一些最大的運營技術網絡安全供應商正在建立一個開源的、選擇加入的威脅情報共享門戶,以提供有關關鍵基礎設施威脅的早期預警。這個名為"新興威脅開放共享"(ETHOS)的平臺旨在打破信息差距,因為各組織無法獲得關於可能影響整個能源部門、管道運營商或其他工業部門的最新黑客或漏洞的相同信息。
Nozomi Networks聯合創始人兼首席產品官Andrea Carcano說:"大部分的威脅情報都包含在供應商的技術庫存裡。從這個角度來看,我們並不希望成為破壞性的一方。我們正在尋求提升遊戲的水平。智慧將永遠受限於你能看到的東西,市場份額有多大並不重要。"
由於這個問題,拜登政府已經領導多次"沖刺",以提高各關鍵行業的可見度。ETHOS努力包括在關鍵基礎設施領域運作的知名網絡安全公司,如1898 & Co., Dragos, Claroty, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable和Waterfall Security,是提高整個行業認識的最重要行業舉措之一。
"這是我們可以擁有的可見性的巨大改進。這是我們以前從未擁有過的情報,"Carcano說。"我們可以真正發現國內是否有什麼事情發生,而直到今天,這些事情都會被埋在Nozomi警報、Dragos警報、Claroty警報裡面。"
Tenable公司負責OT和IoT的副首席技術官Marty Edwards在一份聲明中說,OT內部的一個大挑戰是知道哪些威脅實際上對一個組織構成威脅。
Edwards說:"ETHOS是一個與供應商無關的倡議,希望通過自動發現和傳播來自其行業成員的真實世界的威脅信息,來目標將是為整個社區提供更多關於針對OT系統中新的和已知漏洞的威脅的洞察力。"
這一想法得到網絡安全和基礎設施安全局的批準。CISA負責網絡安全的執行助理主任Eric Goldstein在一份聲明中說,"關鍵基礎設施運營商,特別是運營技術網絡所面臨的威脅規模,需要一種以協作和互操作性為基礎的信息共享方法。"
Goldstein表示:"CISA渴望繼續支持社區驅動的努力,以減少阻礙及時和有效信息共享的孤島。我們期待著與這些社區合作,包括ETHOS社區,以改善對潛在網絡威脅的早期預警和響應,同時適當保護關於我們國傢關鍵基礎設施社區的敏感信息。"
Carcano解釋說,該平臺應該是這樣運作的:與參與供應商之一合作的業主和運營商可以選擇分享可能提供有關大規模攻擊的早期警報的匿名情報。我們的想法是將社區和軟件門戶的開發開源,而情報將隻在每個ETHOS服務器內訪問。
ETHOS的資料不會公開。相反,隻有那些在每個ETHOS實例中註冊的人能夠看到和分享情報--現在,這些情報通常是妥協的指標,如IP地址、域名和哈希值。最初的測試版將隻有一臺服務器,一般的會員申請將在6月開始。
Carcano舉一個例子,多傢能源公司註意到奇怪的行為,但幾乎沒有主動攻擊的跡象。在工業場所內,惡意黑客一旦潛入,可能需要數月時間來解他們所針對的具體環境。
"我們今天看到的最復雜的OT武器,他們並沒有立即采取行動。"Carcano說。"在OT中,有更多的復雜性,有更多的時間需要能夠造成破壞或滲出數據。"
Carcano說,他希望有一天,使用ETHOS的公用事業和其他關鍵公司可以選擇將信息發送給CISA或能源部。或者,Carcano說,公用事業公司可以選擇直接通過ETHOS提醒CISA他們看到可疑的活動,這可以轉到一個國際ETHOS服務器。