克服OT环境下的补丁、管理漏洞

由于存在大量不同的资产,在操作技术(OT)环境中,漏洞监视和评估尤其具有挑战性。

通过史蒂夫·麦金托什 2021年5月7日
提供:工业卫士

漏洞是计算资源中的一个弱点,可以被利用来造成损害。降低漏洞风险是通过一个有效的脆弱性管理包括漏洞监视、漏洞风险评估和漏洞缓解要素的程序。

为了实现有效的漏洞监控,用户必须了解:

  • 您所拥有的计算资产,包括它们的配置细节。
  • 与这些资产配置相关的漏洞是什么,它们是如何工作的,利用它们的难度有多大,以及成功的利用会造成什么样的损害。

此质量信息可以帮助有效地评估漏洞风险,决定对哪些资产采取何种缓解行动,并最终执行这些行动。

由于存在大量不同的资产,在操作技术(OT)环境中,漏洞监视和评估尤其具有挑战性。有效的漏洞缓解行动只有在漏洞监测和评估的基础上才能发挥作用。如果公司没有准确的资产数据库,包括这些资产的准确软件库存,他们就不能做出合理的缓解决策,漏洞管理工作也将无效。

在控制系统和OT环境中,有效的漏洞和补丁管理的重要性反映在标准中,如NERC cip - 007(系统安全管理),NERC cip - 010NIST SP 800-40 Rev. 3(企业补丁管理技术指南),ISA/IEC TR 62443-2-3(工业自动化和控制系统环境中的补丁管理)。这些标准包括为审计目的记录漏洞管理工作的要求。

漏洞信息来源

网络漏洞信息有两个主要来源:NIST和NCCIC。NIST维护国家漏洞数据库(NVD)由来自MITRE的CVE列表的常见漏洞和暴露(CVE)组成。

NCCIC,国家网络安全和通信集成中心工业控制系统,监督工业控制系统网络应急准备小组(ICS-CERT)发布警报和建议。ICS-CERT报告及时提供有关当前安全问题、漏洞和利用的信息,而警报则通知关键基础设施运营商当前可能影响关键基础设施系统和网络的网络威胁或活动。

漏洞信息的第三个来源是原始设备制造商(oem),他们通常只向其客户门户发布漏洞信息,而不向公众发布。这就产生了定期检查这些网站更新的手动任务。

关键OT漏洞管理挑战

控制系统和OT环境对有效的资产漏洞管理提出了几个挑战:

  • 生产敏感性-现有工具通常需要主动扫描网络和资产,这增加了生产操作中断的风险。
  • 设计目标不匹配大多数工具都是为IT设备和基础设施设计的,而不是不间断的生产OT环境。
  • 成本/功能不匹配-解决方案往往是高端的,非常昂贵,但比小客户可能需要的功能更多。
  • 〇劳动力不匹配保持最新的安全补丁需要大量的手工工作,可能比您的员工能够正确处理的要多。
  • 〇安全问题在OT环境下,如果不正确执行补丁操作,可能会对安全性、可操作性或可靠性造成负面影响。系统变更过程的管理至关重要。
  • 定制的缓解措施—通常情况下,漏洞可能存在,但不适用,因为公司使用设备的方式或已经采取了缓解措施,以防止有人利用该漏洞。当漏洞很严重,但还没有可用的补丁时,也会使用缓解措施。

OT补丁管理呢?

补丁管理应该根据所处理的漏洞的严重程度来优先考虑补丁。在大多数情况下,严重性评级基于通用漏洞评分系统(CVSS)。

CVSS分数:

  • 9到10被认为是紧急漏洞
  • 7 ~ 8.9为高影响漏洞
  • 4 ~ 6.9级为中等影响级别
  • 0 ~ 3.9为低影响漏洞。

NERC CIP要求安全相关补丁在发布后35天内进行评估。除此之外,补丁实施的时间框架因行业、流程、法规和经验而异。但是,负责任的OT修补程序将根据漏洞严重程度指定修补程序应用的时间框架,例如紧急漏洞为尽快,高影响漏洞为一周,中等影响漏洞为三个月,低影响漏洞为六个月或下一次可用的计划停机。

OT团队的补丁管理职责很多:他们需要持续监控多个来源的漏洞信息,确定哪些漏洞对其特定环境有影响,哪些资产需要哪些补丁来修复特定漏洞,修补这些漏洞,然后提供补丁已成功部署到整个资产库的确认。

有了这样一组至关重要的职责,OT团队成员显然不仅必须对漏洞严重程度和补丁可用性有充分的了解。他们还必须了解自己的资产。

构建有效的OT漏洞、补丁管理程序

资产知识是任何好的漏洞管理程序的核心。这包括了解他们当前的补丁级别和暴露情况,以便用户可以适当地优先考虑补丁和补救工作。要成功做到这一点,需要正确地结合人员、流程和技术。这个过程自动化程度越高,这个等式中的人员部分就越高效。

在评估支持人员和流程的技术时,确保供应商能够为您提供完整的、自动化的资产清单数据收集、实时漏洞监视、供应商批准的补丁数据以及每个补丁的安全评级。这让团队可以精确地看到哪些资产缺少供应商批准的补丁,或者在特定于供应商的提要中发布了开放的漏洞,从而做出更智能的补丁和缓解决策。

-本文最初发表于工业卫士网站工业的后卫是CFE Media的内容合作伙伴。由Chris Vavra编辑,web内容经理,CFE Media,cvavra@cfemedia.com

原始内容可以在www.industrialdefender.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

史蒂夫·麦金托什
作者简介:Steve McIntosh, Industrial Defender
工程师新产品
搜索产品,发现你所在行业的创新