我们使用针对对手技术和紫色团队活动的研究来设计基于威胁的工业控制系统(IC)的网络探测。我们建立技术要求,以告知分析以实施或获取。
工业控制系统中的检测工程 - 乌克兰2016年攻击:Sandworm团队和Industroyer案例研究
我们将MITER的Tchamp威胁狩猎方法扩展到工业控制系统(ICS),确定和应对ICS环境所特有的挑战。我们执行防御性的分析发展过程,利用乌克兰2016网络攻击作为我们获得要求的用例。我们描述了紫色团队活动和对技术执行的研究,以确定适当的技术深度以支持检测工程过程。了解如何将攻击映射到目标ICS环境并了解对手可用的选项的广度对于开发足够特定的检测至关重要。
该过程的输出是一组可用的分析,从概念验证到现成的生产部署的成熟度不等。我们使用示例用例来从商业和开源工具中进行工作,从而为定制或商业化的检测功能建立技术要求。我们涵盖了我们开发的分析,并讨论了未来ICS检测工程工作的经验教训。