MITRE推出工控系統ATT&CK評估結果

MITRE用Triton惡意軟件測試了ICS網絡安全工具。Triton曾被黑客用于攻擊沙特阿拉伯多家公司的工業系統。

7月19日，MITRE Engenuity發布其首次工業控制系統（ICS）ATT&CK評估結果。 

MITRE研究人員采用了Triton惡意軟件來測試ICS供應商五款網絡安全產品的檢測能力。評估結果可于MITRE Engenuity官網獲取。 

輸配電廠、煉油廠、污水處理廠等關鍵基礎設施大多都使用工業控制系統。

MITRE Evaluations根據工業控制系統威脅創建了對手戰術、技術與流程的知識庫，并以之測試Armis、Claroty、微軟、Dragos和信息產業研究所出品的網絡安全產品。

MITRE在聲明中稱，Triton是俄羅斯中央化學力學科學研究院編寫的惡意軟件，用于攻擊北美、歐洲和中東的工業控制系統。該惡意軟件特意針對安全系統，阻止工作人員處理險情及其他情況。 

宣稱Triton被用于搞癱沙特煉油廠后，美國財政部對該俄羅斯研究院實施了制裁。 

ATT&CK ICS評估負責人Otis Alexander稱，選擇模擬Triton是因為該惡意軟件針對的是安全系統，這些系統可以在工業控制環境中出現故障時防止發生一些最壞的情況。 

Alexand稱：“關于攻擊的大量公開報道和該惡意軟件的駭人影響保證了模擬的穩固可靠。我們希望評估可以幫助企業找到最適合自身需求的安全工具。” 

“我們的評估旨在排除過程中的猜測，提供關于安全產品實際功能和效果的合理預期。”

MITRE表示，有多種方式可以檢測ICS攻擊，各種不同產品都可以處理這項任務。ICS ATT&CK評估只是幫助網絡安全團隊了解所用工具和提高自身效率的部分工作。 

模擬測試可以幫助企業了解哪些網絡安全產品最善于處理“檢測量、檢出時攻擊所處階段、提供的數據源類型，以及如何呈現信息。”

微軟物聯網/運營技術安全總經理Yuval Eldar稱，近期核心業務運營遭到的攻擊表明，社區協作有利于改善安全產品。他對MITRE Engenuity測試其無代理Azure Defender for IoT和Azure Sentinel SIEM/SOAR解決方案表示感謝。 

Eldar稱：“我們期待繼續合作，根據我們所了解到的對整體SIEM/XDR視圖的需求打造產品，使我們的產品能夠提供覆蓋網絡、端點、身份和客戶IT/OT基礎設施中其他領域的全面SIEM/XDR視圖。” 

ICS評估旨在幫助企業在諸多網絡安全產品間挑選最適合的。MITRE Engenuity也為針對企業網絡的安全產品提供類似服務。他們最近采用FIN7和Carbanak這兩個網絡犯罪團伙的攻擊方法測試了29款不同網絡安全產品。 

ATT&CK評估計劃總經理Frank Duff稱，供應商相信企業“會改進他們的產品，而社區則相信我們會提供所需的技術透明度，以便為他們獨特的環境做出最佳決策。” 

Duff解釋道：“與閉門評估不同，我們使用了紫隊方法，供應商可以優化評估過程。MITRE專家出紅隊，供應商出藍隊，確保可獲得完整的可見性，同時允許供應商直接向ATT&CK專家學習。”