Bővítik a sérülékenységek kategorizálására használ CWE-besorolást (Common Weakness Enumeration) az ipari rendszerek specifikus kockázataival. A szervezeti kereteket a MITRE biztosítja. Az új szervezetnek a célja, hogy javítsa az ipari vezérlőrendszerek (ICS) és az operatív technológiák (OT) kibervédelmi szintjét, írta a SecurityWeek. A nonprofit MITRE, amely az általános informatikai rendszerek sérülékenységeket tipizáló CWE-ért is felel (ez nem keverendő össze a konkrét sebezhetőségeket ismertető, illetve azok veszélyességét 10-es skálán értékelő CVE besorolással), olyan kutatóintézeteket fog össze, melyek feladata, hogy szövetségi szinten támogassanak különböző területeket, például a nemzetbiztonságot vagy a kiberbiztonságot.

A MITRE a munkába bevont egy a területre specializálódott kutatóintézetet, a Cybersecurity Manufacturing Innovation Institute-ot (CyManII). Emellett támogatja a kezdeményezést az USA energiaügyi minisztériuma egy hivatalán keresztül, valamint más kormányzati fenntartású biztonsági témákkal foglalkozó kutatóintézetek.

A munka eredményeként nem csak CWE keretrendszert egészítik ICS/OT-specifikus elemekkel, hanem a Common Attack Pattern Enumeration and Classification nevű (CAPEC) programot is. Utóbbi nyújt segítséget a támadások azonosításában és megértésében.

Kutatók és gyártók közös platformjának szánják

A szervezeti egység (a MITRE terminológiájában SIG, azaz special interest group) célja az, hogy fórumot biztosítson a kutatók és a gyártók számára a vélemény- és tapasztalatcserére, és közösen segítség az ICS/OT-re jellemző sebezhetőségek és támadási minták azonosítását és osztályozását.

A fórum nyitott, ahhoz ICS/OT-sebezhetőségi kutatók, mérnökök, OEM-ek, rendszerintegrátorok, infrastruktúra-értékesítők ugyanúgy csatlakozhatnak, mint az eszközök tulajdonosai és üzemeltetői. A MITRE azonban arra felhívja a figyelmet, hogy ez alapvetően egy műszaki szerveződés, azaz jöhetnek a menedzserek, vezetők, csak hozzanak magukkal egy műszaki munkatársat, aki érti is, amiről a többiek beszélnek.

Az új SIG nagyon fontos hiányosságot pótol azzal, hogy elkezdi kidolgozni annak kereteit, hogy a hagyományos informatikai sebezhetőségektől eltérően lehessen kezelni, kategorizálni az ICS/OT-terület biztonsági kiberbiztonsági problémáit, nyilatkozta az energiaügyi minisztérium által delegált hivatal, a DOE CESER (Cybersecurity, Energy Security, and Emergency Response) igazgatója, Puesh Kumar. Az igazgató elsősorban a kritikus infrastruktúrák biztonságának terén vár előrelépést.