OT漏洞管理的最佳实践
了解为什么工业组织在为OT漏洞管理计划设置优先级时需要专业指导。
组织是否在管理内部的漏洞信息技术(它)或操作技术(OT)系统,优先级是有效降低利用这些系统内缺陷的攻击风险的一个重要因素。组织总是会在他们的资产中发现比他们的团队能够修复的更多的缺陷。诀窍在于筛选所有这些漏洞,并首先解决对组织构成最大风险的漏洞。
我们最初开始了这个关于OT漏洞管理最佳实践的博客系列,并大致解释了为什么ICS环境中的漏洞管理与服务器和企业端点的传统IT世界中的漏洞管理非常不同。在本系列的第二部分中,我们将特别解释OT和IT的补救优先级有什么不同,以及为什么行业组织在为其OT漏洞管理计划设置持续优先级时需要专门的指导。
优先级在漏洞管理中的作用
一个描述漏洞管理四个阶段的有用模型被分解如下:
- 发现资产:创建管理漏洞的资产清单。
- 识别/分类:通过漏洞评估,发现并记录资产组合中的漏洞。
- 优先考虑:根据风险对识别出的漏洞进行排名,以决定修复什么以及何时修复。
- 纠正/减少/接受:通过修复缺陷,围绕缺陷建立补偿控制,或者在其他因素需要时接受漏洞的风险,来确定优先级。
漏洞管理周期分为四个阶段。礼貌:德拉戈
在关键的优先级阶段,漏洞的行为通常是由分类数据决定的,比如通用漏洞评分系统(CVSS)对漏洞的严重程度进行评分,以及关于漏洞在野外通常如何被利用的情报。这还应该反映基于资产是什么、如何使用以及对业务的潜在影响的业务风险。
为什么OT漏洞管理优先级不同
OT漏洞的优先级需要特别注意,因为有太多额外的风险维度需要考虑,而这些风险是IT系统不存在的。IT漏洞优先级主要使用严重性评分和(有时)资产的业务关键性来设置。但OT资产经理还必须考虑漏洞被利用的操作和物理后果。这些问题通常会完全改变OT环境中的优先级计算。
不幸的是,OT漏洞正在显著增加,许多影响OT系统的标准风险建议充斥着错误,缺乏适当的缓解建议。在2021年Dragos年度回顾中,Dragos解释说,从2020年到2021年,已发布的ICS和OT漏洞数量几乎翻了一番。Dragos对2021年1703个ICS/OT常见漏洞和暴露(cve)的分析显示:
- 38%的OT漏洞包含与CVE相关的通用漏洞评分系统(CVSS)评分中的错误。
- 24%的人没有补丁
- 19%的人没有补丁,也没有替代缓解措施
- 64%的贴片患者没有其他缓解措施
- 2021年,35%的ICS和OT漏洞咨询可能会导致OT系统失去视野和控制
识别关键的“皇冠上的宝石”资产(例如,那些对保持工业机械运行至关重要的资产)是制定OT漏洞优先级决策的关键。但它也没有明确表示会立即采取行动。
通常情况下,如果皇冠宝石资产被漏洞修复活动破坏,它们也具有最高的操作风险。它们也是设备的关键部件,在理想情况下,它们最有可能受到OT环境中最安全控制的保护。所以,这个决定比这要微妙得多。
组织还需要考虑内部因素,例如哪些是OT网络中连接最多的系统——连接到第三方、不同供应商和外部世界,特别是如果通过这些资产存在通往互联网的路径。这些系统通常面临许多OT漏洞的最大风险。此外,关于OT环境中如何利用漏洞的威胁情报也是一个因素。
在2020年至2021年期间,发现的ICS/OT漏洞数量可能翻了一番,但Dragos发现,这些漏洞中只有4%需要立即采取行动,因为它们正在被积极利用,或者有公开的可利用漏洞。当然,诀窍在于了解哪4%的缺陷是最重要的。这就是为什么一个成熟的漏洞管理程序,由一个自动化平台支持,可以提供关于漏洞优先级的现成指导,是如此重要。
-这最初出现在德拉格的网站.Dragos是CFE媒体和技术内容合作伙伴。编辑自德拉格文章由CFE媒体和技术。
原始内容可以在德拉格.
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
