Forecout研究實驗室和JFrog安全研究聯(lián)合披露了一組14個影響NicheStack TCP/IP堆棧(也稱為InterNiche堆棧)的新漏洞,。NicheStack用于運營技術(OT)和關鍵基礎設施領域的多個設備,如廣受歡迎的西門子S7系列plc,。其他主要OT設備供應商,,如艾默生、霍尼韋爾,、三菱電氣,、羅克韋爾自動化和施耐德電氣被提到是InterNiche的客戶,InterNiche是堆棧的最初開發(fā)人員,。由于這種流行在OT,,最受影響的垂直行業(yè)是制造業(yè)。這批漏洞也正是機器學習等自動化漏洞挖掘的成果,。美國能源部(Department of Energy)正在將機器學習(ML)與它開發(fā)的一種威脅信息共享工具整合在一起,,以發(fā)現(xiàn)電網(wǎng)控制系統(tǒng)中嵌入的網(wǎng)絡安全漏洞。
能源部的電網(wǎng)現(xiàn)代化實驗室聯(lián)盟(GMLC)由愛達荷州,、阿貢州和桑迪亞國家實驗室和國家可再生能源實驗室組成——所有這些實驗室都在固件指揮和控制(FC2)項目上共同工作,。
2014年11月,能源部啟動了電網(wǎng)現(xiàn)代化的跨領域計劃,。這包括啟動電網(wǎng)現(xiàn)代化實驗室聯(lián)盟,,使從事能源部電網(wǎng)項目的國家實驗室參與進來,為規(guī)劃和提供支持電網(wǎng)現(xiàn)代化的創(chuàng)新和思想領導建立一個新的綜合方法,。這種橫切方式確保了能源部的研發(fā)投資和能力得到充分協(xié)調(diào),。
該技術團隊由來自能源部國家實驗室的65名領先科學家和工程師組成,與六個技術目標保持一致:傳感和測量,、設備和集成系統(tǒng),、系統(tǒng)操作、潮流和控制,、設計和規(guī)劃工具,、安全性和彈性、機構的支持,。
在工業(yè)控制系統(tǒng)和操作技術(OT)中,,固件通常是易受攻擊的永久性軟件,愛達荷國家實驗室INL與軟件公司Forescout合作,,確保FC2的網(wǎng)絡數(shù)據(jù)分析可以用ML檢測到以固件為中心的漏洞,。
INL的基礎架構顧問Rita Foster在評論中說:“嵌入式系統(tǒng)就像一個黑盒子,幾乎不知道下面的代碼是由哪些子組件構成的,,這削弱了保護機制,,并可能使系統(tǒng)變得脆弱。”“新興的機器學習技術能夠識別無處不在的庫,,這些庫可能包含已知的潛在漏洞,。”
INL進一步開發(fā)了結構化威脅情報圖(STIG),,用于在電網(wǎng)公用事業(yè)和OT供應商之間共享可操作的威脅信息,,OT供應商通常對這類信息非常吝嗇,不愿意共享,。STIG不是讓威脅分析人員閱讀數(shù)千行代碼,,而是可視化攻擊模式、危害指標和漏洞利用之間的關系,,并提出緩解措施,。
FC2和更廣泛的GMLC正在幫助像南加州愛迪生公司和底特律能源公司這樣的公用事業(yè)公司——作為大型、昂貴的試驗臺——增強他們的電網(wǎng)架構,。與此同時,,OT制造商合作伙伴,如西門子,、羅克韋爾自動化,、伊頓、通用電氣和日立,,可以開發(fā)更好的網(wǎng)絡保護,。
福斯特說:“對共享安全威脅信息和情報的分析工具的需求已經(jīng)明顯上升,而現(xiàn)有工具已被證明是不足夠的,?!?/p>
政府選擇的許多知名OT制造商——艾默生、霍尼韋爾,、三菱電氣,、羅克韋爾自動化和施耐德電氣——都與InterNiche有業(yè)務關系,當?shù)貢r間周三,,InterNiche的代碼庫被披露有14個新發(fā)現(xiàn)的漏洞,。
Forescout研究實驗室和JFrog安全研究公司公布了一套名為INFRA:HALT的設備,作為前者項目備忘錄的一部分,。這些漏洞允許遠程代碼執(zhí)行,、拒絕服務、信息泄露,、傳輸控制協(xié)議欺騙和域名系統(tǒng)緩存投毒,,這些都可能危及OT和電網(wǎng)等關鍵基礎設施。這波漏洞的影響還是很廣泛的,。
Forescout的報告建議實用程序通過網(wǎng)絡分段限制關鍵脆弱設備的網(wǎng)絡暴露,,一旦供應商發(fā)布補丁,,就應用補丁,并阻止或禁用對未使用的協(xié)議(如HTTP)的支持,。
這14個漏洞是通過使用先進的自動化二進制分析來大規(guī)模發(fā)現(xiàn)的,。
報告稱:“我們相信網(wǎng)絡安全領域正處于一個轉折點,,自動化漏洞發(fā)現(xiàn)技術將很快變得更加普遍,,這將使發(fā)現(xiàn)非常大規(guī)模的漏洞(如影響TCP/IP堆棧的漏洞)更快、更頻繁,?!薄叭欢羞@些漏洞都必須被披露,,映射到受影響的設備上,,并加以緩解?!?/p>