通过端点系统管理应对不断增长的OT漏洞

网络安全的见解

• 管理您的OT系统，维护ICS资产清单，更新软件，实施多因素身份验证和利用OT监控系统，这些都是建议和最佳实践，以阻止来自ICS设备和关键基础设施的各种安全威胁。
• 补丁管理的主要挑战(例如，跟踪补丁的相关性、供应商对补丁的批准、操作风险、人员和资源的缺乏)导致组织在软件补丁方面落后。这可能会阻止组织实现CISA的基本缓解措施。
• CISA强调OT安全实践的基本原则和对新旧安全风险的认识。专注于预防网络安全威胁的核心原则仍然是优先事项，而不是每个新的网络威胁标题都令人兴奋。

---

最近的网络安全咨询警告详细说明top15常见OT漏洞和暴露(cve)在2021年经常被恶意网络行为者利用，以及其他cve经常被利用。已经有多个关于主题的其他版本，例如Industroyer2威胁，新出现的风险由于Russian-Ukraine冲突，新发现的恶意软件而且控制局面，这是一种专门针对工业控制系统(ICS)设备的高级恶意软件。

作战技术(OT)环境威胁的增加促使美国国家安全局(NSA)和网络安全和基础设施安全局(CISA)发布警告，警告网络行为者愿意利用互联网可访问的OT资产对关键基础设施进行恶意网络活动。

2021年，来自美国、澳大利亚、加拿大、新西兰和英国的网络安全当局评估了一个恶意网络行为者积极针对新披露的关键软件漏洞的广泛目标集，包括全球的公共和私营部门组织。在较小程度上，恶意网络行为者继续在广泛的目标范围内利用公开已知的、过时的软件漏洞。

虽然已经有了一系列关于命名各种威胁的警报和嗡嗡声，但建议仍然是相同的:通过核心安全基础来管理您的OT系统。这些建议都围绕CISA的ICS最佳实践进行了基本调整。

它们围绕以下领域展开:

• 维护ICS所有硬件和软件的资产清单
• 使用基于风险的评估方法更新软件，以确定哪些资产应该参与补丁管理程序
• 在hmi和工作站上实现允许/白名单
• 使用外围控制将ICS/监控和数据采集(SCADA)系统与企业和互联网网络隔离
• 关闭设备上未使用的端口和服务
• 为远程访问强制多因素身份验证
• 定期修改所有密码，并监控密码的状态
• 维护已知良好的备份
• 用强大的防病毒和其他端点检测功能保护系统
• 实现日志的收集和保存
• 利用OT监控解决方案对恶意行为进行警报

这些都是关于我们所说的“OT系统管理”．这个短语包含了OT安全的这些基本元素——从资产库存到漏洞、补丁和配置的端点管理等，再到受管理的网络分段以及受控的访问，以及最终的监控和恢复。

虽然这些警告对于提高社区的意识是绝对有价值的，但如果没有彻底阅读和理解所提出的建议，它们可能会引起混淆。我们经常会接到有关最新警报的电话，因为某个组织正在追踪最近在某个ICS系统中发现的特定威胁或特定威胁参与者或恶意软件。需要明确的是，我们作为一个行业了解这些新出现的威胁是至关重要的，CISA在认识这些威胁方面做出了巨大贡献。

但是，关键是组织要从这些版本的底部读到包含建议的缓解措施或行动的部分。这部分才是真正重要的——作为一个组织，你能做些什么来应对这些威胁。在这方面，信息是一致的- OT系统管理。基本安全控制的一致应用。

如果每个OT运营商都能超越这些基本要素，那就太好了，但事实是，大多数运营商仍在致力于这些核心要素。我们认为，这是我们作为一个行业必须关注的地方。

例如，许多工业组织没有积极地管理他们的OT端点。在许多情况下，他们没有这些端点的准确清单。如果库存存在，则通常缺乏对这些设备的主动管理，无论是打补丁、加固配置、更新密码和更新固件等。

有些可能有原始设备制造商(OEM)供应商，它们在某种基础上为特定的OEM应用程序集应用操作系统(OS)补丁和应用程序补丁。但通常情况下，我们在补丁过程之后，在查看Verve端点管理平台的输出时发现，这些补丁留下了许多关键漏洞，因为这些补丁不包括该设备上的其他应用程序软件，或者操作系统补丁没有得到批准，但解决了关键漏洞。

在2002年ICS咨询报告我们发现，在2019年至2020年期间，ICS-CERT咨询报告中的CVE增加了47%。在我们即将发布的2021年总结报告中，我们发现ICS漏洞的数量又增加了59%，但大多数组织都没有全面的、与供应商无关的补丁管理程序。

OT系统管理包括开发特定于ics的补丁管理工作。

补丁管理的主要挑战:

• 跟踪与特定设备相关的补丁
• 了解补丁是否得到了供应商的批准，以及供应商不再支持的生命周期结束的软件或系统
• 在正在进行的流程环境中应用补丁所需的重新启动的挑战
• 来自补丁的操作风险，如果没有进行适当的测试，可能会中断操作
• 需要固件更新的设备可能会对系统的其他部分产生连锁反应，需要整个系统升级才能完成，等等。
• 缺少管理流程的人员/资源

组织在软件补丁上总是落后一步(或两步或三步)，并在手动跟踪和管理补丁程序上花费宝贵的时间，这并不奇怪。

打补丁只是整个OT系统管理工作的一部分。请在这里查看补丁管理白皮书。

这一例子说明了在实现中钢协所规定的基本缓解措施方面所面临的挑战。

OT系统管理需要安全的“操作化”。对于ICS从业者来说，好消息是，如果我们能够“操作化”安全，运营商就能理解如何执行。控制工程师和生产人员每天都在改善他们的工厂的运作。他们有度量标准、目标、具体的质量改进计划、6-sigma或其他精益原则、平衡计分卡等。通过运营改进计划，全球工业运营商的基地每年都在不断提高生产率。

如果我们不再将网络安全视为只有拥有高级网络专业知识的人才能胜任的工作，而是开始将其运作为一系列每天都能改进的基本任务，那么我们就可以开始应用精益和其他原则来提高性能。

但是，如果我们让最新的标题和新的威胁名称分散了我们对CISA警报底部的基本要素的注意力，我们可能会失去整个任务的主线。

这些警告不应被视为“新消息”，而应被视为中钢协和其他人多年来一直在说的话——执行基本的OT安全实践。这样一来，我们就可以同时应对新旧安全风险。

-这最初出现在神韵工业的网站．Verve Industrial是CFE媒体和技术内容合作伙伴。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。