工控安全巨头联手打造ETHOS开源预警系统

长期以来，由于安全厂商的竞争关系，威胁情报分享和新兴威胁分析都是困扰关键基础设施和工控系统组织的难题，本周发布的工控安全开源项目ETHOS（新兴威胁开放共享系统）有望打破这一博弈困局。

各国政府和网络安全专家最担心的威胁无疑是对关键基础设施工业组织（包括电力、水、石油和天然气生产以及制造系统等）造成严重影响的网络攻击。这些系统中使用的OT工具由于其专有性和复杂性，以及与IT技术快速融合的趋势，使得保护OT系统成为一项长期的高风险挑战。

11家工控安全厂商打破僵局

由于OT和工业控制系统（ICS）安全服务需求的不断增长，市场中已经涌现了一群充满活力的OT安全公司，这些公司为了争夺客户展开了激烈竞争。但是不久前，工控安全公司们摒弃前嫌，合作开发了一种新的厂商中立、开源和匿名的OT威胁预警系统，称为ETHOS（新兴威胁开放共享系统），用于共享工控安全早期威胁指标，提前发现新型攻击。

ETHOS是一个开源的、与供应商无关的平台，用于跨多个站点和部门共享匿名预警威胁情报。任何实体或安全供应商都可以作为客户端为项目做出贡献，或托管自己的服务器以比较共享信息。

为了避免博弈困境，ETHOS并不共享专有威胁情报源（例如来自竞争监控工具和解决方案的签名、检测和警报）

ETHOS也不是STIX/TAXII的替代品，而是STIX/TAXII信息共享，现有的DHS网络信息共享和协作计划（CISCP）以及美国能源部技术（包括Essence和网络风险信息共享计划（CRISP））的补充。

目前ETHOS社区和董事会成员已经汇集了大量顶级OT安全公司，11家创始成员企业包括：1898&Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Table和Waterfall Security（下图）：

ETHOS还得到了美国网络安全和基础设施安全局（CISA）的支持。“关键基础设施运营商，特别是OT网络面临的威胁规模，需要一种基于协作和互操作性的信息共享方法，”CISA网络安全执行助理主任Eric Goldstein在新闻稿中表示：“CISA期望能够助力ETHOS社区，减少阻碍信息共享的孤岛。”

Tenable负责OT和物联网的副首席技术官Marty Edwards透露：ETHOS项目几年前就开始筹备，当时OT网络安全领域相互竞争的厂商发现工控安全的情报分享平台发展缓慢，因为各厂商虽然都有自己的专有信息共享解决方案，但业界缺乏一种与供应商无关、技术中立的方式共享威胁信息，并获得风险预警指标。

“ETHOS旨在成为一个威胁和攻击信息共享系统，”Claroty产品管理副总裁Brian Dunphy说道：“我认为它与安全厂商的其他分享平台最大的不同是ETHOS与供应商无关且开放/开源，因此无论您使用哪个供应商的产品，都可以从ETHOS威胁共享系统中受益，更好地保护关键基础设施。

仍处于早期阶段

ETHOS目前还处于早期阶段，业界尚不清楚其运作方式。但有一点已经明确：所有组织，包括公共和私人资产所有者，都可以免费向ETHOS捐款（个别高级会员企业需要支付年费）。

Nozomi Networks的联合创始人兼首席产品官Andrea Carcano提供了一个ETHOS如何运作的例子：假设某地区有四家石油和天然气公司，每家公司都运行自己专有的工控技术，其中一家公司发现了可疑IP地址。ETHOS平台可以将所有情报贡献者之间的数据关联起来，并警告说：“嘿，小心点。在同一时期，同样的IP也出现在其他三家石油和天然气公司的OT网络中。”

通过共享多家石油和天然气公司的威胁指标，当其中某些特定的新指标在特定时间段飙升时，有助于回答此类问题：“这些攻击是孤立的吗？攻击范围宽泛吗？是否看到某种性质的攻击有所增加？”

Dunphy补充说：“我们希望ETHOS第一阶段初始共享的内容是传统的威胁指标，无论是IP地址、哈希签名，还是触发的其他IOC（入侵指标）。”

做工控安全的Linux？

ETHOS平台的早期版本来自创始公司会员内部的无偿工作，一些代码已经编写完毕（编者：尚未在Github发布）。ETHOS目前没有员工，但Cardano的设想是让ETHOS沿着开源软件Linux的方向发展。Linux最初是一群志愿者维护，但最终成为一个有影响力的非营利组织，拥有自己的员工。

Edwards认为ETHOS的发展将分两个阶段：“第一阶段是让每个拥有网络安全产品的成员组织将API对接到ETHOS的环境中，以便客户可以匿名将数据发送到ETHOS基础设施进行分析。他补充说：“当你谈论十几个不同的竞争对手或拥有自己的产品和架构的公司时，这绝非易事。”

第二阶段是建立数据分析平台，与第一阶段并行进行。Edwards认为美国联邦政府将在这方面提供大量帮助：“我们已经与CISA或能源部等组织进行了富有成效的对话，我们可以与一些政府分析实体合作，帮助完成分析提升。”

根据Edwards的说法，ETHOS不属于任何企业：“这是一项社区努力。我们希望我们能找到一个技术中立的第三方（支持ETHOS），无论是政府实体，信息共享和分析中心，还是在非营利组织下建立自己的实体。”

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。