MITRE ACID er et open-source værktøj til truslerdetektion i OT miljøer. Baseret på ATT&CK understøtter den S7, EtherNet/IP og BACnet.
ACID er grundlæggende en samling af indikatorer specifikt udviklet til OT protokoller. Disse indikatorer er baseret på den bredt anerkendte ATT&CK ramme for industrielle kontrolsystemer (ICS). Dette skaber et fælles sprog for sikkerhedsprofessionelle, der muliggør præcis identifikation og kommunikation af trusler.
Et hovedmål for ACID er at forbedre synligheden i OT netværk. Den fokuserer især på konfigurationsstyring og andre kritiske aktiviteter i netværkstrafik. ACID bruger netværksovervågningsværktøjet Zeek (tidligere kendt som Bro) til at rapportere vigtige fund og muliggøre hurtige reaktioner på potentielle sikkerhedshændelser.
I sin nuværende version understøtter ACID protokollerne S7, EtherNet/IP med CIP og BACnet. Dette dækker allerede en stor del af de kommunikationsprotokoller, der bruges i industrien. MITRE planlægger dog at udvide understøttelsen til yderligere protokoller i fremtiden.
Et karakteristisk træk ved ACID er fleksibiliteten til at tilpasse sig specifikke miljøer. Dette er muliggjort af MITRE Defensive OT Signatures (mDOTS). Virksomheder kan finjustere detektionsmekanismer for at matche deres behov og de teknologier, de implementerer.
MITRE understreger, at ACID er et open-source projekt og bliver aktivt udviklet. Organisationen inviterer eksplicit til samarbejde og feedback fra fællesskabet.
For virksomheder, der driver industrielle kontrolsystemer, tilbyder ACID en chance for at hæve deres sikkerhedsstilling. Den giver dybere indsigt i operationer inden for OT netværk og hjælper med at opdage potentielle svagheder tidligt.
Med ACID markerer MITRE en vigtig milepæl i udviklingen af sikkerhedsløsninger for industrielle miljøer. Det vil være interessant at se, hvordan dette værktøj beviser sig selv og udvikler sig i praksis.