圖片來源：Verve Industrial

　　作者 | John Livingston

　　隨著對運(yùn)營技術(shù)(OT)環(huán)境威脅的增加，制造企業(yè)需要積極管理其端點(diǎn)系統(tǒng)以盡可能減少網(wǎng)絡(luò)安全風(fēng)險。

　　對運(yùn)營技術(shù)(OT)環(huán)境威脅的增加，促使美國國家安全局(NSA)和網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局(CISA)發(fā)出警告：一些網(wǎng)絡(luò)黑客傾向于利用互聯(lián)網(wǎng)可訪問的OT資產(chǎn)，對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行惡意網(wǎng)絡(luò)活動。

　　盡管已經(jīng)有一系列類似的警報(bào)，而且圍繞著各種攻擊的命名爭論不休，但建議仍然保持不變：通過核心安全基礎(chǔ)來管理OT系統(tǒng)。這些建議都是圍繞CISA的ICS最佳實(shí)踐展開，發(fā)揮的重要作用基本相同，主要包括以下內(nèi)容：

　　■ 維護(hù)ICS資產(chǎn)所有硬件和軟件的庫存;

　　■ 使用基于風(fēng)險的評估方法來更新軟件，以確定哪些資產(chǎn)應(yīng)參與補(bǔ)丁管理計(jì)劃;

　　■ 在HMI和工作站上實(shí)施允許/白名單;

　　■ 使用外圍控制將ICS/監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)與公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)網(wǎng)絡(luò)隔離;

　　■ 禁用設(shè)備上未使用的端口和服務(wù);

　　■ 為遠(yuǎn)程訪問實(shí)施多因素身份驗(yàn)證;

　　■ 定期更改所有密碼并監(jiān)控密碼狀態(tài);

　　■ 維護(hù)已知的良好備份;

　　■ 使用強(qiáng)大的防病毒和其它終端檢測功能保護(hù)系統(tǒng);

　　■ 實(shí)施日志收集和保存;

　　■ 利用OT監(jiān)控解決方案提醒惡意行為。

　　這些都和我們所討論的“OT系統(tǒng)管理”相關(guān)。該術(shù)語包含了OT安全的基本要素——從資產(chǎn)庫存到漏洞、補(bǔ)丁和配置等的端點(diǎn)管理，再到受管理的網(wǎng)絡(luò)分段以及受控訪問，最后是監(jiān)控和恢復(fù)。

　　雖然這些警報(bào)對提高安全意識絕對有價值，但如果不仔細(xì)閱讀并理解所提出的建議，它們可能會造成混亂。我們經(jīng)常會收到有關(guān)最新的警報(bào)電話，因?yàn)槟承┢髽I(yè)正在追查最近在 其ICS 系統(tǒng)中發(fā)現(xiàn)的特定威脅或惡意軟件。

　　然而，關(guān)鍵是組織應(yīng)將發(fā)布的這些信息仔細(xì)閱讀，包括最后緩解措施或具體操作的章節(jié)。這一部分才是真正重要的。

　　如果每個OT系統(tǒng)都超過了這些基本要求那將極好的，但事實(shí)是，大多數(shù)企業(yè)仍在致力于實(shí)施這些核心要素。例如，許多制造企業(yè)不積極管理其OT終端。在很多時候，他們沒有這些端點(diǎn)的準(zhǔn)確清單。如果有庫存，則通常缺乏對這些設(shè)備的主動管理：補(bǔ)丁、強(qiáng)化配置、更新密碼和更新固件等。

　　有時某些原始設(shè)備制造商(OEM)會在某些基礎(chǔ)上為特定的OEM應(yīng)用集的應(yīng)用操作系統(tǒng)(OS)和應(yīng)用程序提供補(bǔ)丁。但是在打過補(bǔ)丁之后，如果查看Verve端點(diǎn)管理平臺的輸出，會發(fā)現(xiàn)這些補(bǔ)丁程序留下了許多關(guān)鍵漏洞，要么是因?yàn)檫@些補(bǔ)丁不包括該設(shè)備上的其它應(yīng)用程序軟件，要么是補(bǔ)丁解決了OS的關(guān)鍵漏洞，但未經(jīng)批準(zhǔn)。

　　我們發(fā)現(xiàn)在2019年至2020年間，ICS-CERT咨詢中和OT系統(tǒng)漏洞有關(guān)的咨詢增加了47%。在2021年的ICS咨詢報(bào)告中，ICS漏洞的數(shù)量又增加了59%，但大多數(shù)企業(yè)仍然缺乏一個全面的、與供應(yīng)商無關(guān)的補(bǔ)丁管理程序。

　　OT系統(tǒng)管理包括開發(fā)和制定針對ICS的補(bǔ)丁管理工作。補(bǔ)丁程序管理面臨的主要挑戰(zhàn)包括：

　　■ 跟蹤與特定設(shè)備相關(guān)的補(bǔ)丁;

　　■ 了解補(bǔ)丁程序是否獲得供應(yīng)商的批準(zhǔn)，以及供應(yīng)商不再支持的生命周期末期軟件或系統(tǒng);

　　■ 在持續(xù)運(yùn)營的過程環(huán)境中打補(bǔ)丁，需要重新啟動所帶來的挑戰(zhàn);

　　■ 如果未進(jìn)行適當(dāng)測試，有些補(bǔ)丁可能會中斷運(yùn)營，給運(yùn)營帶來風(fēng)險;

　　■ 需要更新固件的設(shè)備可能會對系統(tǒng)的其它部分產(chǎn)生連鎖影響，需要從整體考慮系統(tǒng)升級等;

　　■ 缺乏管理過程的人員/資源。

　　毫不奇怪，企業(yè)在軟件補(bǔ)丁方面總是落后一步，并花費(fèi)寶貴的時間手動跟蹤和管理補(bǔ)丁程序。補(bǔ)丁只是整個OT系統(tǒng)管理工作的一部分。

　　OT系統(tǒng)管理需要實(shí)現(xiàn)安全的 “操作化”，對于ICS運(yùn)營人員來說，實(shí)現(xiàn)安全的“操作化”會幫助其了解如何執(zhí)行?？刂乒こ處熀蜕a(chǎn)人員每天都在改善工廠的運(yùn)營。他們有指標(biāo)、目標(biāo)、具體的質(zhì)量改進(jìn)計(jì)劃、六個西格瑪或其它精益原則、平衡計(jì)分卡等。

　　如果不將網(wǎng)絡(luò)安全視為僅適用于擁有先進(jìn)網(wǎng)絡(luò)專業(yè)知識的人，并付諸實(shí)施運(yùn)營化，將其轉(zhuǎn)化為一系列每天都能改進(jìn)的基本任務(wù)，那么就可以開始應(yīng)用精益和其它原則來提高績效。

　　但如果讓標(biāo)題和新的威脅名稱分散對警報(bào)基本事項(xiàng)的注意力，我們可能會失去整個任務(wù)的線索。這些警報(bào)不應(yīng)被視為“新消息”，而是提醒人們注意執(zhí)行基本的OT安全實(shí)踐。如果這樣做，我們將同時解決新舊安全風(fēng)險。