營運科技公司聯手推動 ETHOS 早期威脅與攻擊警示系統。ETHOS 希望找出利益相關人之間無法提供情報或攻擊模式的那些威脅,在攻擊造成損害前萌芽之初就阻止它們。
文/Cynthia Brumfield‧譯/Nica
政府官員與資安專家最深切的憂慮之一,就是針對運作民生必需服務產業組織的重大網路攻擊,包括電力、水資源、石油與天然氣生產及製造業系統等產業。這些系統中使用的營運科技(Operational Technology,OT)工具專利權與複雜性質,加上它們與 IT 技術的結合,在在都使得保障 OT 系統安全成為長期、高賭注的挑戰。
對更強大 OT 與工業控制系統資安專業需求不斷提升,導致一群活躍的 OT 資安公司紛紛崛起,為了在這個持續成長的市場空間裡留住客戶而奮力彼此競爭。這些競爭者將彼此的較量暫放一旁,共同合作建立了一個新的廠商中立、開放源碼與匿名的 OT 威脅早期示警系統,稱之為 ETHOS(Emerging Threat Open Sharing,新興威脅資訊共享),分享早期威脅指標及發現新興與特異攻擊等資料。
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉!]
ETHOS 社群與董事會成員包括幾個重要的 OT 資安公司:1898 & Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable 與 Waterfall Security。身為非營利組織,ETHOS 希望找出利益相關人之間無法提供情報或攻擊模式的那些威脅,在攻擊造成損害前萌芽之初就阻止它們。
ETHOS 概念在美國網路安全暨基礎設施安全局(CISA)的背書下啟航,無疑給了這項舉措更大的吸引力。「關鍵基礎設施營運商,尤其是營運科技網路方面,所面對的威脅規模,需要有以協同合作及相互操作性為基礎的資訊共享方式。」CISA 網路安全行政助理局長 Eric Goldstein 在「ETHOS 新聞發表會」上如此表示。「CISA 熱切希望持續支援社群驅動的這些工作,減少有礙於及時有效資訊共享的孤立單位。我們期待與 ETHOS 這類社群共同合作,促進早期示警與對潛在網路威脅的應變,同時適切保護國家關鍵基礎設施社群的機敏資訊。」
創造「前所未見的世界」
「讓企業在市場上健康競爭,為更寬廣的版圖共同努力。」Nozomi Networks 聯合創辦人暨產品長 Andrea Carcano 向我們說明。「這個版圖指的不只是金錢,而是讓我們的國家 ─ 在這個例子裡是美國,但誰知道可能還有其他政府或更大聯盟,更瞭解這個領域發生了什麼。隱含的原則就是『讓我們試著創造一個世界前所未見的什麼。讓我們試著真正坐下來,即便在這個領域彼此競爭如此激烈,讓我們試著一起努力。』」
Tenable 的 OT 與 IoT 副技術長 Marty Edwards 說:「ETHOS 多年前就有了。OT 網路安全領域的一群競爭者聚集共同表示:『我們沒有取得足夠的進展。』很明顯我們之中有許多人握有資訊共享的專利解決方案,但社群真正缺乏的是廠商獨立、技術中立的方式,分享這裡所有的威脅資訊,無論客戶使用的網路安全平台為何,這麼做我們才能將資訊拉進來、分享它,繼而從系統中取得一些早期示警的指標。」
「ETHOS 想成為威脅與攻擊資訊共享系統。」Claroty 產品管理副總裁 Brian Dunphy 這麼說。「我認為 ETHOS 與其他由廠商試圖進行的作為,差異在於 ETHOS 想要的是廠商獨立與開放,這麼一來無論使用哪家廠商,都還是能從這個威脅共享系統獲益,最終可以更完善保障身為關鍵基礎設施使用者的自己。」
ETHOS 仍在初期階段
在這樣的初期階段,ETHOS 確切如何運作還不明朗。但可以確定的是:所有企業組織,包括公共與私人財產擁有者,都能免費為 ETHOS 提出貢獻,而董事會的個別企業將必須支付年費。
Carcano 以四間假想石油天然氣公司為例,解說 ETHOS 可能的運作方式,這四間公司每間執行自有專屬特殊技術,其中出現一個特別可疑的 IP 位址。ETHOS 可以為所有貢獻者的資料建立關聯並示警:「嘿,小心!同一時期,這個相同的 IP 出現在全國各地四個不同的石油天然氣公司裡。」
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
Dunphy 表示,「我們預期分享的初期產物是傳統威脅指標,無論是 IP 位址、觸發 hash 簽章,或其他被觸發的『入侵指標』(Indicator of Compromise,IOC)。因此這個階段的型態,就是預期分享一組指標。」
一旦完成 IOC 分析,「應該就能開始觀察一段時間,看見某個特定指標突然上升,或是發現在開始前未曾見過的全新一組指標在特定期間觸發。如此,也能解答某些問題:『嘿,我們發現這些攻擊,但這些攻擊是獨立事件嗎?還是已廣泛散播?我們是否發現特定性質的攻擊正在升溫?』」
ETHOS 如何與時俱進
這些公司已著手處理 ETHOS 平台的初期版本,部份已撰寫完成的程式碼,是初期創立的這些公司內部無償貢獻。ETHOS 還沒有任何員工,但 Carcano 預想 ETHOS 的進展會跟隨開放源碼軟體 Linux 同樣路線。Linux 始於一群志願者,但最終成為有影響力的非營利組織,擁有自己的員工。「ETHOS 有一天也會這樣。」他表示。
Edwards 認為 ETHOS 發展階段有二。「第一階段是擁有網路安全產品的會員企業每位成員,建立 API hook 到我們的環境裡,這麼一來當客戶選擇傳送資料到 ETHOS 基礎架構進行分析時,我們才能匿名提供資料。」他補充說明。「在這裡可能有十幾間不同的競爭者或公司企業,各擁有自己的產品與架構的情況下,這是不簡單的壯舉。」
與第一階段同步進行的第二階段,是建立資料分析平台,這是 Edwards 認為聯邦政府提供大量協助的地方。「我們希望,也已與 CISA 或美國能源部這類組織有了不錯的對談,可以與部份政府分析機構成為合作夥伴,協助提升部份的分析工作。」他表示。
ETHOS 背後的這些公司堅持沒有單獨某間公司能擁有 ETHOS,Edwards 指出。「這是社群的努力。我們希望可以成為技術中立的第三方『支持 ETHOS』,無論那是政府機構、資訊共享與分析中心,或者坦白說,可能是我們得在自有機構下成立非營利組織。」
Dunphy 表示:「我認為我們代表的社群、我們所保護的社群,假以時日都將從這個威脅共享的集合性防禦受益。所以,目前的任務有二:最終目的是保障客戶的關鍵基礎設施,但更廣義的任務是能夠為大型關鍵基礎設施社群的整體保護提出貢獻。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)