ATT＆CK for ICS 工控系統知識庫建立在全球可訪(fǎng)問(wèn)的、免費的 MITER ATT＆CK 知識庫的基礎上，該知識庫已被世界各地成熟的網(wǎng)絡(luò )安全團隊廣泛采用，以了解對手的行為和交易技巧并系統地提高防御能力。

MITRE負責 ICS 網(wǎng)絡(luò )安全的首席網(wǎng)絡(luò )安全工程師 Otis Alexander 表示：資產(chǎn)所有者和保護者希望了解攻擊對手用來(lái)滲透和破壞工業(yè)控制系統的商業(yè)手段和技術(shù)，以幫助其防御。顧問(wèn)們可能會(huì )試圖通過(guò)破壞工業(yè)流程來(lái)中斷關(guān)鍵服務(wù)的交付。他們還可能試圖對設備造成物理?yè)p壞。借助  MITER ATT＆CK for ICS，我們可以幫助減輕影響財產(chǎn)或人類(lèi)生命的災難性故障。

ICS 系統最近面臨的威脅包括烏克蘭電網(wǎng)的網(wǎng)絡(luò )攻擊，該攻擊在 2015 年和 2016 年短期內關(guān)閉了電源。2017 年的 NotPetya 行動(dòng)對烏克蘭的能源公司以及機場(chǎng)、銀行、其他主要公司造成了約 100 億美元的損失。

其他例子包括一家公司的前雇員，該公司在澳大利亞安裝了無(wú)線(xiàn)電控制的污水處理設備，他使用便攜式計算機和無(wú)線(xiàn)電發(fā)射器導致泵站故障，使超過(guò) 200,000 加侖的污水溢出到公園、水道和度假勝地內，殺死海洋生物，破壞水域并制造惡臭。

現有的用于企業(yè)IT系統的 ATT＆CK 知識庫的某些方面適用于 ICS，并且在許多情況下，有助于找到 ICS 系統的攻擊切入點(diǎn)。

ATT＆CK for ICS 添加了在 ICS 環(huán)境中使用的惡意行為。它強調了 ICS 系統操作員通常使用的專(zhuān)門(mén)應用程序和協(xié)議的獨特性，這也是攻擊者與物理設備進(jìn)行交互的 “語(yǔ)境”。

工控系統知識庫為安全團隊提供多個(gè)重要功能，包括幫助建立一種標準的語(yǔ)言，供安全從業(yè)人員在報告事件時(shí)使用。憑借在該領(lǐng)域的專(zhuān)業(yè)知識，它還可以幫助開(kāi)發(fā)事件響應手冊，確定防御的優(yōu)先級以及發(fā)現漏洞、報告威脅情報、分析師培訓和發(fā)展以及在演習中模擬對手。

Dragos 的首席 ICS 安全分析師 Austin Scott 表示：ICS 的 ATT＆CK 揭示了針對工業(yè)控制系統環(huán)境的對手的獨特威脅行為。我們了解 ICS 威脅行為在有效的網(wǎng)絡(luò )安全策略中所起的至關(guān)重要的作用。對于一線(xiàn)ICS網(wǎng)絡(luò )防御者來(lái)說(shuō)，這是一個(gè)巨大的勝利，他們現在有了一個(gè)通用詞匯表，可以對ICS特定技術(shù)進(jìn)行分類(lèi)，以支持報告和進(jìn)一步分析。

在啟動(dòng)之前，來(lái)自 39 個(gè)組織的 100 多名參與者進(jìn)行了審查，提供了意見(jiàn)，或為 ATT＆CK for ICS 做出了貢獻。這些組織由廣泛的私有和公共實(shí)體組成，包括專(zhuān)注于 ICS 的網(wǎng)絡(luò )情報和安全公司、工業(yè)產(chǎn)品制造商、國家實(shí)驗室、研究機構、大學(xué)、信息共享和分析中心以及支持公共和私有關(guān)鍵基礎架構的政府機構。

FireEye 首席安全架構師 Christopher Glyer 表示：ATT＆CK 框架有助于網(wǎng)絡(luò )防御團隊編纂描述網(wǎng)絡(luò )攻擊詞典。ICS ATT＆CK 框架創(chuàng )建了一個(gè)論壇，以幫助人們了解 ICS 入侵與企業(yè) IT 入侵之間的區別，并使 ICS 運營(yíng)和安全團隊能夠更好地保護這些關(guān)鍵任務(wù)系統。