各國政府和網路安全專家最擔心的威脅無疑是關鍵基礎設施組織單位,包括電力、水、石油和天然氣生產以及製造系統等)發生嚴重影響的網路攻擊。這些系統中使用的OT工具由於其獨特性和複雜性,以及與IT技術快速融合的趨勢,使得保護OT系統成為一項長期的高風險挑戰。
11家工控安全廠商打破僵局
由於OT和工業控制系統(ICS)安全服務需求的不斷增長,市場中已經湧現了一群OT安全公司,這些公司為了爭奪客戶展開了激烈競爭。但是不久前,工控安全公司們摒棄前嫌,合作開發了一種新的廠商中立、開源和匿名的OT威脅預警系統,稱為ETHOS(新興威脅開放共用系統),用於共用工控安全早期威脅指標,提前發現新型攻擊。
ETHOS是一個開源的、與供應商無關的平臺,用於跨多個網站和部門共用匿名預警威脅情報。任何實體或安全供應商都可以作為用戶端為項目做出貢獻,或託管自己的伺服器以比較共用資訊。
為了避免困境,ETHOS並不共用專有威脅情報源,例如來自競爭監控工具和解決方案的簽名、檢測和警報。
ETHOS也不是STIX/TAXII的替代品,而是與STIX/TAXII資訊共用,現有的DHS網路資訊共用和協作計畫(CISCP)以及美國能源部技術(包括Essence和網路風險資訊共用計畫(CRISP))的支援。
目前ETHOS社區和董事會成員已經彙集了大量頂級OT安全公司,11家創始成員企業包括:1898&Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Table和Waterfall Security。
ETHOS還得到了美國網路安全和基礎設施安全局(CISA)的支持。CISA表示,關鍵基礎設施運營商,特別是OT網路面臨的威脅規模,需要協作和互通的資訊共用。CISA期望能夠助力ETHOS社群,減少阻礙資訊共用的孤島。
Tenable負責OT和物聯網的副CTO, Marty Edwards透露:ETHOS專案幾年前就開始籌備,當時OT網路安全領域相互競爭的廠商發現工控安全的情報分享平臺發展緩慢,因為各廠商雖然都有自己的專有資訊共用解決方案,但業界缺乏一種與供應商無關、技術中立的方式共用威脅資訊,並獲得風險預警指標。
Claroty 表示,ETHOS旨在成為一個威脅和攻擊資訊共用系統。它與安全廠商的其他分享平臺最大的不同是ETHOS與供應商無關且開放/開源,因此無論您使用哪個供應商的產品,都可以從ETHOS威脅共用系統中受益,更好地保護關鍵基礎設施。
仍處於早期階段
ETHOS目前還處於早期階段,業界尚不清楚其運作方式。但有一點已經明確:所有組織,包括公共和私人資產所有者,都可以免費向ETHOS捐款(個別高級會員企業需要支付年費)。
Nozomi Networks提供了一個ETHOS如何運作的例子:假設某地區有四家石油和天然氣公司,每家公司都運行自己專有的工控技術,其中一家公司發現了可疑IP位址。ETHOS平臺可以將所有情報貢獻者之間的資料關聯起來,並警告,在同一時期,同樣的IP也出現在其他三家石油和天然氣公司的OT網路中。
透過共用多家石油和天然氣公司的威脅指標,當其中某些特定的新指標在特定時間段飆升時,有助於回答此類問題:“這些攻擊是孤立的嗎?攻擊範圍寬泛嗎?是否看到某種性質的攻擊有所增加?”
專家表示希望ETHOS第一階段初始共用的內容是傳統的威脅指標,無論是IP位址、雜湊簽名,還是觸發的其他IOC(入侵指標)。
做工控安全的Linux?
ETHOS平臺的早期版本來自創始公司會員內部的無償工作。ETHOS目前沒有員工,但創始者的設想是讓ETHOS朝著Linux的方向發展,Linux最初是一群志願者維護,但最終成為一個有影響力的非營利組織,擁有自己的員工。
專家認為ETHOS的發展將分兩個階段:
- 第一階段是讓有網路安全產品的成員組織將API對接到ETHOS的環境中,以便客戶可以匿名將資料發送到ETHOS基礎設施進行分析。這並非容易,因為OT安全有超過十個不同品牌以上。
- 第二階段是建立資料分析平臺,與第一階段並行進行。專家認為美國政府將在這方面將供大量元。ETHOS已經與CISA或能源部等組織進行了富有成效的對話,並一些政府分析實體合作。
根據ETHOS說法,ETHOS不屬於任何企業,這是一項社群努力。「們希望我們能找到一個技術中立的協力廠商支援ETHOS,無論是政府實體,資訊共用和分析中心,還是在非營利組織下建立自己的實體。」