要考虑的四个OT、ICS安全补丁教训
通过使用OT (operational technology)补丁工具,收集完整的软件、漏洞和安全补丁信息,确保有完整的安全补丁列表。
通过使用OT (operational technology)补丁工具收集完整的软件、漏洞和安全补丁信息,从而获得全面的安全补丁列表,这听起来很简单。信息技术(IT)安全专家会告诉用户用漏洞评估工具扫描它。或者,如果是原始设备制造商(OEM)-供应商关系,使用他们的“批准”补丁列表。或者,查看供应商网站上标有“安全”的补丁。或者手动或自动识别设备上的软件/固件的常见漏洞和暴露(cve),并访问解决这些cve的补丁。
OT补丁管理远非简单
- 漏洞扫描工具对操作有负面影响。关键是要使用特定于OT的漏洞评估平台,以确保深度可见性,而不会危及敏感的OT资产。
- 在许多情况下,运营商没有强大的资产或软件库存。有些依赖于手动电子表格,有些依赖于被动库存工具,这些工具只能看到线上的东西。深入了解这些系统上的每个软件,每个软件上的准确补丁状态,并将其与漏洞联系起来是很重要的。
- oem认可的软件补丁列表通常不包括针对“关键”或“高”评级漏洞的补丁。如果不全面了解现有的漏洞和“相关的,如果没有批准的”补丁,运营商就会对他们的风险视而不见,oem批准的补丁列表并不总是包括部署在OT设备上的所有第三方软件。用户不应该在这些类型的系统上加载这个软件,但根据Verve的漏洞评估,我们知道情况往往不是这样。Adobe、Office、Java和一系列更令人惊讶的软件经常出现在OT系统上。如果不需要这些应用程序,请删除它们。如果无法删除,请确保用户独立检查OEM供应商可能永远不会测试的这些其他应用程序。
- 通常,OEM供应商将其补丁标记为“安全”的惯例排除了可能包含与安全相关内容的补丁。确保不仅要查看那些称为“安全性”的补丁,还要查看所有补丁说明,以捕获所有具有与环境相关的安全相关内容的补丁。
- 如果没有自动化的漏洞管理工具,手动检查CVE和其他数据库,如果只搜索特定版本,可能会导致错过漏洞。cve并不总是以标准格式结构化。至关重要的是,自动化工具或手动过程对CVE数据库中的“细节”有深入的了解,并具有广泛的逻辑搜索标准,以确保用户捕获环境中相关漏洞和补丁的全部数量。
- 最后,OT/ICS嵌入式设备是由一系列底层软件包构建的。Ripple20和Urgent11漏洞是主要的行业里程碑,因为它们识别了底层软件组件中的关键漏洞。除非供应商有一个健壮的软件物料清单(soms)和主动/主动漏洞程序,否则资产数据库中的资产可能不会出现在漏洞数据库中,即使底层组件是脆弱的。确保漏洞管理工具能够识别SBOM中潜在的“看不见的”漏洞。
检查与特定系统、状态和配置相关的安全补丁
简单的漏洞评估表明需要补丁,即使特定的系统可能由于各种原因不需要补丁。该补丁可能与该机器不“相关”,因为其他补丁已取代它。或者,设备的配置可能使补丁无关,因为设备没有设置运行某些服务或功能。例如,许多网络设备漏洞意味着需要补丁,但进一步阅读会发现,只有当设备具有某些启用的配置时,才需要补丁。由此产生了几项关键建议:
- 确认漏洞和补丁工具,请查看详细的补丁状态,而不仅仅是操作系统版本。这就是为什么Verve会深入了解所部署的所有补丁以及哪些补丁是相关的,而不仅仅是查看操作系统版本。
- 确保漏洞工具考虑了配置设置和其他补偿控制,以减少对特定补丁的需求和紧迫性。
- 如果某些配置设置被更改或服务被禁用,可以使用替代机制来缓解“Never”或“Next”漏洞,从而不需要补丁。
确保安全的四个问题,安全的安装路径和过程
在补丁管理过程中必须考虑以下四个问题:
- 在许多情况下,ICS设备已经很多年没有打补丁了。新的补丁可能需要操作人员从较早的补丁“遍历”补丁路径直到最新的补丁。部署最新的补丁可能会导致操作错误,并且很难逆转。在开始之前,仔细计划每个资产的补丁行走。一个例子是我们的一个客户,他的OEM系统从未打过补丁,并且必须经历10年的补丁,一次批次。
- 确保您已经更新并测试了备份。在进行任何修补活动之前,操作人员应确保设备具有可靠的最新备份。Verve定期提供备份状态的更新,以便用户在开始之前知道他们是否有高质量的备份可用,以防在出现补丁问题时需要恢复。我们已经看到oem批准的补丁破坏了用于收集设定值信息和控制过程的OPC服务器,备份对于使工厂重新启动和运行是非常宝贵的。
- 部署前请确认补丁的HASH值。几年前的“蜻蜓”攻击凸显了不安全补丁的风险。在北美电力行业,NERC现在要求将此作为所有修补的一个步骤。但是,这应该是所有ICS修补程序中的常见做法,以确保补丁文件的安全交付。
- 测试并确认。没有ICS补丁应该是“喷和祈祷”。花时间在一组设备上进行测试。部署后测试操作。让这些设备浸泡一段时间。然后转向其他类似的设备。仅仅确保设备有效重启是不够的。正确的补丁部署包括事后对设备和服务进行测试,以确保所有关键操作流程都处于正常工作状态。
在修补ICS/OT人机界面(hmi)、工作站或服务器时,确保确定“下游”影响。控制系统补丁的挑战并不止于需要重新启动。在许多情况下,在过程的一部分对软件的更改会对过程的其他部分产生影响。更糟糕的是,“现在”或“下一个”设备补丁可能会强制使用“永远”设备补丁。用户需要知道将这些补丁应用于控制系统的含义。
这可能会变得复杂,并且需要对OEM补丁过程有深入的了解。例如,更新OEM的工程软件可能会强制更新控制器固件或I/O卡,使得标准软件无法再次工作,除非这些设备更新。
控制器固件更新可能不在原始计划中,或者可能需要停机,但现在加载单个oem批准的补丁会导致所有工程能力的丧失,直到控制器和IO卡上的固件更新完成。
本文原载于工业的神韵的网站。神韵工业是CFE Media内容合作伙伴。
原创内容可在verveindustrial.com.
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
