【资料】DRAGOS开源情报白皮书（2020年12月）

Dragos调查和应对历史上最重要的工控系统（ICS）网络攻击，提供工控系统（ICS）网络安全软件；Dragos威胁情报订阅，提供有关全球工控系统（ICS）威胁的情报。

公开和半公开的数据(称为开源情报)可以使对手制定目标，识别对目标的访问和进入，并了解目标可能如何应对针对基础设施的破坏性攻击。以工业控制系统(ICS)为目标的攻击者，寻求开源信息来计划和执行出于破坏性目的攻击，不同于以传统企业资源为目标的攻击。例如，Dragos观察到对手正在进行针对工业控制系统(ICS)的活动，这些活动寻求有关能源基础设施和从破坏中恢复所需的物理过程的数据。有了这些数据，对手就可以瞄准与可恢复性相关的操作功能，以造成进一步攻击的后果。

Dragos创建了一个开源情报(OSINT)收集风险框架，以帮助防御者更好地识别和限制对意图破坏关键基础设施的对手最有价值的公开可用信息。此框架有助于确定对策和缓解措施的优先顺序，以拒绝对手利用OSINT收集攻击受害者的机会。

什么是开源情报？

主要信息类型

工业控制系统(ICS)

开源情报安全评估的研制

设想的范围

在整个公司范围内进行协作

详细说明系统和网络

识别来源和收集信息

行为分析和风险评估

开源情报采集与风险评分矩阵

防御和减灾的优先事项

开源情报集合缓解及漏洞补救

采取行动

结论

附录

定义

防御和减灾的优先事项(PODAM)工作表

开源情报涵盖多种应用。从根本上说，开源情报指的是收集公开和半公开可用的信息，这些信息用于多种功能，包括情报收集和报告、商业和政策分析，以及对手攻击研究。Dragos将从网络威胁情报的角度关注开源情报，应用于工业控制系统（ICS）资产所有者、工业控制系统（ICS）运营商和对手。

对手和防御者从各种来源收集OSINT。这不是一个详尽的列表，但演示了有助于攻击计划的公开可用信息的类型：

»搜索引擎
»社交媒体网站
»职务列表
»新闻网站
»公司网站
»供应商网站和文档，包括包含默认密码的安装文档
»财政和法律资源，如10-K文件或起诉书

»政府和监管机构网站
»Shodan1或Censys2等侦察工具
»在线扫描引擎，如VirusTotal3
»VendorLink4等商业征集门户网站
»公共存储库中由对手转储或存储在GitHub中的用户名和密码
»使用OSINT框架等工具

对手可能会寻求多种类型的信息，试图对目标进行侦察并制定攻击计划。识别这些信息并对公司人员进行有关公开暴露的潜在风险的教育，可以使防御者能够主动评估或删除可能被武器化的潜在信息。
基于美国(U.S.)，以下定义可以帮助识别相关的和潜在的可利用信息。国防部的卡弗矩阵，并协助建立在OSINT框架中使用的风险语言。

个人/人员信息：允许识别关键人员、一般人员或外部来源人员(例如承包商、第三方运营商)

例如：LinkedIn个人资料或承包商为目标新资料。

危害性信息：告知敌人攻击对目标持续行动的影响。目标的危急程度取决于其妥协或破坏是否对整个组织及其开展业务或运营的能力产生非常重大的影响。
例如：“皇冠上的宝石”操作，比如石油和天然气操作中的安全控制员或制造业中的数据专家。

可访问性信息：通知对手远程/物理访问目标或从其传出的能力或方法。
例如：向互联网公开的远程桌面协议(RDP)。

可恢复性信息：让对手深入了解目标的进程、系统或网络基础设施从攻击或危害中恢复的能力。
例如：在发生中断事件时有关电力设施服务恢复的信息。

漏洞信息：通知对手目标的基础架构、进程或响应操作中存在的漏洞。
例如：影响启用初始访问的虚拟专用网(VPN)设备的未打补丁漏洞。

效果信息：关于目标在攻击或妥协中可能遭受的直接或间接损失的信息。有关损失将对目标、其组织、流程或运营产生的影响的信息。

例如：针对安全仪表系统(SIS)的破坏性网络攻击的物理影响；多天停机造成的经济损失。

可识别性信息：帮助对手轻松识别目标以获得操作收益，并从内部和外部来源确定目标的模糊程度。

例如：ICS内目标工作站的MAC地址。

本文机器翻译由百分点智能翻译提供

官网地址：http://translate.percent.cn/