1月7日,MITER发布了ATT&CK for ICS知识库,主要介绍了网络攻击者在攻击工业控制系统(ICS)时所使用的策略和技术,为关键基础设施和其他使用工业控制系统的组织评估网络风险提供了参考。
为什么是ICS?
首先,何为工业控制系统?它包括多种工业生产中使用的控制系统,监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),就已经广泛应用在工业部门和关键基础设施中。正因为工业控制系统往往涉及一个城市或国家的重要基础设施,比如电力、燃气、自来水等。一旦“中招”,后果非常严重。
2015年和2016年,乌克兰2次电网电力中断事件,给其带来了难以估量的损失。
澳大利亚安装了无线电控制的污水处理设备,却因安装公司的前雇员使用便携式计算机和无线电发射器导致泵站故障,造成污水溢出破坏水域,大量海洋生物被杀死。
可以说,工业控制系统牵一发而动全身,而随着网络空间的安全对抗逐渐激烈,关键基础设施成为攻击者主要瞄准对象,工控安全问题愈发严峻。在现有的用于企业系统的ATT&CK框架中,部分确实也是适用于工业控制系统的,但其完善性和针对性还不高。因此,整理ATT&CK for ICS知识库确实是当务之急。
ATT&CK for ICS
据了解,来自39个组织的100多名参与者都参与了调研,为ATT&CK for ICS知识库的建立提供了帮助。其中包括专注于ICS的网络情报和安全公司、工业产品制造商、国家实验室、研究机构、大学、信息共享和分析中心以及支持公共和私有关键基础架构的政府机构。
目前,ATT&Ck for ICS知识库涵盖了ATT&Ck for ICS技术框架、ICS威胁者使用的软件、威胁团体和资产四大维度。MITER已经罗列的有10个威胁团体,81种攻击技术,17个恶意软件家族和7种资产。
可以说,ATT&CK for ICS的建立区将ICS入侵与普通的企业IT入侵区分开来。首先针对目标:通过攻击工业控制系统来破坏工业控制流程,破坏财产或对人类造成暂时/永久性伤害或死亡的攻击者。其次,由于ICS系统操作员需要将系统保持在24/7的安全工作状态,并且是攻击者的主要目标。因此,在这个知识库中,着重介绍了ICS系统操作员常用专门应用程序和协议的特性,并且对手利用了这些特性来与物理设备进行交互。
ATT&CK for ICS技术框架作为整个知识库的核心,则提供了对ICS系统进行过攻击的威胁参与者相关的TTP概述。如图:
建立针对性的标准的语言,不仅能让资产所有者和维护者了解对手攻击工业控制系统的手段和技术,用来提升帮助其防御能力,对于安全从业人员进行事件报告,开发事件响应手册、确定防御优先级和发现漏洞等也都有着重要意义。
进入ATT&CK for ICS传送门,了解更多内容
*本文作者:kirazhou,转载请注明来自FreeBuf.COM