作为今年来最体系化的安全框架,MITRE 的企业 ATT&CK 已经覆盖了针对企业的各种攻击手法,但怎么支持日益严峻的工控系统(ICS)安全,外界一直在等待 MITRE。我们从刚结束的 ATT&CK CON 大会上了解到,本月即将发布的 ICS ATT&CK,会是一个新框架,而不是类似云安全,简单地扩充企业 ATT&CK 的攻击技术(Technique)。因为黑客攻击工控系统,往往意图造成物理破坏,和为了窃取数据而入侵企业网络不同,会使用新的攻击战术(Tactics),比如抑制响应、损害过程控制等等,进一步还会使用各种新攻击技术。这些战术加技术的组合,和企业 ATT&CK 统计的矩阵差异过大,导致官方决定设计一个新框架。当然,两框架之间会有一些关联和映射,合成一套全面的安全框架。检测这些攻击技术,需要密切整合运维数据,分析物联网设备的监控指标定位各种攻击技术。数据源的差别,也是 ICS ATT&CK 和企业 ATT&CK 框架的另一个不同之处。
——译者
演讲者:Otis Alexander,首席网络安全工程师,MITRE
下面是大会上此议题的详细翻译稿:
我将对 ATT&CK for ICS 模型更新做个简要说明,谈谈我常被问到的一些典型问题。为什么要推出 ATT&CK for ICS?该模型如何融入其他框架?都有哪些用例?当然,还有这个模型什么时候可用?首先,为什么要推出 ATT&CK for ICS?
我们可以从两个不同角度思考这个问题。
ICS,也就是工业控制系统,是世界上大多数关键基础设施的底层支撑。这本身就是一个原因。要了解对手如何影响新的系统。
另一个原因就是资产拥有者和防御者真的很想深入了解对手如何影响新系统,他们想了解这个行当,想知道他们使用的技术,还想用这些知识帮助知会自己的防御。
另外,对手在这些环境中有独特的行为。他们的环境本来就很独特。我会讲到我们必须考虑的一些事项。
独特的对手目标。对手在这一领域试图达成的目标之一,是中断伴随工业过程的一些服务交付。或许还想对设备造成实体破坏,这方面也很重要。而我们确实不想看到的,就是真正灾难性的故障,引发人身财物损失的那些事。于是不得不考虑的其他一些事项,是 ICS 和可能在 ICS 中出现的传统 IT 系统之间的技术差异。
另外还有直接对接大型设备以运行工业过程的控制器之类的。还有专用应用和专用协议,这些东西随时参考工业控制系统状态,可以对系统做出更改。这些都是需要考虑的重要事项。
然后,防御这些系统的方法也很多样。我们在这一领域还不够成熟。于是,我们需要哪些数据源来防御这些系统?从哪儿收集这些数据?如果面对的是低级和较好的控制器,它们可没有同样的接口来收集后期信息。我们还必须考虑协议问题。还想强调的是,考虑缓解或安全控制措施时,并不想这些措施影响到安全,也不想制造问题。
所以,真的有很多特别的考量。这正是为什么我们想要ATT&CK for ICS 的原因所在。基本上,考虑工业控制系统的时候,我们不得不从资产拥有者或运营商的角度思考,考虑他们的系统全貌是怎样的。
下图是资产拥有者的系统功能层级展示。
里面包含了一般称之为总部或中心之类的东西,比如企业系统、高级运营管理。然后就是运营技术 (OT) 或者工业控制系统了。这一层级有监控、一些远程查看和控制系统的途径,还有直接交互设备的本地控制。惯常的对手行为基本都是围绕整个模型展开。
对手并不总是切入监控或底层系统,他们有时候,或者说大部分时候都是由上至下从企业系统侵入的。IT 实际上贯穿整个模型,从企业系统直通底层基础控制(就是有时候会有嵌入式 Windows 之类东西的地方)。
这就是企业攻击真正开始的地方,因为解释了对手经由 IT 或企业系统进来的入口点。该模型还解释了对手触及基本控制,或进入工业控制系统中所需位置的 IT 管道。但我们也不能忘记对手在底层的特殊目标,不能忘记他们真正想要做到的事情。
我们不能忘记那些独特协议的存在,不能忘了底层有些很特殊的平台,有交互设备的嵌入式系统,也不能忘了运营商使用的那些专用应用。这就是 ATT&CK for ICS 真正起效的地方。这个模型的重点就在于完整描绘对手的行为——从企业系统一直到底层系统。我们正在做的就是试图真正弄清两个模型之间的接口。我们已经有了一些解决方案,但我们试图加以校准和改进,以便能完全看透这些系统中的对手行为。
那么,我们有些什么用例呢?
我们有一些正在开发和利用中的当前用例,还有要考虑的未来用例。基本上,我们使用的大量用例与企业相同,标准化信息报告就是其中一大用例。
我们有太多以不同形式针对同一事件的报告。有时候很难分辨哪些漏掉了而哪些又是通用的。所以,如果有一个查阅这些报告的标准语言,或者安全从业者使用标准语言报告的话,对社区会有所帮助。
我们也有很多用例围绕分析,使分析师能发挥更大效能。这某种程度上是个新领域。说起 OTSox,他们太难找到具备该领域专业技能的人了。而 ATT&CK for ICS 可以帮助他们干好自己的工作。关键就是时间和事件响应战术手册、分析发展、分析师培训。
我们还利用对手模拟或基于威胁的红队和测试 BET 环境,以更好地理解对手留下的痕迹,了解我们的防御强度等等。
另一个用例是关键性分析。这样我们在考虑工业控制系统时,就可以更好地理解资产和功能关联任务的程度,了解利用特定战术、技术和流程的对手是怎么妨碍这些功能和资产的。我们可以更好地获悉环境中什么东西是影响任务执行而需要我们关注的。
我们特别感兴趣的一个未来用例是设计阶段威胁建模,所以我们一直在与设备制造商沟通。他们的关键需求和 ATT&CK for ICS 用途之一,就是帮助未经培训的工程师理解在底层嵌入式控制器设计过程中添加功能的后果。这样他们就能知晓会打开哪些攻击途径、TTP 关联到哪儿、有哪些缓解和安全控制可用于解决这些问题。
下面我们来谈谈挑战。
此框架的使用和建立都遇到了很多挑战,其中之一是缺乏现实世界数据。有些真的很棒的东西在那儿,有些我们可以用来发展此框架的详细信息。但基本上,我们没停电,也没停水,一切看起来都很稳定,似乎没多少事件发生。
这背后的原因很多。可能确实风平浪静,也可能是我们缺乏可见性而根本不知道有事件发生。或者我们的根源分析真的很糟糕。什么东西实际上是攻击而被我们当成了故障或人为失误?或者可能我们仅仅是真的信息共享不良。或者我们就没有任何动力共享信息。
我们希望这个针对 ICS 的 ATT&CK 模型有助于改善这种情况,让人们更多地分享在自身环境中看到的东西,并开始考虑这些环境中的可见性,以便可以切实捕获事件。
另外还有个重要的方面是处理多个领域时抽象到什么程度才合适。电网、供水系统、石油和天然气……各种技术应在哪个层级才能跨不同领域最佳阐释对手行为?还有协议和厂商多样化问题。
我们怎样找出恰当的抽象层?关于这一点,我们一直在听取各方反馈,寻求帮助以解决问题。
接下来是范围问题。
我们只关注对手和他们在某些领域的所作所为吗?我们将之扩展到思考该 TTP 如何影响其他不同领域吗?我们纵观整个一般意义上的网络-实体系统领域吗?影响实体世界的任意网络元素,我们要延伸到这么远吗?或者,我们就限定个范围,然后不断精进?
这些都是我们在做这个框架的时候思考过、处理过的问题。
我们收到了很多很好的反馈,这些反馈对我们的战术发展帮助良多。我们已经纳入了一些对描述对手行为非常重要的新战术类别。
初始接入就是其中之一。我们想要知道对手是怎么进入 OT 环境的。我们想要知道他们是怎么阻碍响应职能的。这就涉及到安全、防护、质保等等,因为这些都是应该设置来阻止坏事发生的防护机制。
接下来,对手如何损害过程控制,怎样禁用、操纵物理过程以引发某些终极影响,比如失控、失去可见性,或者盈利或生产力的损失。
这些都是我们在考虑的东西。我们已经更新了攻击矩阵以反映其中一些新战术,我们添加了技术以阐释对手是怎么实际达成这些目标的。
现在我讲一下人们一开始问我的一些问题。ATT&CK for ICS 当前处在一个什么状态?
目前主要版本已经出到第三版了。我强调一下这最新版中做出的几个更改。我们实际上有来自 29 个组织机构的 84 名成员。昨天还加入了一位新人,拥有早期审阅者权限,在我们正式公开发布前为我们提供关于此模型的最初反馈。
这些组织机构涉及私营和公共实体。所以我们从不同人士处获得了大量不同用例和反馈。
我们计划在今年 12 月份发布此模型,供广大安全社区使用。这样我们也可以收集更多反馈。
我们现在想在 attack.mitre.org 以外的地方做个独立发布,以帮助推动对预期反馈的快速响应。
如果您想在此之前就获得该模型,可以通过 NDA 获取。若对此有任何疑问,请联系我。我们非常乐于公开发布这一模型,这样您就能开始使用并提供您的反馈,我们可以进一步打磨完善该模型。
声明:本文来自瀚思科技,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
