MITRE推出工控系统ATT&CK评估结果

MITRE用Triton恶意软件测试了ICS网络安全工具。Triton曾被黑客用于攻击沙特阿拉伯多家公司的工业系统。

7月19日，MITRE Engenuity发布其首次工业控制系统（ICS）ATT&CK评估结果。 

MITRE研究人员采用了Triton恶意软件来测试ICS供应商五款网络安全产品的检测能力。评估结果可于MITRE Engenuity官网获取。 

输配电厂、炼油厂、污水处理厂等关键基础设施大多都使用工业控制系统。

MITRE Evaluations根据工业控制系统威胁创建了对手战术、技术与流程的知识库，并以之测试Armis、Claroty、微软、Dragos和信息产业研究所出品的网络安全产品。

MITRE在声明中称，Triton是俄罗斯中央化学力学科学研究院编写的恶意软件，用于攻击北美、欧洲和中东的工业控制系统。该恶意软件特意针对安全系统，阻止工作人员处理险情及其他情况。 

宣称Triton被用于搞瘫沙特炼油厂后，美国财政部对该俄罗斯研究院实施了制裁。 

ATT&CK ICS评估负责人Otis Alexander称，选择模拟Triton是因为该恶意软件针对的是安全系统，这些系统可以在工业控制环境中出现故障时防止发生一些最坏的情况。 

Alexand称：“关于攻击的大量公开报道和该恶意软件的骇人影响保证了模拟的稳固可靠。我们希望评估可以帮助企业找到最适合自身需求的安全工具。” 

“我们的评估旨在排除过程中的猜测，提供关于安全产品实际功能和效果的合理预期。”

MITRE表示，有多种方式可以检测ICS攻击，各种不同产品都可以处理这项任务。ICS ATT&CK评估只是帮助网络安全团队了解所用工具和提高自身效率的部分工作。 

模拟测试可以帮助企业了解哪些网络安全产品最善于处理“检测量、检出时攻击所处阶段、提供的数据源类型，以及如何呈现信息。”

微软物联网/运营技术安全总经理Yuval Eldar称，近期核心业务运营遭到的攻击表明，社区协作有利于改善安全产品。他对MITRE Engenuity测试其无代理Azure Defender for IoT和Azure Sentinel SIEM/SOAR解决方案表示感谢。 

Eldar称：“我们期待继续合作，根据我们所了解到的对整体SIEM/XDR视图的需求打造产品，使我们的产品能够提供覆盖网络、端点、身份和客户IT/OT基础设施中其他领域的全面SIEM/XDR视图。” 

ICS评估旨在帮助企业在诸多网络安全产品间挑选最适合的。MITRE Engenuity也为针对企业网络的安全产品提供类似服务。他们最近采用FIN7和Carbanak这两个网络犯罪团伙的攻击方法测试了29款不同网络安全产品。 

ATT&CK评估计划总经理Frank Duff称，供应商相信企业“会改进他们的产品，而社区则相信我们会提供所需的技术透明度，以便为他们独特的环境做出最佳决策。” 

Duff解释道：“与闭门评估不同，我们使用了紫队方法，供应商可以优化评估过程。MITRE专家出红队，供应商出蓝队，确保可获得完整的可见性，同时允许供应商直接向ATT&CK专家学习。”