ICS网络安全中的补偿控制

当软件补丁在工业网络安全中不是一个选项时,如何以及何时应用OT/ICS补偿控制。

通过里克Kaun 2021年2月17日
提供:神韵工业

大多数操作技术(OT)环境使用基于扫描的补丁工具,这些工具非常标准,但在向我们展示我们拥有哪些资产以及如何配置这些资产方面并不十分深刻。真正需要的是包含其操作背景的健壮的资产配置文件。资产IP,模型,操作系统等,是一个非常粗略的列表,可能在最新补丁的范围。更有价值的是操作环境,如资产对安全操作的重要性、资产位置、资产所有者等,以便适当地考虑我们正在出现的风险,因为并非所有OT资产都是平等的。那么,为什么不首先保护关键系统或确定合适的测试系统(反映关键领域系统)并从战略上降低风险呢?

在构建这些资产配置文件时,除了IP、Mac地址和OS版本之外,我们还需要包含尽可能多的资产信息。安装的软件、用户/帐户、端口、服务、注册表设置、最低权限控制、反病毒、白名单和备份状态等信息。这些类型的信息来源增加了我们在新风险出现时优先考虑和制定行动战略的能力。想要证据?看一下下面提供的常用分析流程。您将从哪里获得数据来回答各个阶段的问题?部落知识?本能?为什么不是数据呢?

自动修复软件补丁

另一个软件补丁挑战是部署和准备将补丁(或补偿控件)部署到端点。OT补丁管理中最耗时的任务之一是准备工作。它通常包括识别目标系统、配置补丁部署、在系统失败或首先扫描时进行故障排除、推送补丁以及重新扫描以确定成功。

但是,如果下一次像BlueKeep这样的风险出现时,您可以在目标系统上预加载您的文件,为下一步做好准备呢?您和您规模更小、更灵活的OT安全团队可以根据您的健壮资产配置文件(如资产位置或重要性)中的任意数量因素,计划将哪些工业系统的补丁更新滚到第一、第二和第三。

提供:神韵工业

提供:神韵工业

再进一步,想象一下,如果补丁管理技术不需要首先扫描,而是已经将补丁映射到范围内资产,并且当您安装它们时(无论是远程安装低风险的补丁,还是亲自安装高风险的补丁),这些任务验证了它们的成功,并在全局仪表板中反映了该进展?

对于您现在不能或不想修补的所有高风险资产,可以创建一个端口、服务或用户/帐户更改作为临时补偿控件。对于像BlueKeep这样的漏洞,您可以禁用远程桌面或来宾帐户。这种方法可以立即显著降低当前的风险,也可以为最终的补丁提供更多的准备时间。这让我想到了“后退”操作,即当补丁不可选时该怎么做——补偿控件。

什么是补偿控件?

补偿控件只是您可以并且应该部署的操作和安全设置,而不是(或者也应该部署)补丁。它们通常是主动部署的(在可能的情况下),但也可以在事件中部署,或者作为临时保护措施,例如在为BlueKeep打补丁时禁用远程桌面。

识别并应用OT安全性中的补偿控制

补偿控件有多种形式,包括应用程序白名单和保持防病毒更新。在这种情况下,让我们关注ICS端点管理作为OT补丁管理的关键支持组件。

补偿控制可以而且应该在主动和情境中使用。对于OT网络安全领域的任何人来说,发现在端点上安装的休眠管理帐户和不必要或未使用的软件都不足为奇。最佳实践系统强化原则并不像我们所希望的那样普遍,这也不是什么秘密。

为了保护我们的OT系统,我们还需要加强我们珍贵的财产。实时的、健壮的资产配置文件允许行业组织准确有效地清除低挂的果实(即休眠用户、不必要的软件和系统加固参数),以显著减少攻击面。

在不幸的情况下,我们有一个新兴的威胁(如BlueKeep),添加临时补偿控件是可行的。一个简单的案例研究来强调我的观点:

  • 释放BlueKeep漏洞。
  • 中央团队在所有现场资产和电子邮件中禁用远程桌面,在风险期间,需要逐个系统地启用远程桌面服务的特定请求的现场团队。
  • 中央团队在所有范围内资产上预加载补丁文件-不采取任何行动,只是准备。
  • 中央团队根据资产的关键程度、位置、存在或不存在补偿控制来决定最合理的行动计划(即,在上次备份失败的高影响资产上的关键风险将排在列表的首位。具有白名单效力和最近良好的完全备份的低影响资产可能会等待)。
  • 补丁开始发布,并在全球报告中实时更新进度。
  • 必要时,OT技术人员在控制台监督补丁部署。
    • 这种需求的时间安排和沟通是由中央团队使用的数据充分规划和优先级的。

这就是OT补丁管理应该如何处理。越来越多的组织开始实施这类项目。

积极主动地进行补偿控制

ICS补丁管理是困难的,是的,但简单地放弃尝试也不是一个好的回应。有一点远见,很容易提供三个最强大的工具,以更容易和更有效的修补和/或补偿控件。Insight会告诉你你拥有什么,它是如何配置的,以及它对你有多重要。上下文允许您确定优先级(第一次尝试修补-第二次尝试让您知道如何以及在哪里应用补偿控件)。动作允许你纠正、保护、偏转等。只依赖于监测就是承认你预料到会发生火灾,购买更多的烟雾探测器可能会将损害降到最低。你认为你的组织更喜欢哪种方法?

本文最初发表于工业的神韵的网站。神韵工业是CFE Media的内容合作伙伴。

原始内容可以在verveindustrial.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

里克Kaun
作者简介:瑞克·考恩,神韵工业公司
工程师新产品
搜索产品,发现你所在行业的创新