修補而不是升級傳統OT設備？

約翰·戈馬利

實施期間： 2022年11月22 日 - 技術佈道者

操作技術（OT）是用於分析關鍵基礎設施的公用事業控制過程的設備和計算機軟體，而工業控制系統（ICS）資產是工業過程中使用的數字設備。OT / ICS設備的連接性質 - 特別是最近 - 增加了使用它們的環境的網路安全風險。

為了加強目前使用傳統OT / ICS設備的公司的安全態勢，最好的選擇是簡單地將它們換成更新的型號嗎？還是有另一條路線？

這篇博文探討了 OT/ICS 設備的漏洞修補，涵蓋了這些技術的威脅形勢、補丁管理以及組織如何自動修補漏洞。

潛在威脅和關鍵漏洞

大多數OT/ICS架構大多位於具有裸露區域的隔離和扁平網路中。攻擊空間涵蓋了所有潛在攻擊範圍，包括所有OT / ICS和現在的IIoT解決方案。對所有三個平台的攻擊可能來自內部或外部。

外部攻擊可能來自外部來源，包括駭客、罪犯、恐怖分子和民族國家。除了這兩類之外，還有涉及直接干擾設備的物理攻擊。

OT 補丁管理流程

IT和OT關鍵基礎設施系統傳統上基於單獨的技術堆疊並單獨運行。由於這些系統不直接連接，因此它們的控制與計算機網路上的控制不同，並且通常存在於不同的網路中，以避免重疊的網路風險，包括惡意軟體和勒索軟體攻擊。

對漏洞敏感的OT資產對不良行為者來說可能是一種有利可圖的誘人水果。當補丁公開發佈時，漏洞將通過國家漏洞資料庫識別。駭客還不斷監控這些資料庫本身。

ICS-CERT的安全更新可以在ICS-CERT公佈漏洞時通知您漏洞。NVD在一個週末發佈了近350次曝光。這些弱點可以通過多種方式影響OT組織。

為什麼部署指南不足以用於 OT/ICS 系統？

補丁可用性是運營網路的主要關注點。許多OT設備在製造商的生命週期結束（EOL）日期之後數年仍在生產中運行，之後使用者不再收到原始供應商的安全更新。

功能網路工程師經常尋求第三方軟體公司，如TuxCare，為Linux操作系統內核補丁提供延長生命週期支持計劃，使公司在操作系統達到EOL後幾年內繼續收到安全補丁。

確定補丁部署的優先順序

確定哪些補丁應該在您的OT / ICS環境中優先考慮可能很棘手。雖然 CVSS 分數通常是選擇補丁的重要起點，但它們是使用多個變數生成的：訪問向量、訪問難度、身份驗證、完整性、可用性等等。

此外，僅僅依靠 CVSS 分數來確定漏洞補丁的優先順序可能不是最好的方法。更複雜的是，工業運營商網路工程師只能在整個OT資產中同時部署一小部分補丁，即使潛在的補丁可用。

我們建議運營環境和工業組織使用多階段方法優先修補特定於OT的環境。

在變更管理流程中修補嵌入式設備

IEC62443要求對OT/ICS環境實施變更管理。據瞭解，在OT環境中部署補丁將是一項環境變化，也是一項非常艱巨的任務。應持續審查修補程式和固件更新過程，以説明評估設備和組織的風險。

專有系統也有其補丁和固件更新順序。有些需要多次重新啟動設備，固件才能在不同階段更新各種元件。出於關注，關鍵設備通常需要修補或升級;計算機不會立即返回到生產環境。

補丁管理挑戰

要決定是否實施補丁，您需要權衡收益與中斷。如果好處大於麻煩，則執行補丁。然而，對於OT/ICS設備，停產設備會極大地影響運營效率和整體產量。出於這個原因，有動力延遲計劃維護時段的修補。

另一方面，在準備好重啟系統和設備之前等待應用安全補丁會使組織容易受到攻擊，並使合規性狀況面臨風險。

使用TuxCare自動修補設備

TuxCare的即時修補解決方案通過快速消除漏洞來保護您的Linux系統，而無需等待維護視窗或停機。借助 TuxCare，IT 團隊可以在所有流行的 Linux 發行版上通過暫存、測試和生產來自動獲取新補丁。

TuxCare具有與漏洞掃描，安全感測器，自動化，與漏洞管理流程集成，報告工具和我們的ePortal補丁部署管理平臺的完美互操作性。此專用專用修補程式伺服器在本地防火牆內或雲中運行。TuxCare 是唯一一家即時修補所有流行發行版中內核、共用庫、虛擬化平臺和開源資料庫中幾乎所有漏洞的供應商。