ETHOS (Emerging Threat Open Sharing) é um sistema inovador projetado para fornecer compartilhamento de informações em tempo real para detecção de alerta precoce e investigação de comportamento anômalo em vários ambientes de tecnologia operacional (OT) e sistemas de controle industrial (ICS). Ao contrário dos sistemas tradicionais de compartilhamento de dados que alertam sobre detecções conhecidas e assinaturas de malware, o ETHOS automatiza a análise de frequência de ameaças e atividades emergentes para permitir respostas mais rápidas a novas táticas, técnicas e procedimentos (TTPs). Isso ajuda a identificar e classificar novas ameaças mais rapidamente e evitar caminhos de ataque severos resultantes da exploração bem-sucedida.
Qualquer entidade ou fornecedor de segurança pode contribuir com o projeto ETHOS e hospedar seu próprio servidor para comparar informações compartilhadas, contribuir com dados anônimos e receber notificações de correlações. A Nozomi Networks se ofereceu para hospedar o primeiro servidor ETHOS para testes beta e já desenvolveu recursos de integração para compartilhamento de dados máquina a máquina. O sistema foi desenvolvido para ambientes OT, e os benefícios do ETHOS incluem prazos reduzidos para refinar dados, identificar e classificar novas ameaças e impedir que caminhos de ataque graves sejam explorados com sucesso.
No futuro, qualquer empresa ou agência governamental poderá hospedar um servidor ETHOS usando o projeto de código aberto. O host permitirá que participantes e clientes selecionados se conectem e compartilhem informações. Para participar de um servidor ETHOS e receber notificações, uma entidade deve ter um cliente ETHOS construído com recursos de integração para enviar dados. Cada servidor ETHOS realizará exclusivamente correlações de dados compartilhados pelos clientes participantes ou ferramentas integradas de monitoramento e detecção. Cada cliente receberá um ID exclusivo para o servidor, e a autenticação ocorrerá sem identificação dos dados de nenhum cliente fornecedor. Os usuários finais receberão notificações para investigar e realizar análises mais profundas com base nas notificações do ETHOS, e a responsabilidade por realizar tal análise caberá aos clientes que optaram por receber notificações agregadas e correlacionadas do servidor.
Necessidade de compartilhamento proativo de informações
A necessidade de compartilhamento proativo de informações para evitar ataques cibernéticos em entidades de infraestrutura crítica tornou-se cada vez mais importante nos últimos anos. Enquanto as agências do governo dos EUA estão considerando novas maneiras de permitir o compartilhamento de informações e produzir avisos, nenhuma fonte de informação pode informar toda uma indústria. Para enfrentar esse desafio, a iniciativa ETHOS pode servir como um veículo terceirizado confiável para alerta antecipado de ataques iminentes com base em muitas entidades operando de forma independente e compartilhando informações anonimamente.
A natureza determinística e específica dos sistemas e operações ciberfísicas garante que não haja dois ataques iguais ao OT/ICS. As detecções criadas em resposta a ataques conhecidos podem nunca ser adequadas para impedir novos ataques, que geralmente utilizam vetores e malware específicos de TI e OT. Com o andaime necessário construído para compartilhamento de informações anônimas em tempo real, independente do fornecedor e de terceiros, a comunidade ETHOS pode ajudar as entidades de infraestrutura crítica e as partes interessadas a se manterem informadas e protegidas contra ameaças cibernéticas em evolução.
A perspectiva ETHOS
A iniciativa ETHOS procura abordar as limitações das plataformas de compartilhamento de inteligência de ameaças existentes, como o servidor STIX/TAXII. Embora essas plataformas permitam o compartilhamento de dados disponíveis, elas não são projetadas para fornecer alertas imediatos e em tempo real para informações confidenciais. Para superar essas limitações, a plataforma ETHOS utiliza ferramentas de monitoramento e detecção de segurança para fornecer às equipes de segurança alertas imediatos para dados de frequência correlacionados de atividades anormais, eventos ou indicadores ainda não reconhecidos de atividade de rede maliciosa ou frívola.
Por exemplo, considere uma grande concessionária de energia elétrica que implanta soluções da Nozomi Networks para monitoramento de rede, inteligência de ameaças e inteligência de ativos. Se o utilitário experimentar um evento que acione uma detecção de anomalia para sua equipe de segurança, pode não haver nenhuma correlação se o evento for detectado em muitos locais em várias tecnologias de fornecedores implantadas. Sem correlação, as operações de risco podem não ser investigadas por semanas ou meses. No entanto, se uma dúzia ou mais de concessionárias de energia elétrica com soluções de vários fornecedores detectarem o mesmo endereço IP desconhecido correlacionado em um servidor ETHOS, as equipes de segurança poderão investigar proativamente e tomar medidas preventivas.
A capacidade da plataforma ETHOS de comparar atividades espúrias e frequência de eventos permite que os usuários finais participantes priorizem as atividades mais suspeitas que não estão associadas a assinaturas e detecções conhecidas. Esse recurso permite a investigação das evidências que podem prenunciar grandes eventos de segurança em uma base de clientes, setor inteiro ou muitos setores. Com o ETHOS, as equipes de segurança podem tomar medidas proativas para evitar possíveis ameaças cibernéticas, em vez de reagir a ataques conhecidos.
Para saber mais, clique aqui.