首届国际级工控资安评测出炉，5家业者响应，国内法人机构也参与

近年来，MITRE ATT&CK已成为企业关注的新资安攻防框架，而这项专案也逐年扩大，甚至成立了MITRE Engenuity公司，专门负责ATT&CK评估计划的执行。在此当中，除了大众熟知的ATT&CK for Enterprise完成三轮评估，台湾资安业者趋势科技与奥义智慧均两度连续参加，特别的是，首度针对工控领域的ATT&CK for ICS评估计划，评测结果在今年7月中旬出炉，展现了各业者产品对于Triton系列威胁的侦测能力。

面对OT资安威胁，相关产品与解决方案正受全球重视，少见的是，我国资讯工业策进会（资策会）并非商业化产品业者，也以验证研发能量与取经心态参加。由于国内也有一些资安业者投入工控资安产品研发，未来若能大胆参与这类计划，或将成为进军国际的契机，成为日后关注焦点。

针对ICS领域的评估计划首度举办，5家业者与机构参赛

对于日益严峻的工控系统安全领域，MITRE之前提出了ATT&CK for ICS，希望建立相关攻击知识库来帮助防御，但直到2020年1月，他们才正式发布其攻击矩阵与知识库。

接下来，MITRE持续扩大评估领域，到了2020年5月，发布了ATT&CK Evaluations for ICS。在这项评估计划之下，希望借由对应ATT＆CK定义攻击手法而成的模拟攻击，评估各产品对于工控环境威胁的侦测能力，也帮助这类领域资安业者提高安全能力。

这个针对ICS领域的资安评测，首届的攻击设想，是2017年造成沙特阿拉伯石化设备受害的Trition事件，评估内容可说是贯穿了一系列基于网络与主机的检测技术。

基本上，在这次评测环境中，是由主办方MITRE Engenuity建立虚拟工厂，模拟完整的锅炉运作控制环境，当中有2套关键系统，包含控制器与制程安全系统，该环境使用Rockwell设备，建立制程安全系统（SIS）的环境。因此，此评测环境并非原本Trisis攻击的Triconex系统，但整体攻击手法其实类似。

首届参加者有5位，包括微软，以及Armis、Claroty、Dragos等厂商，而来自台湾的资策会，也以自行研发的工业物联网威胁侦测系统（ICTD）参加。

虽然，本次ICS评测的参赛者不多，但从最早针对企业的ATT&CK评测来看，一开始只有7家业者有意愿参加，第三轮则已增加到29家业者。因此，尽管ICS领域的资安产品多是这五、六年来兴起，但在关键基础设施的安全议题备受关注之际，日后，应该会有更多ICS与OT安全业者响应。

关于这次评估计划，MITRE Engenuity在7月中旬公布结果。具体而言，以Triton为攻击设想的这次评测，总共采用了ATT&CK for ICS中的17个攻击技术手法。

在整体评测过程中，主办方将流程分成25大攻击步骤，以及102个攻击测试项目，而针对每个攻击细项的侦测结果，主办方也延续之前Enterprise的评测，以N/A、无侦测（None）、遥测（Telemetry），以及有效侦测的General、Tactic与Technique来展现。

因此，从评测结果中，可让产品受测方与外界都能清楚了解，在一连串攻击过程中，资安产品在侦测广度与深度上的表现。

首届ATT&CK Evaluations for ICS，以2017年造成沙特阿拉伯石化设备受害的Trition事件为攻击假想，在一连串模拟攻击过程使用了ATT&CK for ICS中的17个攻击技术手法，虽然这是MITRE Engenuity第一次发起针对工控领域的评测，但已有5家业者与机构愿意配合加入。

在评测结果中，外界可从25大攻击步骤或102攻击细项，了解各业者对于Triton事件攻击套路的侦测能力。（图为Armis的评估结果统计图表）

  

 

MITRE ATT&CK的评估计划中，会检视每个攻击步骤与攻击细项的侦测能力，同时也会将测试当下所记录到的产品界面截图并呈现。（图片来源：MITRE Engenuity，图为这次５家业者在评测中由主办方记录下的截图）

随着首届ATT&CK Evaluations for ICS结果公布，各家业者也针对结果发布自家侦测防护能力的表现：

●Armis
●Claroty
●Dragos
●资策会
●微软

不只验证自身技术能量，更希望带动国内OT资安迈向国际

不同于其他工控资安业者，为何国内法人机构会参与这项国际性评测，外界也很好奇。

事实上，对于制造业工厂潜藏的资安风险，我国经济部技术处在近年就以科技专案方式，提供资源给资策会投入资安科技研发。因此，近年资策会资安所已有相关成果，打造出一款工业物联网威胁侦测系统（ICTD）。

关于这次参与评测的动机？我们连系资策会资安所技术总监张文村，他表示，资安所在工控资安议题的研究已3年多，加上国内业者在工控资安解决方案的发展也相对较少，因此他们打算借由这样的机会，除了验证自身的技术能量，同时希望也吸取相关经验。

张文村表示，他们是在2020年6月，得知这项国际级的工控评测活动将要举办。当时，他们新的工控资安计划处于专案开始阶段，正在思考如何延续过往技术基础，结合业者需求，并透过实务场域来验证，而在经济部技术处的资源挹注下，除了以科技专案支持法人单位进行研发，在其他相关计划中，也有启动国际认证及协助业者进军国际市场的规划，加上当时ATT&CK Evaluations for Enterprise已举办两轮，因此，他们认为，从国内外业者的参与情形来看，不管是在国际上的能见度，以及技术能量评量的公正性，都是可以借重的经验与机会。

不过，他们也表示，以自身财团法人的身份而言，并不适合发展产品，主要还是聚焦在技术与工具的开发。此外，他们希望，将评测活动经验提供围培训与推广教材，并与本土业者进行交流。言下之意，主要是希望能帮助降低国内业者投入OT资安的门槛，并辅导业者进军国际。

甚至，他们也期望在台湾建立类似的小型评测环境，帮助国内OT领域资安产品与技术的初步验证，借此促进本土产业的发展。

至于首届针对ICS的ATT&CK评测，是如何进行？张文村表示，受到全球疫情影响，原定是参加团队与防御系统要一同到主办单位现场评测，改为仅寄送设备与系统过去，再由主办单位安装置标准攻防验测环境，以线上方式来评测与互动。

关于这次评测过程的经验，若以侦测来源来看，主要有三个面向，包括：Windows log、网络流量与PLC log。张文村认为，他们的白名单侦测机制，在工控环境很有成效，并采用AI异常分析技术，特别的是，由于工控领域未知协定太多，今年他们也聚焦于逆向工程为基础的协定关键特征萃取。

而他们也从这样的国际评测学到了不少。这是因为，他们的这套ICTD系统隶属研发计划，对于产品化的经验较为不足，因此他们在这次参赛面临到一些挑战。例如，在远距状况下，首先要确保对方都能会安装与使用，再者，对于检测结果在操作界面上的具体呈现上，为了佐证，也令他们团队花上不少力气来与对方沟通，像是很多评分除了要跳出警告之外，还要有自动化关联，以呈现所识别的何种恶意行为。