MITRE onderzocht de detectie van de Russische Triton malware door vijf cybersecurity tools voor industriële controlesystemen (ICS). Gisteren kondigde het kenniscentrum zijn eerste evaluaties aan.
MITRE ATT&CK gebruikte de Russische Triton malware om de opsporingskwaliteiten van vijf cybersecurity tools van ICS-leveranciers Armis, Claroty, Microsoft, Dragos en the Institute for Information Industry te onderzoeken. Gezien de toename in ICS aanvallen, zijn deze evaluaties erg relevant voor industriële organisaties. ICS- en OT-omgevingen hangen immers steeds vaker aan het internet, wat hen kwetsbaar maakt voor vernietigende aanvallen. MITRE, gekend van de CVE-stempels voor beveiligingslekken, wil nu aan de beveiliging van de systemen bijdragen.
Triton malware
Het Russisch Central Scientific Research Institute of Chemistry and Mechanics creëerde Triton malware en zette die eerder al in om ICS systemen aan te vallen in Noord-Amerika, Europa en het Midden-Oosten. Deze malware zorgt ervoor dat operatoren niet kunnen reageren op storingen in hun eigen veiligheidssystemen, wat soms fataal kan aflopen. Voordien werden ook al aanvallen op fabrieken met een vitale infrastructuur gerapporteerd.
MITRE koos de Triton malware uit om zo desastreuze gevolgen van een ICS aanval te kunnen vermijden in de toekomst. Dankzij de grote hoeveelheid publieke data wordt de simulatie ook als fundamenteel en krachtig gezien. Organisaties kunnen op die manier security tools ontwikkelen die passen bij hun individuele veiligheidsnoden.
ICS aanvallen opsporen
Volgens MITRE zijn er verschillende manieren én tools om ICS aanvallen op te sporen. De ATT&CK-evaluaties helpen veiligheidsoperatoren beter begrijpen hoe ze het stadium van de aanval kunnen herkennen, welk type data ze moeten verzamelen en hoe informatie wordt gepresenteerd. Gezien bedrijven weinig tijd en middelen hebben om verschillende security tools te testen, voorziet MITRE helderheid over de werking ervan. Zo kunnen organisaties kiezen welke tools ze willen gebruiken om hun systemen veilig te stellen.
Wat is MITRE ATT&CK?
MITRE ATT&CK is het door MITRE opgerichte kenniscentrum dat specifieke modellen en methodologieën ontwikkelt om gekende bedreigingen van industriële controlesystemen op te sporen. Het werkt samen met de private sector en de overheid, zonder hier iets voor aan te rekenen. MITRE ATT&CK beschrijft de tactieken en technieken die ICS aanvallers gebruiken om systemen van bedrijven zoals energiecentrales, waterzuiveringsstations en olieraffinaderijen binnen te dringen.
lees ook