面對日益複雜且多變的網路威脅，企業組織的內部網路環境往往具有高度的異質性。不同的架構、操作系統、應用程式以及使用模式，讓單一的偵測邏輯難以通用於所有環境。同時，隨著攻擊者持續演進其技術與策略。為此，偵測工程（Detection Engineering） 應運而生，成為近年來藍隊廣泛討論的重要主題。偵測工程的核心目標 是透過系統化的流程與方法論，有效率地設計和實現適用於自身環境的偵測規則。它將攻擊行為抽象化為特徵模式，專注於行為而非工具，使得偵測邏輯不僅具備更高的靈活性，還能適應快速變化的攻擊場景。在本次演講中，我們將深入探討偵測工程的核心概念與實踐流程，並結合實際案例進行演示，說明如何透過系統化的流程設計出能有效辨識這類行為的偵測規則。此外，我們將介紹如何利用像 MITRE ATT&CK 等標準化框架，搭配 Abstraction Map ，將攻擊行為分層解構，精確定位潛在的偵測點。

針對 OT/ICS 攻擊行動的攻擊者，其攻擊行為都經過高縝密計畫並濫用諸多看似合法的才得以越過多層次防護的層層防護、自 IT 外圍入侵至工控內部並濫用合法的感染途徑來進行攻擊，例如 2023 年俄羅斯網軍 Sandworm actor 就濫用了 OT-level living off the land (LotL) 技巧停用烏克蘭電力基礎設施以癱瘓電力設施。然而，這種濫用 OT/ICS 原生系統發動的攻擊對於現代 IT 解決方案而言過於複雜且難以斷定其明確惡意性並即時阻擋，使得過往推崇的 Multiple Layers of Protection 嚴格偵測惡意行為的策略驟然失效。

在這份研究中，我們將提出有別既往強調偵測惡意行為的新偵測手法打造專為 OT/ICS 而生的 AI 偵測策略 —— 透過 Process Relationship 與可疑行為的雙模態模型 BenignSuspicious2Vec 建模工控中那些難以被斷定惡意但可疑的良性行為，並透過大量學習建模野外針對 OT/ICS 惡意攻擊如何濫用這些可疑行為、達到讓 AI 能夠高精度偵測並分類出已知的野外 OT/ICS 攻擊行為。

在我們一年的實驗中，我們透過 562 條專家撰寫的可疑行為 Rules 用於捕獲多個真實 OT/ICS 廠房中良性軟體產生的可疑行為、總共回收了並訓練了其中的 2, 000, 000 回應行為，我們將這些獨特的可疑行為採用 Word Embedding 技術轉化為向量化的「惡意程式樣本」成功建模 VirusTotal 上已知的 OT/ICS 攻擊行為。並且我們成功使用了這套新穎的 AI 模型在 52438 支真實工廠環境程序中捕獲到 12 支變種的惡意程式。

"針對軌道系統的攻擊增加了220%" 美國國家安全局 (NSA) 退役官員於去年八月指出鐵路威脅在區域戰爭中成為了引發戰火的導火線。隨著近年來火車劫持、鐵道癱瘓與切斷補給成為了全球新的國家安全隱憂，美國國家標準局 (NIST) 與運輸安全管理局 (TSA) 已於 2022 年十月聯合發布了更為嚴苛的鐵路安全標準以抵禦這類威脅，防護各式重大關鍵交通系統如捷運、鐵路與火車系統等…。然而儘管如此，由於鐵路與通訊式列車控制系統發展甚早，因此許多不安全的列車訊號系統已成為全球普遍導入，成為公眾交通與貨物運輸的主流選擇。

為完整探索此類威脅的全貌，這場議程我們對全球鐵路與公共交通所使用的六大系統 (例：CBTC、ATP、ATC 與 PZB) 進行統整與總結，對其底層軌道訊號控制系統進行探討。將從 CODE BLUE 2024 提出的一份關於 ATS (Automatic Train Stop) 研究開始，此經典系統在日本與歐洲被大規模導入，其訊號設計的目的是當列車遭遇緊急危險可以自動停止，無須人為介入；但攻擊者在有效理解後、加以濫用即可控制列車的行為，甚至北美鐵路所使用的現代化 ATC (Automatic Train Control) 也有相同風險。議程內容將包含制動裝置 (Brake)、訊號自動化制動、HOTT (Head of Train Telemetry) 和 EOTT (End of Train Telemetry)，深入相關通信設計，並以真實重放訊號攻擊來檢視其安全風險，並在議程尾聲提供防範建議，以此前瞻未來軌道資安系統的建置與規畫，守護軌道關建基礎設施。