工控安全巨頭聯手打造ETHOS開源預警系統

長期以來，由于安全廠商的競爭關系，威脅情報分享和新興威脅分析都是困擾關鍵基礎設施和工控系統組織的難題，本周發布的工控安全開源項目ETHOS（新興威脅開放共享系統）有望打破這一博弈困局。

各國政府和網絡安全專家最擔心的威脅無疑是對關鍵基礎設施工業組織（包括電力、水、石油和天然氣生產以及制造系統等）造成嚴重影響的網絡攻擊。這些系統中使用的OT工具由于其專有性和復雜性，以及與IT技術快速融合的趨勢，使得保護OT系統成為一項長期的高風險挑戰。

11家工控安全廠商打破僵局

由于OT和工業控制系統（ICS）安全服務需求的不斷增長，市場中已經涌現了一群充滿活力的OT安全公司，這些公司為了爭奪客戶展開了激烈競爭。但是不久前，工控安全公司們摒棄前嫌，合作開發了一種新的廠商中立、開源和匿名的OT威脅預警系統，稱為ETHOS（新興威脅開放共享系統），用于共享工控安全早期威脅指標，提前發現新型攻擊。

ETHOS是一個開源的、與供應商無關的平臺，用于跨多個站點和部門共享匿名預警威脅情報。任何實體或安全供應商都可以作為客戶端為項目做出貢獻，或托管自己的服務器以比較共享信息。

為了避免博弈困境，ETHOS并不共享專有威脅情報源（例如來自競爭監控工具和解決方案的簽名、檢測和警報）

ETHOS也不是STIX/TAXII的替代品，而是STIX/TAXII信息共享，現有的DHS網絡信息共享和協作計劃（CISCP）以及美國能源部技術（包括Essence和網絡風險信息共享計劃（CRISP））的補充。

目前ETHOS社區和董事會成員已經匯集了大量頂級OT安全公司，11家創始成員企業包括：1898&Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Table和Waterfall Security（下圖）：

ETHOS還得到了美國網絡安全和基礎設施安全局（CISA）的支持。“關鍵基礎設施運營商，特別是OT網絡面臨的威脅規模，需要一種基于協作和互操作性的信息共享方法，”CISA網絡安全執行助理主任Eric Goldstein在新聞稿中表示：“CISA期望能夠助力ETHOS社區，減少阻礙信息共享的孤島。”

Tenable負責OT和物聯網的副首席技術官Marty Edwards透露：ETHOS項目幾年前就開始籌備，當時OT網絡安全領域相互競爭的廠商發現工控安全的情報分享平臺發展緩慢，因為各廠商雖然都有自己的專有信息共享解決方案，但業界缺乏一種與供應商無關、技術中立的方式共享威脅信息，并獲得風險預警指標。

“ETHOS旨在成為一個威脅和攻擊信息共享系統，”Claroty產品管理副總裁Brian Dunphy說道：“我認為它與安全廠商的其他分享平臺最大的不同是ETHOS與供應商無關且開放/開源，因此無論您使用哪個供應商的產品，都可以從ETHOS威脅共享系統中受益，更好地保護關鍵基礎設施。

仍處于早期階段

ETHOS目前還處于早期階段，業界尚不清楚其運作方式。但有一點已經明確：所有組織，包括公共和私人資產所有者，都可以免費向ETHOS捐款（個別高級會員企業需要支付年費）。

Nozomi Networks的聯合創始人兼首席產品官Andrea Carcano提供了一個ETHOS如何運作的例子：假設某地區有四家石油和天然氣公司，每家公司都運行自己專有的工控技術，其中一家公司發現了可疑IP地址。ETHOS平臺可以將所有情報貢獻者之間的數據關聯起來，并警告說：“嘿，小心點。在同一時期，同樣的IP也出現在其他三家石油和天然氣公司的OT網絡中。”

通過共享多家石油和天然氣公司的威脅指標，當其中某些特定的新指標在特定時間段飆升時，有助于回答此類問題：“這些攻擊是孤立的嗎？攻擊范圍寬泛嗎？是否看到某種性質的攻擊有所增加？”

Dunphy補充說：“我們希望ETHOS第一階段初始共享的內容是傳統的威脅指標，無論是IP地址、哈希簽名，還是觸發的其他IOC（入侵指標）。”

做工控安全的Linux？

ETHOS平臺的早期版本來自創始公司會員內部的無償工作，一些代碼已經編寫完畢（編者：尚未在Github發布）。ETHOS目前沒有員工，但Cardano的設想是讓ETHOS沿著開源軟件Linux的方向發展。Linux最初是一群志愿者維護，但最終成為一個有影響力的非營利組織，擁有自己的員工。

Edwards認為ETHOS的發展將分兩個階段：“第一階段是讓每個擁有網絡安全產品的成員組織將API對接到ETHOS的環境中，以便客戶可以匿名將數據發送到ETHOS基礎設施進行分析。他補充說：“當你談論十幾個不同的競爭對手或擁有自己的產品和架構的公司時，這絕非易事。”

第二階段是建立數據分析平臺，與第一階段并行進行。Edwards認為美國聯邦政府將在這方面提供大量幫助：“我們已經與CISA或能源部等組織進行了富有成效的對話，我們可以與一些政府分析實體合作，幫助完成分析提升。”

根據Edwards的說法，ETHOS不屬于任何企業：“這是一項社區努力。我們希望我們能找到一個技術中立的第三方（支持ETHOS），無論是政府實體，信息共享和分析中心，還是在非營利組織下建立自己的實體。”