首個針對工業控制系統（ICS）的ATT＆CK知識庫

• 2020 年 2 月 12 日
• 筆記

1月7日，MITER發布了ATT＆CK for ICS知識庫，主要介紹了網路攻擊者在攻擊工業控制系統（ICS）時所使用的策略和技術，為關鍵基礎設施和其他使用工業控制系統的組織評估網路風險提供了參考。

為什麼是ICS？

首先，何為工業控制系統？它包括多種工業生產中使用的控制系統，監控和數據採集系統(SCADA)、分散式控制系統(DCS)和其他較小的控制系統，如可編程邏輯控制器(PLC)，就已經廣泛應用在工業部門和關鍵基礎設施中。正因為工業控制系統往往涉及一個城市或國家的重要基礎設施，比如電力、燃氣、自來水等。一旦「中招」，後果非常嚴重。

2015年和2016年，烏克蘭2次電網電力中斷事件，給其帶來了難以估量的損失。 澳大利亞安裝了無線電控制的污水處理設備，卻因安裝公司的前僱員使用攜帶型電腦和無線電發射器導致泵站故障，造成污水溢出破壞水域，大量海洋生物被殺死。

可以說，工業控制系統牽一髮而動全身，而隨著網路空間的安全對抗逐漸激烈，關鍵基礎設施成為攻擊者主要瞄準對象，工控安全問題愈發嚴峻。在現有的用於企業系統的ATT＆CK框架中，部分確實也是適用於工業控制系統的，但其完善性和針對性還不高。因此，整理ATT＆CK for ICS知識庫確實是當務之急。

ATT＆CK for ICS

據了解，來自39個組織的100多名參與者都參與了調研，為ATT＆CK for ICS知識庫的建立提供了幫助。其中包括專註於ICS的網路情報和安全公司、工業產品製造商、國家實驗室、研究機構、大學、資訊共享和分析中心以及支援公共和私有關鍵基礎架構的政府機構。

目前，ATT＆Ck for ICS知識庫涵蓋了ATT＆Ck for ICS技術框架、ICS威脅者使用的軟體、威脅團體和資產四大維度。MITER已經羅列的有10個威脅團體，81種攻擊技術，17個惡意軟體家族和7種資產。

可以說，ATT＆CK for ICS的建立區將ICS入侵與普通的企業IT入侵區分開來。首先針對目標：通過攻擊工業控制系統來破壞工業控制流程，破壞財產或對人類造成暫時/永久性傷害或死亡的攻擊者。其次，由於ICS系統操作員需要將系統保持在24/7的安全工作狀態，並且是攻擊者的主要目標。因此，在這個知識庫中，著重介紹了ICS系統操作員常用專門應用程式和協議的特性，並且對手利用了這些特性來與物理設備進行交互。

ATT＆CK for ICS技術框架作為整個知識庫的核心，則提供了對ICS系統進行過攻擊的威脅參與者相關的TTP概述。如圖：

建立針對性的標準的語言，不僅能讓資產所有者和維護者了解對手攻擊工業控制系統的手段和技術，用來提升幫助其防禦能力，對於安全從業人員進行事件報告，開發事件響應手冊、確定防禦優先順序和發現漏洞等也都有著重要意義。

ATT＆CK for ICS傳送門： https://collaborate.mitre.org/attackics/index.php/Main_Page

*本文作者：kirazhou，轉載請註明來自FreeBuf.COM