓資產(chǎn)所有者和維護者了解對手攻擊工業(yè)控制系統(tǒng)的手段和技術,用來提升幫助其防御能力,對于安全從業(yè)人員進行事件報告,開發(fā)事件響應手冊、確定防御優(yōu)先級和發(fā)現(xiàn)漏洞等也都有著重要意義。