软件修补对安全操作至关重要,但也会带来更多风险

微软Windows XP支持的终止引发了人们对工业网络、与基于pc的资产的连接以及软件补丁的担忧。用11个关键问题评估软件补丁风险。在制造车间的应用中,安全和安全是一个综合问题。控制系统网络安全与桌面PC安全是不一样的。

通过马克锤 2014年4月30日

人们通常认为安全更新是独立的软件包,就好像最新的杀毒软件或微软Windows更新只是添加到安全堆栈中的一个新功能,使问题远离。然而,在给工业控制系统(ICS)上的网络资产打补丁时,需要比给办公室或家庭PC打补丁更小心一点。

当办公室或家庭电脑更新时(当然是自动的),可想而知会有意想不到的后果。除非出现锁定、蓝屏或主要应用程序故障等重大故障,否则假设一切都会更好地解决。在最坏的情况下,电脑需要重新启动,人们期望下一组更新将纠正这种不便。

在一个工业工厂的背景下,这种想法和缺乏意识会招致灾难。业务的连续性至关重要。即使是很小的通信中断或视线丢失也会产生意想不到的结果,例如作业中断,甚至对主要设备造成灾难性损坏(这可能会增加人员和生产的风险)。

定期应用经过测试和验证的软件补丁有助于维护对工厂基础设施的访问,并为日常运营提供关键的网络保护和可靠性。当运营商/业主采取自己动手的方式进行补丁时,他们经常会遇到意想不到的挑战和风险,因为在将软件更新上传到网络资产之前,需要正确识别和测试软件更新所需的带宽和资源。制造商提供的补丁是操作人员安全执行更新和维护工厂运行条件的绝佳起点。

需要打补丁吗?

我们真的需要在pc上安装这个补丁吗?

也许!软件制造商不断更新、测试和重新测试他们的产品,以提高安全性和操作效率。黑客们不断尝试寻找漏洞。这种组合导致更新的发布频率比许多运营商希望看到的要高。然而,工厂真的需要所有的更新吗?仅仅因为像微软这样拥有众多用户在各种环境下操作的公司说某个特定的更新是至关重要的,对于单个工厂的操作可能就不是这样了。事实上,虽然某些更新可能对数百万用户至关重要,但它们可能与其他许多用户无关。另一方面,对于。net等应用程序来说,由于缺乏对内部软件功能的了解,关键和及时的更新可能会被工厂操作员忽略。这就是为什么工厂操作员要求他们的设备制造商帮助识别、测试和上传补丁的系统过程是有益的。

评估补丁风险:11个关键问题

评估给定补丁的相关性可能是一项复杂的工作。来自软件制造商的知识库文章提供了有关更新的详细信息,这些文章通常是全面的,而且相当详细。要问的问题包括:

  1. 它影响的操作系统是否在您的操作中使用?
  2. 如果是,它所解决的漏洞在您的机器上是否有效?
  3. 什么防病毒签名更新可以检测和删除。ddl从我的SCADA应用程序?
  4. 系统是否使用SQL server或ie浏览器?
  5. Java或Adobe呢?
  6. 还有哪些第三方应用程序正在使用中?(许多个人电脑上的第三方应用程序列表可能比预期的要长。)
  7. 更新会影响防火墙设置或主机入侵检测应用程序(HIDS)吗?你可能会发现一个标有“关键”的补丁可以保护使用DVD制作应用程序的Windows机器免受可能的特洛伊木马感染。如果您的系统上没有安装DVD编辑功能,那么您可以不安装它。
  8. 什么是补丁?收集计算机操作系统、应用程序和其他第三方应用程序的所有补丁。
  9. 哪些补丁是关键的?找出哪些是关键的。
  10. 补丁应该如何测试?确定如何测试这些补丁。这个周期每30天开始一次。
  11. 风险和优先事项是什么?对于来自微软的关键补丁,它应该进入标准周期还是应该直接安装它?通过相关性测试的补丁不会对工作环境造成任何明显的变化,并继续提供针对安全威胁的额外保护。相关的操作安全和安全风险是什么?]

排除控制系统交互

验证补丁的首选方法是在具有代表性的硬件/软件平台上运行一组受控测试。维护系统或模拟器通常提供一个环境,在这个环境中,一个坏的补丁结果不会中断工厂的操作。一旦贴片组通过了这一系列的测试,制造商就开始在实际的工厂控制系统上进行增量安装。这可能是一个艰巨的任务,因为需要许多不同的测试环境,这取决于所安装的基础网络资产的异质性。

具有各种代表性设备、各种操作系统和典型配置的安全实验室环境为测试补丁提供了理想的条件,以确保无错误更新。对于大多数公司来说,安装前的全面测试问题是最具挑战性的一步。安全更新工厂的软件非常耗时,并且需要大量的持续专业知识。(小标题)

选择、验证和测试

根据法规或公司政策,许多运营商都要求系统安装最新的补丁和更新。对于其他人来说,这是一个强烈推荐的行业最佳实践。应该使用一个良好的收集、选择和验证测试过程,以避免噩梦般的场景,甚至是对工厂操作的轻微中断。彻底性是关键,修补是持续维护的重要组成部分,以保持工厂资产的可靠性和安全性。

Mark Hammer是GE Measurement & Control的产品线经理,负责开发和创建发电、石油和天然气行业控制系统网络安全程序的实施程序。编辑马克T.霍斯克,内容经理,CFE媒体,控制工程,mhoske@cfemedia.com

在线

www.globalelove.com/archives在这个标题下,你可以找到更多关于结束微软Windows XP支持的建议、链接和资源。

控制工程拥有在线网络安全培训系列视频。

关键概念

  • 公司政策、法规和最佳实践可以指导最佳实践。
  • 应该使用收集、选择和验证测试来降低风险
  • 彻底的修补过程是持续维护的重要组成部分,以保持工厂资产的可靠性和安全性。

考虑一下这个

不良补丁的代价可能包括计划外的中断、安全风险或公司关键资产和信息的损失。

在线额外

关于作者的更多信息:马克·哈默是GE测量与控制公司的产品线经理。他负责开发和创建发电、石油和天然气行业控制系统网络安全程序的实施程序。他在许多领先的自动化和安全系统供应商的控制和自动化行业拥有超过25年的经验。他拥有机械工程学士学位和商业硕士学位。

-请参阅下面的相关文章。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。

相关文章
面向工程师的新产品
搜索产品并发现您所在行业的新创新