MITRE ACID är ett open source-verktyg för hotupptäckt i OT-miljöer. Baserat på ATT&CK, stöder det S7, EtherNet/IP och BACnet.
ACID är i grunden en samling indikatorer specifikt utvecklade för OT-protokoll. Dessa indikatorer baseras på det väl erkända ATT&CK-ramverket för industriella styrsystem (ICS). Detta skapar ett gemensamt språk för säkerhetsexperter, vilket möjliggör exakt identifiering och kommunikation av hot.
Ett huvudmål för ACID är att förbättra synligheten i OT-nätverk. Det fokuserar särskilt på konfigurationshantering och andra kritiska aktiviteter i nätverkstrafik. ACID använder nätverksövervakningsverktyget Zeek (tidigare känt som Bro) för att rapportera viktiga fynd och möjliggöra snabba svar på potentiella säkerhetsincidenter.
I sin nuvarande version stöder ACID protokollen S7, EtherNet/IP med CIP och BACnet. Detta täcker redan en stor del av kommunikationsprotokollen som används inom industrin. MITRE planerar dock att utöka stödet till ytterligare protokoll i framtiden.
En utmärkande egenskap hos ACID är flexibiliteten att anpassa sig till specifika miljöer. Detta möjliggörs genom MITRE Defensive OT Signatures (mDOTS). Företag kan finjustera upptäcktsmekanismer för att matcha sina behov och de teknologier de använder.
MITRE betonar att ACID är ett open source-projekt och aktivt utvecklas. Organisationen inbjuder uttryckligen till samarbete och feedback från gemenskapen.
För företag som driver industriella styrsystem erbjuder ACID en möjlighet att höja sin säkerhetsposition. Det ger djupare insikt i operationer inom OT-nätverk och hjälper till att upptäcka potentiella svagheter tidigt.
Med ACID markerar MITRE en viktig milstolpe i utvecklingen av säkerhetslösningar för industriella miljöer. Det kommer att vara intressant att se hur detta verktyg bevisar sig själv och utvecklas i praktiken.