国家关键基础设施依赖于石油和天然气、电力、水管理、汽车、医疗、卫星、自主系统等行业的嵌入式设备和无人机系统。然而,这些设备通常缺乏适当的安全控制,并且没有对漏洞进行充分的测试。经验丰富的网络攻击者越来越多地尝试利用这些设备,越来越多的CISA ICS公告识别出许多生命和安全关键设备面临的重大威胁就证明了这一点。EMB3D™ 威胁模型是MITRE、Niyo Little Thunder Pearson (ONEGas, Inc.) 的协作成果,Red Balloon Security和Narf Industries提供了对对嵌入式设备构成的威胁以及缓解这些威胁所需的安全机制。EMB3D™提供了工业环境中使用的嵌入式设备的网络威胁知识库。它允许用户将这些威胁与漏洞和缺陷系统进行映射,例如常见弱点枚举(CWE)和常见漏洞与暴露(CVE)以及MITRE自己的TTP映射框架ATT&CK。对于每种威胁,建议的缓解措施主要集中于设备供应商应实施的技术机制,以防范给定的威胁。EMB3D™旨在供整个安全生态系统使用,从设备供应商和制造商到资产所有者、安全研究人员和测试组织。目前处于预发布审查期, EMB3D™将于2024年初公开发布。
随着新的威胁行为者的出现以及安全研究人员发现新类别的漏洞、威胁和安全防御,新的威胁和缓解措施将随着时间的推移而添加和更新。
MITRE高级副总裁Beth Meinert说道,“EMB3D框架是MITRE作为创新者和连接者角色的完美典范,与行业领导者携手开发尖端工具。致力于提高当今互联世界中重要系统的弹性和安全性。”
MITRE部门经理Marie Stanley Collins说道,“EMB3D旨在帮助[嵌入式设备]供应商/OEM构建安全性,缓解措施的重点是在设备设计过程中应该做什么,而不是由资产所有者强制执行。”她说,资产所有者和安全研究人员也可以使用它来评估设备的安全性,通过审查可能存在的威胁以及包含哪些缓解措施。她表示,虽然嵌入式设备供应商经常将威胁建模作为识别设备安全机制的一种方法,但随着更多攻击和漏洞研究的出现,对设备的威胁也在不断演变。产品安全团队很难跟踪所有这些威胁并确定需要采取哪些缓解措施来防范这些威胁。EMB3D提供了一种统一的机制,用于跟踪和传达嵌入式设备中的威胁以及相关的安全机制。
赞助商Niyo Little Thunder Pearson解释说,“由于担心ICS设备不安全,像我这样的公用事业公司被迫采取极端措施来保护我们的基础设施。EMB3D模型将为ICS设备制造商提供一种在设计周期早期了解不断变化的威胁形势和潜在可用缓解措施的方法,从而生产出更加安全的设备。这将消除或减少事后‘附加’安全的需要,从而实现更安全的基础设施并降低安全成本。”
MITRE安全中心副总裁兼主任Yosry Barsoum表示:“我们鼓励设备供应商、资产所有者、研究人员和学术界审查威胁模型并分享反馈,确保我们的集体努力始终处于保护互联世界的最前沿。当我们共同努力增强数字基础设施的弹性时,洞察力、专业知识和协作精神是非常宝贵的。我们可以共同建设一个更安全、更有保障的未来。”
Nozomi Networks网络安全战略总监Chris Grove表示,EMB3D可能是另一个类似MITRE ATT&CK的嵌入式设备安全游戏规则改变者。“EMB3D 的令人兴奋之处在于它如何利用现有框架的最佳部分并将其应用到嵌入式系统领域,”Grove说。“这对于当今的网络安全来说是一件大事,嵌入式系统有自己独特的挑战——与IT截然不同,但也更关键。”
Grove认为EMB3D对于小型资产所有者来说是一种有用的资源,因为他们可能并不总是有资源来独自应对威胁。EMB3D就像一个路线图,使网络安全导航变得更加简单。他预测,规模较小的公司可能没有奢侈的定制安全工具,但他们会发现这特别有帮助。与此同时,较大的公司也可以受益,因为这可以节省他们开发自己的安全指标和措施的麻烦和费用。Grove表示:“EMB3D提供了一种标准化、有效的方法来处理网络安全风险。这不仅仅是发现问题;这是从一开始就将安全性构建到设备中。”
ICS和OT环境中的嵌入式设备对攻击者来说是一个有吸引力的目标,因为它们相对缺乏适当的安全性且漏洞测试不充分。Nozomi Networks今年早些时候发布的研究显示,过去一年中,威胁行为者加大了针对这些设备的攻击力度,特别是在粮食和农业等领域。化学、水处理和制造。去年,美国网络安全和基础设施安全局 (CISA)就ICS威胁提供的建议和指导越来越多地指向OT环境。
MITRE的使命驱动型团队致力于解决问题,打造更安全的世界。通过其公私合作伙伴关系以及作为联邦政府资助的研发中心的运营商,他们与政府合作并与行业合作,应对美国的国家安全、稳定和福祉面临的挑战。威胁模型目前正处于发布前审核期。Mitre鼓励有兴趣参与审查此框架的设备供应商、资产所有者、研究人员和学者将其询问发送至emb3d@mitre.org。
1.https://www.mitre.org/news-insights/news-release/mitre-red-balloon-security-and-narf-announce-emb3d
2.https://www.darkreading.com/ics-ot-security/mitre-debuts-ics-cyber-threat-modeling-embedded-systems
原文始发于微信公众号(关键基础设施安全应急响应中心):MITRE首次推出关键基础设施嵌入式设备的威胁模型
评论