一些最大的运营技术网络安全供应商正在建立一个开源的、选择加入的威胁情报共享门户,以提供有关关键基础设施威胁的早期预警。这个名为"新兴威胁开放共享"(ETHOS)的平台旨在打破信息差距,因为各组织无法获得关于可能影响整个能源部门、管道运营商或其他工业部门的最新黑客或漏洞的相同信息。
Nozomi Networks联合创始人兼首席产品官Andrea Carcano说:"大部分的威胁情报都包含在供应商的技术库存里。从这个角度来看,我们并不希望成为破坏性的一方。我们正在寻求提升游戏的水平。智慧将永远受限于你能看到的东西,市场份额有多大并不重要。"
由于这个问题,拜登政府已经领导了多次"冲刺",以提高各关键行业的可见度。ETHOS努力包括在关键基础设施领域运作的知名网络安全公司,如1898 & Co., Dragos, Claroty, Forescout, NetRise, Network Perception, Nozomi Networks, Schneider Electric, Tenable和Waterfall Security,是提高整个行业认识的最重要行业举措之一。
"这是我们可以拥有的可见性的巨大改进。这是我们以前从未拥有过的情报,"Carcano说。"我们可以真正发现国内是否有什么事情发生,而直到今天,这些事情都会被埋在Nozomi警报、Dragos警报、Claroty警报里面。"
Tenable公司负责OT和IoT的副首席技术官Marty Edwards在一份声明中说,OT内部的一个大挑战是知道哪些威胁实际上对一个组织构成威胁。
Edwards说:"ETHOS是一个与供应商无关的倡议,希望通过自动发现和传播来自其行业成员的真实世界的威胁信息,来目标将是为整个社区提供更多关于针对OT系统中新的和已知漏洞的威胁的洞察力。"
这一想法得到了网络安全和基础设施安全局的批准。CISA负责网络安全的执行助理主任Eric Goldstein在一份声明中说,"关键基础设施运营商,特别是运营技术网络所面临的威胁规模,需要一种以协作和互操作性为基础的信息共享方法。"
Goldstein表示:"CISA渴望继续支持社区驱动的努力,以减少阻碍及时和有效信息共享的孤岛。我们期待着与这些社区合作,包括ETHOS社区,以改善对潜在网络威胁的早期预警和响应,同时适当保护关于我们国家关键基础设施社区的敏感信息。"
Carcano解释说,该平台应该是这样运作的:与参与供应商之一合作的业主和运营商可以选择分享可能提供有关大规模攻击的早期警报的匿名情报。我们的想法是将社区和软件门户的开发开源,而情报将只在每个ETHOS服务器内访问。
ETHOS的资料不会公开。相反,只有那些在每个ETHOS实例中注册的人能够看到和分享情报--现在,这些情报通常是妥协的指标,如IP地址、域名和哈希值。最初的测试版将只有一台服务器,一般的会员申请将在6月开始。
Carcano举了一个例子,多家能源公司注意到了奇怪的行为,但几乎没有主动攻击的迹象。在工业场所内,恶意黑客一旦潜入,可能需要数月时间来了解他们所针对的具体环境。
"我们今天看到的最复杂的OT武器,他们并没有立即采取行动。"Carcano说。"在OT中,有更多的复杂性,有更多的时间需要能够造成破坏或渗出数据。"
Carcano说,他希望有一天,使用ETHOS的公用事业和其他关键公司可以选择将信息发送给CISA或能源部。或者,Carcano说,公用事业公司可以选择直接通过ETHOS提醒CISA他们看到了可疑的活动,这可以转到一个国际ETHOS服务器。