新闻中心
详情
“知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼不知己,每战必殆。”
网络安全信息战中,亦是如此。近年来,工业控制系统面临的安全形势日益严峻,在网络安全对抗中,攻与防实力的不对称,导致防守方一直处于被动防御状态。从国家层面来看,这种不对称状态很容易给国家级工业网络安全造成难以估量的损失。安全防御如何“化被动为主动”,成为工控领域顶层设计的关注点。
2020年1月7日,MITRE组织正式在网站上公布了首个针对工业控制系统的ATT&CK知识库—ATT&CK for ICS,该框架站在工业控制系统(ICS)网络攻击者的角度,将战术划分为11个阶段,并归纳出81个不同的技术手段,不仅清晰展现了黑客的攻击手法,更是为工业控制系统所属企业/组织提供攻防的标尺,为网络安全风险评估,建立网络安全威胁模型,提高防御能力提供重要参考。
概述
MITRE是何方神圣?它是一家美国政府资助的非营利性研究机构,除协助进行多项网络安全相关研究外,还参与FAA(Federal Aviation Administration 美工联邦航空管理局)空中交通管制系统、AWACS(Airborne Warning and Control System美国空军“空中警戒和控制系统”)机载雷达系统的系统建设。另外,该组织是运维CVE漏洞数据库的支撑机构。MITRE在美国国家标准与技术研究所(NIST)的资助下从事了大量的网络安全实践。MITRE早在2015年就正式发布了ATT&CK模型,其全称是Adversarial Tactics, Techniques, and Common Knowledge。该框架站在攻击者的视角来描述攻击中各阶段用到的技术模型,应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK for ICS
ATT&CK for ICS知识库专用于描述一个攻击者在工控系统网络内可能采取何种行动的视图,清晰描述post-compromise攻击者行为。
MITRE ATT&CK for ICS矩阵概述了ATT&CK for ICS知识库中描述的战术和技术,直观地将攻击技术与攻击者所制定的战术相对应。由于攻击技术可作用于不同的目标,所以他们可以跨越多个战术域。
--- ATT&CK for ICS矩阵---
工业控制系统的重要性
ICS包括数据采集与监视控制系统(SCADA)和其它控制系统配置,广泛应用与各个行业,如电力、水和污水处理、石油和天然气、交通运输、化工、制药、纸浆和造纸、食品和进料及离散制造(如汽车、航空航天和耐用品)等。
虽然ICS越来越多采用信息技术(IT)方案去提升企业系统的连接和远程访问能力,但他们仍保留着自身独特的特性。ICS中的执行逻辑同现实世界是直接相连的,它控制着大量的执行机构改变、制造实物,不恰当的执行逻辑会带来严重后果,不仅会带来严重的财政影响,也会带来重大人身安全风险和严重环境破坏,如产品损耗、人员伤害、国家经济负面影响和专有信息泄露。而ATT&CK for ICS正是描述了那些试图带来这些不良后果的攻击行为。
企业传统网络可以作为攻击ICS网络的入口点。ATT&CK for Enterprise描述了攻击者在这些网络中所采用的战术、技术和过程(TTP),可以描述二级Purdue模型的攻击TTPS。该级别可以全面详细描述运行在Windows and Linux上的工业应用,我们认为此核心入口指向了ATT&CK for Enterprise 和ATT&CK for ICS之间的接口。
与ATT&CK for ICS相关的攻击TTPS可归为以下几类:
> ICS网络流量阻塞或延时,可能中断ICS运行。
> 对指令或报警阈值的非授权修改,可能会损坏、失效或关闭设备,影响环境及危害人的生命。
> 发送给系统操作者的错误信息,伪装未授权的变更,或使操作者产生不当操作,可能会带来更大的负面影响。
> 修改ICS软件或组态配置,或恶意软件感染ICS软件,可能会带来更大的负面影响。
> 干扰设备保护系统的操作,可危害那些昂贵和难以替代的设备。
> 干扰安全系统的操作,可能危害人的生命。
与常规ATT&CK的不同点
> ATT&CK for ICS所关注攻击者的首要目标,往往是通过攻击ICS来破坏工业控制过程、损害性能、造成暂时或永久性伤害甚至死亡,在战术层面,新增战术类别“影响”来体现这些攻击目标。
> ICS操作员需要使系统运行在一个安全、7*24小时的工作状态,而这正是攻击者的其中一个主要目标。新增的“抑制响应功能”战术反映了攻击者目标是让操作员误以为系统一切正常运行或执行错误操作。
> 数据的主要来源是可公开获取的网络事件报告,同时,学术界和众多ICS联盟发布的可信攻击也被用来扩充ATT&CK for ICS内容。
> ICS网络是一个异构多样的环境,存在许多软硬件平台、应用、协议。由于这一点,ATT&CK for ICS技术不一定能适用于所有ICS资产,另外,增加了基于Purdue模型的“等级”和“资产”管理单元,用以帮助ICS使用者理解哪些技术和应用适用于他们的环境。
网御星云工业安全服务
作为网络安全秩序的维护者,网御星云始终将工业互联网安全业务作为公司重要的战略之一,组建专业的工控安全服务团队,更好地为用户创造实际价值。在保持安全技术优势的同时,致力于网络安全新技术的研究和开发, 积极布局5G、物联网和人工智能等新兴领域的安全研究,探索工业网络安全威胁与需求。
读书分割线
通过长期在工业领域的耕耘,网御星云已在先进制造、电力、石油石化、烟草和轨道交通等行业积累了大量实践经验,具备完整的工控安全产品体系和成熟的工控安全解决方案,为用户提供全方位、全天候、可信赖、面向能力生成的工业安全评估、漏洞挖掘、渗透测试和应急响应服务,赋能用户网络安全。
扫二维码用手机看
北京网御星云信息技术有限公司 京ICP备05080314号-1
400-810-7766
成为伙伴 
视频中心 