OT漏洞管理,没你想象的那么简单!
发布日期:2021-09-16
来源:网空闲话
工业企业在OT漏洞管理的成熟度方面,明显与 IT 漏洞管理的成熟度存在差距,滞后的原因与其说是OT系统先天存在缺陷或弱点,不如说是在 OT环境中发现和修复漏洞存在特别挑战。当然,在许多OT系统中处理的技术和漏洞类型与 IT 系统相同。也存在明显的交叉,工业控制系统 (ICS) 等许多OT资产依赖于与其对应IT 系统类似的操作系统、网络连接和架构。
然而,ICS/OT工作环境与IT迥异,潜在的网络风险及其影响也是如此。最重要的是OT独有的附加协议,用户与供应商之间复杂的售后支持协议会影响系统修补方式和时间,以及通常对业务可持续性至关重要的严格监管和运营要求。因此,建立OT漏洞管理过程是一个缓慢的、系统性的过程,需要人财物各方面的资源,当然还需要一定的时间。从当前的实践探索来看,工业组织中没有一成不变的漏洞管理流程或道路可以遵循,不同行业都有不同的套路。但有些问题和挑战是共同的,比如优先级排序,资产与漏洞的映射,手工与自动化的协调,设备供应商的协同,专职的人员,修复决策等等。工业网络安全公司Dragos日前发布的《了解OT漏洞管理的挑战和如何解决它们》的白皮书,总结了OT漏洞管理的10个关注点,期望为OT漏洞管理的成功提供一些有价值的方法指导。
1.稍安勿躁,让漏洞飞一会
工业组织在第一次处理OT漏洞管理时最常犯的错误之一是陷入恐慌,焦躁不安。往往安全事件的威胁或监管要求的加码,会造成突然的、强烈的压力。
解决特定ICS漏洞或一组漏洞,从高层下达命令,实施人员在匆忙中修复缺陷,安全团队或许破坏系统,由于不正确的或不充分的测试,或没有真正理解OT系统是如何运行的。
正确地进行OT漏洞管理需要安全人员和运营人员稳步推进,考虑漏洞的风险影响,以便他们能够帮助领导者做出解决漏洞的正确决策或命令,并创建一个可复现的系统,真正降低业务的整体风险。
2.资产清单,全面的可见性
每一个重大的OT漏洞管理方案,其根本的基础都是一个全面的OT资产清单。为了正确地实施,组织需要经历一个不限于可以挖掘的资产发现过程。
在所有这些资产上,还要根据一系列属性对它们进行分类,映射它们的连接,并跟踪它们的配置状态。理想情况下,组织不应该只是计划在某个时间点对资产进行调查,而是努力构建自动化机制,以获得对资产清单状态的持续可见性。这种持续的监测将确保一个成功的漏洞管理程序的可持续性。
IT资产的许多可见性工具和战术无法直接运用或很好地转换到OT环境。例如,你不能把代理放在可编程逻辑控制器(PLC)上。这意味着组织可能需要采取特定于OT环境的不同方法,以实现对资产、漏洞和风险的可见性水平,这与他们的安全团队可能习惯于看到的跨IT资产组合相对应。确保制定计划,通过像Dragos收集管理框架这样的结构化方法确定数据收集需求。一个好的计划将为一个成功的结果奠定基础,这个成功的结果将创建一个可持续的、可扩展的、有效的资产可见性计划,持续更新清单。
3.考虑效率,不要担心自动化
通常而言,OT漏洞管理几乎肯定是一个完全手工的过程。的确,你不会像在IT系统中那样,用自动补丁和更新来覆盖OT系统。然而,尽管许多关键ICS系统的补救和缓解必须保持手动,但许多方面可以实现自动化。
许多自动化发生在过程的前端,在漏洞管理周期的前三个阶段,但最终OT在报告任务和理解环境的自动化中是非常安全的。如前所述,资产发现是很容易实现的目标。类似地,漏洞评估和跟踪配置基线和配置转移实例的过程为大量自动化提供了机会。资产的优先级还可以通过发现和评估提供的数据实现自动化。
解析的执行在许多方面可能有风险,但是像备份系统和测试备份这样的任务是可以立即自动化的。另外,不要低估自动为非关键OT系统打补丁所节省的时间。
4.定期巡查,让手动工作更有效
有时,开始使用自动发现可能会很困难,因为组织不知道它对其基础设施不了解的内容。这就是为什么用手动发现启动计划是很有价值的。首先通过映射高级架构和执行全面的设施巡视,开始用物理方法识别需要解释的隐藏资产。
这种早期的手工工作将使优先级更容易确定,并决定在哪里建立远程的发现,首先尝试连续的、自动的发现。
在整个漏洞管理过程中,巡查也是至关重要的,以验证自动化资产发现生成的结果,并填补环境中可能没有必要由监测和遥测技术覆盖的空白。考虑定期巡查,去查看环境,并将结果与之前记录的结果进行比较。理想情况下,组织应该在其文档或映射机制中有一个简单的路径来添加定期手工发现的结果。
5.过程记录,文档至关重要
出于许多原因,文档记录是OT漏洞管理的关键。首先,因为很多过程仍然是手工的,所以过程的文档需要遵守纪律,以确保它们不是在特定的基础上完成的。最终的目标,是让组织尝试将文档转化为兼容的工作流程,以确保一切都是标准化的、可重复的和可证明的。
确保部分文档包含关于工作流中的角色和职责的信息是至关重要的。
考虑到系统更新的时间框架很长,要确保职责不是指定给个人,而是指定给特定的角色或岗位。这确保了即使你的队友六年后不在身边,当某个设备的维护窗口打开时,它仍然会被修补。
最后,如前所述,文档记载了实际做了什么动作。发现漏洞是漏洞管理与评估的区别所在。对于OT漏洞,由于操作上的考虑,对于那些必须接受风险的OT漏洞,漏洞处理的文档尤为重要。
最终,所有这些文档工作可以成为满足监管审计人员的一个重要因素,并有助于降低关注OT漏洞带来的风险。
6.优先排序,OT漏洞优先级是不同的
OT漏洞优先级与IT中非常不同,在IT中,重点主要是漏洞的严重程度评分(CVSS),理想情况下是资产的业务关键性。运行风险和物理世界影响的额外维度改变了计算的方式。工业空间也超过了一个关键阈值。2020年,在日历年的每个工作日都披露了工业产品的一个以上严重漏洞。
确定关键的“皇冠宝石”系统对做出这些优先级决策至关重要,但请记住,这不是简单地说“这是皇冠宝石资产的一个漏洞,我们必须立即修补它。”如果这些资产受到治理活动的干扰,它们的运营风险通常也最高。它们也是OT环境中最可能被最安全控制缓冲的关键设备。所以,这个决定比这要微妙得多。
自动化标准和法规合规性机制,如IEC (International Electrotechnical Commission) 62443,倾向于关注普渡模型中更低层次的资产,但组织在为优先级建立风险评分时也应该考虑其他因素。例如,资产所有者应该在他们的OT网络中为连接最多的系统提供高权重——如连接到第三方、不同的供应商和外部世界,特别是在这些资产上存在通往互联网的路径时。这些系统通常面临着最容易出现OT漏洞利用的风险。此外,应该优先考虑具有单点故障或作为集中式系统存在的资产。这包括活动目录、管理控制台,甚至Windows Server Update Services (WSUS)补丁。SolarWinds供应链攻击事件提供了一个很好的例子,一个盒子可以将它的手指伸进整个OT环境。
其他考虑因素可能包括,是否存在会使组织无法进行补救的运行风险的缓解因素。例如,如果系统相对容易脱机,那么内置冗余的系统可能会在优先级列表中上升。
7.忽略漏洞,掌握补偿控制技巧
许多OT系统中,由于更改这些资产存在操作风险,因此无法进行修补。事实上,2020年DRAGOS的统计数据发现,2020年披露的OT漏洞中,超过五分之一的供应商在宣布时甚至没有可用的补丁。
此外,关键OT资产通常在设计上是不安全的,因此即使应用了补丁,它们仍然容易由于滥用正常功能而失去视图或失去控制。在这些情况下,资产所有者必须扪心自问,如果一个系统仍然容易受到设计问题的影响,他们为什么还要承担修补漏洞的风险。
这意味着有效的OT漏洞管理程序必须掌握补偿控制的艺术,不仅降低漏洞的风险,而且降低必须在某些资产中持续存在的潜在设计缺陷的风险。目标应该是通过加强资产配置、关闭不需要的功能、限制资产的占用空间和连接,以及更新与脆弱系统相关的可修补系统,尽可能减少攻击面。
对于SMB v2,根据系统的运行情况,正确的做法可能是关闭协议。与风险接受一样,像这样的缓解应该在彻底的漏洞配置跟踪中仔细地记录下来,以便更改不会意外逆转。
对于“皇冠”资产,其思想是它们应该使用尽可能少的功能,并与网络中尽可能少的部分进行通信,这对于流程来说是必要的。网络和应用程序防火墙在这方面是无价的,应用程序白清单也是如此。同样,组织应该重新评估网络分段。
8.协调行动,积极管理供应商
在OT领域,大多数主要供应商提供网络解决方案和服务,通常包括补丁、端点保护和配置管理。但是组织不应该把这些作为内部漏洞管理程序的替代品。这些服务并没有提供真正的漏洞管理的“设置即可忘记”保证,也没有提供必要的文档以提供组织范围内的风险可见性。
组织需要积极地管理他们的供应商关系,不仅要确认服务正在按照商定的方式升级或缓解系统,而且还要记录所有供应商和整个现用资产的漏洞状态。
在组织正在为自己的系统打补丁的情况下,它还需要注意与供应商合作,以确保更改不会使支持协议或保证无效。通常,在对关键ICS系统进行更改之前需要供应商预先的批准或许可。
9.变更管理,需要建立严格的流程
对于许多关键ICS资产,由于需要符合安全管理的要求,变更管理治理非常严格。例如,像PLC这样的资产,总是要根据不同行业的要求,经过过程安全管理强制要求的正式变更管理过程。如果资产涉及工业过程,则要求可能会严格得多。
然而,OT中也存在一些灰色区域,其中某些资产对流程没有影响,但更改和配置状态仍可能影响操作风险。以历史数据库为例,即使它崩溃了,也不会对过程产生影响,但在整个OT生态系统中仍然至关重要。一个成熟的OT漏洞管理程序应该注意创建一个变更管理流程,该流程捕获可能在监测系统下运行的资产,在进行补救和缓解时管理和跟踪变更。
10.专人专岗,专业人员做专业的事
一个有效的OT漏洞管理程序需要持续关注,需要专门的资源来维护。虽然发现和评估过程中的许多职责可以自动化,但与资产所有者协调、更新系统、采用补偿控制、验证和跟踪进度仍有大量必要的工作。期望一个人甚至几个人既做修复工作、项目工作、工程任务,同时还做所有他们自己的漏洞管理工作,这是不切实际的,也是不合理的期望。
