原创 | ATT&CK For ICS 最新发布

什么是ATT&CK?

ATT&CK全称是Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK),由MITRE公司提出,它站在***者角度,描述***中各阶段的策略、技术和过程(TTP,即tactics, techniques,procedures),是一个表征和描述***模型的知识库。

为什么for ICS?

首先,什么是ICS工业控制系统?ICS包括监督控制和数据采集(SCADA)系统以及其他控制系统配置,广泛用于电力、水务、燃气、化工、制药、食品以及其他各类制造行业(汽车、航空航天等)。

在上述行业中,企业开始越来越多的使用信息技术解决方案来加强系统的相互连接和远程访问能力,不同领域ICS之间也会保持着各自的行业特性。同时,ICS中的执行逻辑往往会对现实世界有直接影响,不当的执行后果将会导致包括人身安全、自然环境污染、公共财产损毁在内的各种后果,对工作生产、人类活动、国家经济发展造成严重危害。

ICS网络安全重要性不言而喻,在原有的ATT&CK框架中,也部分涵盖工业控制系统内容,但是缺乏针对性,同时也不够完善。ATT&CK for ICS的推出,通过描述***者在ICS网络***中各环节的战术、技术和过程(TTP),帮助企业更好的进行风险评估,防范安全隐患。

ATT&CK for ICS 有什么不同?

  • ATT&CK for ICS更多专注于通过***ICS来破坏工业控制流程、造成严重损害的***者,例如破坏财产、对人类造成暂时或永久性伤害甚至死亡。在“战术”(tactics)层面,新增战术类别“影响力”(impact)来衡量这些敌对目标
  • 鉴于ICS运营商往往希望把系统保持在24*7的安全工作状态,而这也常是***者的主要目标,在“战术”(tactics)层面,新增战术类别“抑制响应功能”(Inhibit Response Function)来反映这一敌对目标,即欺骗操作员来使操作员认为系统正常运行,或产生了错误等。
  • ATT&CK for ICS的主要来源将会是可公开获取的网络事件报告,但在适当情况下,学术界和公开的ICS社区发布的可信的***类型,也会被用作补充ATT&CK for ICS的内容。
  • ICS的网络环境是非常异构环境,环境中会存在众多的软硬件平台、应用程序和协议类型。因此,ATT&CK for ICS并不一定能适用所有的ICS资产。为了更好评估适用程度,ATT&CK for ICS添加了基于Purdue模型的Levels组织单位和资产,帮助ATT&CK for ICS的用户更好理解哪些技术适用于他们的环境。(Levels说明:https://collaborate.mitre.org/attackics/index.php/All_Levels)

ATT&CK for ICS的数据来源?

ATT&CK的数据基础来源是真实披露和公开的威胁报告、事件中总结的***技术和目的,MITRE会模拟一个真实的组织网络环境来进行日志数据的收集、处理,并进行***技术的抽象、归纳和定义对应的战术目的,并且和具体的***团伙以及使用的载荷、工具进行映射。据了解,ATT&CK for ICS的知识库,得到了来自39个组织的参加者的调研和帮助,其中包括ICS领域的网络情报和安全公司、工业产品制造商、国家实验室、研究机构、大学、信息共享和分析中心以及支持公共和私有关键基础架构的*机构。

ATT&CK for ICS 矩阵架构说明

ATT&CK for ICS Matrix™概述了ATT&CK for ICS知识库中描述的战术(tactics)和技术(techniques)。它在视觉上将各个技术与可应用的战术对齐。有些技术跨越了多个战术,因为它们可以用于不同的目的。

ATT&CK框架分为PRE-ATT&CK和Enterprise,用Kill-Chain中的***步骤来映射的话,PRE-ATT&CK用于描述***实施之前的战术,比如***团伙对***的效果、***对象和***范围进行定义和决策,并开始准备前期的信息收集、探索和定义实施过程。而Enterprise主要描述***实施开始时,即分发和初始投放阶段。

具体到下表中,各标题表示***者在网络***周期的某些阶段采用的各种高级战术(tactics)。战术Matrix中的各个条目表示技术(techniques)。每个战术对应多种技术,这些实例描述了所使用的过程,并对采用的实际行动和利用的资源进行了详细介绍。这些过程可被视为开展某些恶意活动的特定哈希或工具以及命令行。MITRE ATT&CK for ICS提供了易于使用的工业控制系统安全相关的TTP分类。

例如:若***者要访问的网络中的计算机或资源不在其初始位置,则需借助 横向移动***(Lateral Movement) 战术。比较流行的一种技术是将Windows内置的管理共享,C$和ADMIN$,用作远程计算机上的可写目录。实现该技术的过程是利用SysInternals PsExec工具创建二进制文件,执行命令,将其复制到Windows管理共享,然后从该共享处开启服务。即使阻断SysInternals PsExec工具,也不能完全消除Windows管理共享技术的风险。这是因为***者会转而使用其他过程,如“net use”或PowerShell cmdlet Invoke-PsExec。了解***的特征和防御对策对于评估安全措施的有效性至关重要。

总览:

原创 | ATT&CK For ICS 最新发布

拆分图:
原创 | ATT&CK For ICS 最新发布

原创 | ATT&CK For ICS 最新发布

ATT&CK for ICS矩阵价值在哪?

实际上,ATT&CK用户在充分了解恶意活动方案后会成为更优秀的***者或防御者。将复杂的***解析为TTP对于了解***检测或重现非常有帮助。

了解信息安全相关的各种战术有助于确定企业环境中的短板,让企业能够集中精力弥补所缺乏的知识/覆盖范围。例如,“Assume Breach”方案就是这样一个佐证——有效的网络安全措施必须识别***者利用的其他战术,而不只是专注于防御初始***。这一整体视角将使安全计划更加完善,不至于遗漏某些方面。

了解技术与过程之间的区别也同等重要。很多网络安全工具和 威胁情报 Feed专注于***者采用的特定过程(如工具哈希、文件名和C2域名/IP地址),而忽略了使用的技术。安全社区有时候也会将发现的某些内容称为新技术,但更准确地说,这些应称为现有技术的新过程。若能够了解潜在技术并且能够调整特定过程,无论扮演哪种角色,ATT&CK用户都将是更优秀的操作员。

引用一段CSDN文章的描述:

古人云,“授之以鱼不如授之于渔。”对于网络防御来说,“授人以鱼”指专注于***者过程(如哈希和特定IP地址)的脆弱性指标,这些指标在短时间内有效,可能暂时满足您的需求。“授人以渔”指关注***者使用的技术,了解***相关的技术和行为,构建灵活的防御措施,确保成功防御***者调整或创建的新过程。


 

本文作者:上海控安  陈闻凯转载请注明来自:工业互联网安全应急响应中心(微信号ICSCERT)

原创 | ATT&CK For ICS 最新发布


上一篇:varchar类型存储英文和汉字占用的字节和字符数


下一篇:请不要将工控系统中的IT和OT的安全保护混淆!