Los responsables de MITRE han visto mucho interés de la comunidad para crear un framework ATT&CK para Sistemas de Control Industrial (ICS) y la forma en que la metodología de ATT&CK podría aplicarse al dominio de ICS. Por eso, han aprovechando su experiencia para crear ATT&CK for ICS.

En pocas palabras, ATT&CK para ICS se creó a partir de la necesidad de comprender, concentrar y difundir mejor el conocimiento sobre el comportamiento de los adversario en el dominio de la tecnología ICS.

Para crear ATT&CK para ICS, el equipo revisó informes de incidentes públicos, documentos de investigación, presentaciones de conferencias, blogs y más para identificar y verificar la existencia de técnicas actuales in-the-wild. También trabajaron estrechamente con sus colaboradores y revisores para validar y mejorar el contenido. el objetivo es proporcionar un recurso que llene un vacío y aborde las preocupaciones de la tecnología ICS.

Si bien aún es un trabajo en progreso, se basa en gran medida en datos recopilables y observables sobre el comportamiento de los adversarios en los últimos años. La intención de liberar esta base de conocimiento es impulsar a la comunidad de profesionales de ICS a validar y, lo que es más importante, contribuir con datos para ayudar a madurar rápidamente esta base de conocimiento.

Un buen punto de partida sería mirar los informes de incidentes de Industroyer o Triton . En ambos incidentes, la infraestructura de TI se aprovechó como un conducto para obtener acceso a los sistemas industriales que eran los objetivos finales de los adversarios. Por ejemplo, Industroyer utiliza Remote System Discovery (T1018) y Network Service Scanning (T1046) para mapear la red y encontrar computadoras relevantes para el ataque.

Es bastante sencillo clasificar las etapas iniciales de estos ataques utilizando tácticas y técnicas de la base de conocimiento tradicional de ATT&CK Enterprise. Sin embargo, ATT&CK para empresas no aborda específicamente el comportamiento en las etapas posteriores de estos ataques. Los objetivos, objetivos técnicos y técnicas del adversario difieren significativamente entre los dominios Enterprise e ICS. Por ejemplo, Industroyer tiene la capacidad de emitir mensajes de comando no autorizados para cambiar el estado de los interruptores de subestación eléctrica y disyuntores directamente. Esta actividad está fuera del alcance de ATT&CK para empresas, pero ahora está representada como T855 en ATT&CK para ICS.

Está muy claro que existe una cierta superposición entre los dominios de tecnología Enterprise e ICS. No obstante, ATT&CK para ICS se centra principalmente en las acciones que toman los adversarios contra los sistemas y funciones no basados ​​en TI y que solo aplican a ICS. Este enfoque define ATT&CK para ICS como una base de conocimiento única y vital en el ecosistema de MITRE.

Se puede comenzar con los siguientes enlaces para familiarizarse con ATT&CK para ICS:

• Full list of ATT&CK for ICS techniques
• Software used by ICS threats
• Adversary groups from ICS related incidents
• Assets present in ICS
• Contribute

Fuente: MITRE