産業制御システムの所有者が疑わしいファイルを見つけるのを助けるホワイトリストプロジェクト

WhiteScopeと呼ばれる新たに立ち上げられたサービスが、産業制御システムの所有者と調査員に、 SCADA製品および関連ソフトウェアから。

[詳細を読む：Windows PCからマルウェアを削除する方法]

「いくつかのインシデント対応に参加している間、私はそれが実現していることに気付きました。 「正当なICS / SCADAファイルとは何か、それ以外のものは何かを知るのはかなり難しい」と、新しいサービスを作成したセキュリティ研究者のビリー・リオス氏はWhiteScopeサイトでこう語った。 「ICS / SCADAベンダーの圧倒的多数がソフトウェアへの署名を拒否したことを考えると、「FTShell.dll」や「WFCU.exe」（両方の正当なファイル）が本当にそこに存在するはずか"

過去にMicrosoftやGoogleで働いていたが、SCADAの独立したセキュリティ研究でも知られているRiosは、ファイルハッシュ、レジストリの変更、プロセス、ロードされたモジュールなどの「有名な良い」ファイルアーティファクトを収集した。

現在作成しているWhiteScopeデータベースには、General Electric、Schneider Electricなどの多数のベンダーの80以上のSCADAおよびICS製品バージョンに対応する346,458個のファイルが含まれています。

今のところ、このサービスではwww.icswhitelist.comのWebフォームからファイルやファイルのハッシュを投稿し、データベースのものと照合することができます。しかし、リオスは、ユーザーが複数のファイルやハッシュを一度に提出してチェックできるようにするアプリケーションプログラミングインターフェイス（API）を開発しています。

「データベースのヒット」は、送信したハッシュ/ファイルが以前はICS / SCADAの設置内に見られた」とリオス氏は述べている。 「A missは、以前はWhiteScopeがそのファイルを以前に見たことがないことを示しています。最初にファイルが署名されているかどうかを確認します。ファイルが署名されていない場合（ICS / SCADAの場合）、「サポートされている製品」ページを確認し、お探しの製品が製品リストにあるかどうかを確認してください。製品がリストに含まれていない場合は、当社と協力してその製品の適切なハッシュセットを取得することを検討してください。製品が製品リストにあり、私たちが持っているものと一致しない場合、私はそのファイルの調査を開始するだろう」と述べた。研究者は、ファームウェアデータベースと同様のホワイトリストの作成に取り掛かっている。典型的には署名されておらず、容易に検証することもできない、医療機器ソフトウェアである。