|
|
由于网络威胁的演进,组织和机构需要进一步加强他们识别、分析和处理网络风向的能力,以防这些风险最后进化成为安全事件。尽管说我们经常混用“补丁管理”和“脆弱性管理”,但是其实这两者是不一样的。大部分人混淆这两者的原因,是基于打补丁确实是我们能缓解网络风向的众多工具之一。
补丁与补丁管理的收益与风险
在决定是否打补丁前,最好应该完全明白相关的收益和风险,最后决定是否真的需要打补丁。
对组织而言,需要打补丁的直接原因,就是需要修复操作系统或者应用里的安全隐患。然而,如果组织适时并正确地进行补丁,这并非是唯一的收益。许多供应商管会不时发布新的补丁以改进应用的稳定性。这类补丁对工控系统环境而言尤为重要,因为关键设备的稳定性与在线时长在这一场景中是重中之重。另一方面,即使补丁无法完全解决应用中的所有漏洞,但他们依然可以对处理某些特定漏洞提供一定的支持。
不过,除了这些收益之外,补丁也会有一些负面影响与风险。IT层面对风险的意识和OT层面对风险的意识又有所不同。对组织的IT层面而言,收益大于风险即可——因此数据的丢失要比网络断线严重得多。但是OT层面看来,系统在线却是第一重要的。IT与OT看待风险与收益的差异极大,这点会在后面讨论。
单看工控环境,由于稳定性是关键因素,主要风险往往是因一个不规范或者错误的补丁操作,直接导致重要网络下线或者关键组件停止运作。同时,打补丁是一个非常耗时的操作。如果我们按每天新发现的脆弱性问题有15个来看,打补丁甚至需要一个全职人员去完成。
另一个要考虑的因素在于测试已发布补丁的相关成本。IT和OT仍然就考虑因素方面有不同的见解。尽管说双方都需要在补丁正式应用于系统前,在试验环境进行测试,但是OT环境需要购买能够模拟真实生产系统的硬件设施;而IT环境只需要一个能模仿生产系统的虚拟环境即可。现在来看,复制一套OT生产系统所需要的后勤和相关成本要远远高于同等规模的IT系统。
除此以外,IT系统可以通过使用自动补丁管理方案,大大因测试补丁而减少需要的员工数量和人工成本——而OT则不行。补丁需要在每一台单独的设备上进行测试,甚至有时候需要来自设备厂商的专家亲自进行升级。这显然和IT相比需要一个更高的成本。
最后一个需要考虑的因素是厂商产品的退役时间表(end-of-life, EOL)。相对于IT层面而言,这不是一个很大的风险。举个例子,在虚拟环境中测试和升级操作系统非常方便。如果考虑到IT层面对上线时长的低考量,IT层面显然在EOL问题上要比OT层面容易处理得多。在OT环境,有些生产系统已经被使用了超过 20年;大部分情况下,这些设备可能从来没有进行过升级或者补丁。让OT人员冒险去修补一个工作了十几年的系统,而目的仅仅是让这些设备不容易被成功攻击,显然不是个轻松的决定。
虽然常言道“不是你会不会被黑,而是你什么时候被黑”,强调了不作为的风险。不幸的是,许多OT组织依然坚信黑客攻击这种事到不了他们头上。不过,“什么时候被黑”的相关风险应该和不被期望或者控制的系统崩溃联系起来,综合思考,形成可控的、分离的人工修补。
IT vs. OT
如果要更好理解IT与OT之间对风险的认知与优先度考量中的区别,可以从双方如何看待CIA三要素入手。
从IT侧来看,保密性的优先级最高。一旦发生顾客或者员工个人信息等敏感资料的泄露,对任何组织都是灾难性的打击,造成经济、名声的损失,还受到监管机构的罚款。排在第二的是完整性。组织承认信息泄露事件的发生,或者知识产权被盗等因素都会严重影响品牌效应以及客户留存率。影响完整性的安全事件也会导致经济损失,组织还可能面临罚款以及顾客不满而造成的收入下降。
稳定性是IT层面最后考虑的一个因素。尽管说对组织而言总是尽量维持系统的稳定性——尤其是对于那些直接针对客户的系统而言,但是即使一个系统下线了,MTTR在IT环境的影响要远低于OT环境。相比从生产线上移除一台物理设备并替换有一台新设备而言,从虚拟备份里重建一个系统显然要方便得多。毕竟对物理设备的移除添加会需要厂商专家的帮助,从而增加了成本以及下线时间。
然而,对OT组织而言,稳定性确实第一优先级的。这点完全可以理解,因为系统下线造成的相关损失,即使时间再短,也可能达数百万美元。更不用说有时候这些下线时间会对整个社会产生影响——就想像一下会有多少家用设施会受到电网下线的影响。另一方面,因为如今产品和服务的关联性和相互依赖性极强,OT系统下线无法生产也会影响到其他组织和行业。
完整性和IT方面一样,有第二优先级,原因也比较一致——品牌问题、收入影响以及罚款。优先级最低的是保密性,尽管看上去这不该作为关注度最小的因素。事实上,由于间谍等原因造成的敏感数据或者机密信息的泄露,会对组织造成比损失个人信息更加严重的后果 。
即使有这些差异,IT和OT依然有同样的诉求——安全。但这并不是他们唯一的相似之处。以下的图讲解了组织当中两方的需求,我们可以发现在资产发现、脆弱性评估、政策管理、变化检测、配置评估和日志管理方面都有重合之处。
对于OT和IT日益融合的组织,尤其是那些双方都在同一管理系统下进行工作汇报的情况,建议使用SIEM工具分析所有OT数据。IT方面已经有了一套中心化的团队和工具,从而快速识别潜在的恶意行为,并告警OT团队。OT团队则只需要处理单个事件,而不是淹没在大量的告警噪声中,从而减少编制与相关成本。
如果不打补丁该做什么?
分析了IT与OT在修补工控系统环境中的利弊后,我们可以理解为什么在某些情况下打补丁是不适宜的。那如果我们不进行补丁修复,还能做些什么呢?
首先,要认识到补丁管理其实是脆弱性管理的一个组成部分。脆弱性管理不是一个单独的“扫描加修复”的过程,这是一个通过主动管理风险,并在部署的硬件设备和软件中发现脆弱点的全面管理。
脆弱性管理不只是当架构需要一个补丁的时候进行告警。脆弱性管理还包括了决策的告知,以及对哪些脆弱性进行何种方式的缓和进行优先级的排序。这可以通过在所有系统中嵌入内部后门进行遥测,以及通过各种信息来源获取威胁情报达成。
基于这些考量,以下是工控组织在无法打补丁的时候至少应该做到的事宜:
- 通过资产分析或者发现了解自身环境中有哪些需要保护的东西。这个过程有助于解决一个问题:组织是否真的需要这些资产,或者组织是否在花大量的时间保护一些没有必要的东西?
- 用边界防护加强针对物理攻击和数字化攻击的两方面防御,这一点可以包括从防火墙到接入控制中的任何东西。
- 用隔离的方式阻断威胁的横向移动,并将安全事件限制在某一区域,避免整个组织受到攻击。
- 日志管理不该只是作为IDS工具的一部分,对变化进行检测;而应该更多专注于组织内部的移动来检测潜在攻击。
- 通过脆弱性评估发现潜在弱点以及各个资产脆弱性产生的风险。在脆弱性扫描完成后,基于对脆弱性利用所需要的技术复杂度与脆弱性被利用后所能获得的权限,进行打分。脆弱性越容易被利用,并且被利用后能获得的权限越高,风险指数就越高。
- 使用文件完整性监控(File Integrity Monitoring, FIM)掌握在工控环境中的真实变化。之前提到的步骤主要涵盖了对外部威胁的防御与监控,FIM则注重于企业内部,通过关联真实的变化减少噪声,并发出告警。
关键词:工控安全;补丁管理 |
|
发表于 2023-3-1 17:16:47