MITRE 於 2023 年底發布 EMB3D 威脅模型分析框架,全面概述各類威脅類型,並為企業提供具體的威脅因應建議。目前,已有設備製造商採用 EMB3D 優化其威脅模型分析流程,研究人員利用它統一安全議題討論用語,資安廠商也逐步將其整合至產品中。
MITRE 關鍵基礎設施計畫資深主管 Marie Stanley Collins 指出,設備製造商可在設計階段運用 EMB3D 進行威脅模型分析,確保全面考量已知的嵌入式設備威脅,並整合有效的防護機制。使用者同時可透過 EMB3D 進行採購評估,要求廠商明確定義產品可能面臨的資安威脅及其相應防護措施。
現有威脅模型框架比較
EMB3D 並非市場上唯一的威脅模型分析框架。目前主要的框架包括:
- STRIDE:由微軟開發,專注於六大影響資訊科技資產的威脅類別:
- 身分冒用(Spoofing)
- 竄改(Tampering)
- 否認(Repudiation)
- 資訊洩漏(Information Disclosure)
- 阻斷服務(Denial of Service)
- 權限提升(Elevation of Privilege)
- MITRE ATT&CK for ICS:專門針對設備和工控系統分類既有攻擊手法、戰術和程序。其目標是系統性整理公開揭露的資安事件,協助防護人員從過往攻擊中學習,評估自身環境風險。
嵌入式系統資安防護指引
EMB3D 威脅模型框架的最新更新著重於針對各類威脅實施必要的防護措施。例如,針對「引導程式保護和驗證機制不足」(TID-201)威脅,對應的防護措施是「軟體引導程式認證機制」(MID-001)。這項防護措施同時能預防「設備允許未經認證的韌體安裝」(TID-211)和「作業系統易受到系統後門攻擊」(TID-218)等威脅。
MITRE OT 設備資安組主管強調,這些防護措施呼應了美國網路安全暨基礎設施安全局(CISA)提出的「安全設計」(Secure by Design)理念,要求設備製造商主動承擔威脅防護責任,而非將其轉嫁給終端使用者。
威脅模型框架的選擇與應用
每家企業在威脅模型分析上都有其獨特需求。
工控系統資安公司的研究指出,企業應採用「以威脅為導向、考量後果」的分析方法,並選擇最適合自身的威脅模型框架。這種方法不僅能有效排定威脅優先順序,更能評估現有防護措施與風險管理機制的適切性,同時提升資安團隊對潛在威脅的掌握能力。
雖然 STRIDE 適用於初步檢視設備弱點,資安威脅情報(CTI)能讓企業掌握目前被利用的漏洞和安全弱點,但 EMB3D 更著重協助製造商設計具備資安強化功能的設備。
研究人員已發現許多概念驗證和理論層面的設備威脅。儘管這些威脅尚未被攻擊者利用,但考慮到設備可能在現場運作長達 10 至 20 年,製造商必須更積極地思考未來的威脅,而非僅關注當前的威脅情報。
MITRE 期望 EMB3D 能促進資安廠商、設備製造商和基礎設施營運商之間的合作,共同擴充威脅與防護措施的知識庫。隨著駭客不斷精進攻擊技術,威脅會從理論概念演進為概念驗證(POC),最終在實際環境中被利用。因此,不僅要持續追蹤並掌握威脅演進趨勢,在評估特定威脅的重要程度時,更需要綜合考量設備的實際功能與運作環境。
本文轉載自 DarkReading。