搜索
搜索

關于

/
/
ATT&CK又增一員: 首個針對工業控制系統的ATT&CK知識庫誕生!
全部分類

ATT&CK又增一員: 首個針對工業控制系統的ATT&CK知識庫誕生!

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-24 15:50
  • 訪問量:

【概要描述】

ATT&CK又增一員: 首個針對工業控制系統的ATT&CK知識庫誕生!

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2020-03-24 15:50
  • 訪問量:
詳情
 
“知己知彼,百戰不殆;不知彼而知己,一勝一負;不知彼不知己,每戰必殆?!?/span>
 
網絡安全信息戰中,亦是如此。近年來,工業控制系統面臨的安全形勢日益嚴峻,在網絡安全對抗中,攻與防實力的不對稱,導致防守方一直處于被動防御狀態。從國家層面來看,這種不對稱狀態很容易給國家級工業網絡安全造成難以估量的損失。安全防御如何“化被動為主動”,成為工控領域頂層設計的關注點。
 
2020年1月7日,MITRE組織正式在網站上公布了首個針對工業控制系統的ATT&CK知識庫—ATT&CK for ICS,該框架站在工業控制系統(ICS)網絡攻擊者的角度,將戰術劃分為11個階段,并歸納出81個不同的技術手段,不僅清晰展現了黑客的攻擊手法,更是為工業控制系統所屬企業/組織提供攻防的標尺,為網絡安全風險評估,建立網絡安全威脅模型,提高防御能力提供重要參考。
 
概述
 
MITRE是何方神圣?它是一家美國政府資助的非營利性研究機構,除協助進行多項網絡安全相關研究外,還參與FAA(Federal Aviation Administration 美工聯邦航空管理局)空中交通管制系統、AWACS(Airborne Warning and Control System美國空軍“空中警戒和控制系統”)機載雷達系統的系統建設。另外,該組織是運維CVE漏洞數據庫的支撐機構。MITRE在美國國家標準與技術研究所(NIST)的資助下從事了大量的網絡安全實踐。MITRE早在2015年就正式發布了ATT&CK模型,其全稱是Adversarial Tactics, Techniques, and Common Knowledge。該框架站在攻擊者的視角來描述攻擊中各階段用到的技術模型,應用于評估攻防能力覆蓋、APT情報分析、威脅狩獵及攻擊模擬等領域。
 
ATT&CK for ICS
 
 
ATT&CK for ICS知識庫專用于描述一個攻擊者在工控系統網絡內可能采取何種行動的視圖,清晰描述post-compromise攻擊者行為。
MITRE ATT&CK for ICS矩陣概述了ATT&CK for ICS知識庫中描述的戰術和技術,直觀地將攻擊技術與攻擊者所制定的戰術相對應。由于攻擊技術可作用于不同的目標,所以他們可以跨越多個戰術域。
 
--- ATT&CK for ICS矩陣---
 
 
 
工業控制系統的重要性
 
 
 
ICS包括數據采集與監視控制系統(SCADA)和其它控制系統配置,廣泛應用與各個行業,如電力、水和污水處理、石油和天然氣、交通運輸、化工、制藥、紙漿和造紙、食品和進料及離散制造(如汽車、航空航天和耐用品)等。
 
雖然ICS越來越多采用信息技術(IT)方案去提升企業系統的連接和遠程訪問能力,但他們仍保留著自身獨特的特性。ICS中的執行邏輯同現實世界是直接相連的,它控制著大量的執行機構改變、制造實物,不恰當的執行邏輯會帶來嚴重后果,不僅會帶來嚴重的財政影響,也會帶來重大人身安全風險和嚴重環境破壞,如產品損耗、人員傷害、國家經濟負面影響和專有信息泄露。而ATT&CK for ICS正是描述了那些試圖帶來這些不良后果的攻擊行為。
 
企業傳統網絡可以作為攻擊ICS網絡的入口點。ATT&CK for Enterprise描述了攻擊者在這些網絡中所采用的戰術、技術和過程(TTP),可以描述二級Purdue模型的攻擊TTPS。該級別可以全面詳細描述運行在Windows and Linux上的工業應用,我們認為此核心入口指向了ATT&CK for Enterprise 和ATT&CK for ICS之間的接口。
 
 
 
與ATT&CK for ICS相關的攻擊TTPS可歸為以下幾類:
 
> ICS網絡流量阻塞或延時,可能中斷ICS運行。
 
> 對指令或報警閾值的非授權修改,可能會損壞、失效或關閉設備,影響環境及危害人的生命。
 
> 發送給系統操作者的錯誤信息,偽裝未授權的變更,或使操作者產生不當操作,可能會帶來更大的負面影響。
 
> 修改ICS軟件或組態配置,或惡意軟件感染ICS軟件,可能會帶來更大的負面影響。
 
> 干擾設備保護系統的操作,可危害那些昂貴和難以替代的設備。
 
> 干擾安全系統的操作,可能危害人的生命。
 
與常規ATT&CK的不同點
 
 
 
> ATT&CK for ICS所關注攻擊者的首要目標,往往是通過攻擊ICS來破壞工業控制過程、損害性能、造成暫時或永久性傷害甚至死亡,在戰術層面,新增戰術類別“影響”來體現這些攻擊目標。
 
> ICS操作員需要使系統運行在一個安全、7*24小時的工作狀態,而這正是攻擊者的其中一個主要目標。新增的“抑制響應功能”戰術反映了攻擊者目標是讓操作員誤以為系統一切正常運行或執行錯誤操作。
 
> 數據的主要來源是可公開獲取的網絡事件報告,同時,學術界和眾多ICS聯盟發布的可信攻擊也被用來擴充ATT&CK for ICS內容。
 
> ICS網絡是一個異構多樣的環境,存在許多軟硬件平臺、應用、協議。由于這一點,ATT&CK for ICS技術不一定能適用于所有ICS資產,另外,增加了基于Purdue模型的“等級”和“資產”管理單元,用以幫助ICS使用者理解哪些技術和應用適用于他們的環境。
 
網御星云工業安全服務
 
 
 
作為網絡安全秩序的維護者,網御星云始終將工業互聯網安全業務作為公司重要的戰略之一,組建專業的工控安全服務團隊,更好地為用戶創造實際價值。在保持安全技術領先優勢的同時,致力于網絡安全新技術的研究和開發, 積極布局5G、物聯網和人工智能等新興領域的安全研究,探索工業網絡安全威脅與需求。
 
讀書分割線
 
通過長期在工業領域的耕耘,網御星云已在先進制造、電力、石油石化、煙草和軌道交通等行業積累了大量實踐經驗,具備完整的工控安全產品體系和成熟的工控安全解決方案,為用戶提供全方位、全天候、可信賴、面向能力生成的工業安全評估、漏洞挖掘、滲透測試和應急響應服務,賦能用戶網絡安全。
 
 

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网