周 磊,姜雙林,饒志波
(北京安帝科技有限公司,北京100125)
典型的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)資產(chǎn)之間存在著關(guān)鍵的差異[1-2],這導(dǎo)致漏洞修復(fù)的流程在ICS網(wǎng)絡(luò)中與企業(yè)網(wǎng)中也存在明顯的不同。應(yīng)用安全補(bǔ)丁是網(wǎng)絡(luò)安全既定計(jì)劃的一部分,也是風(fēng)險(xiǎn)管理的一個(gè)重要步驟。企業(yè)的目標(biāo)不是擁有完全修復(fù)補(bǔ)丁的網(wǎng)絡(luò)資產(chǎn),而是將風(fēng)險(xiǎn)管理到一個(gè)可接受的水平。當(dāng)安全補(bǔ)丁是將風(fēng)險(xiǎn)降低到可接受水平的最有效率和最有效果的方法時(shí),應(yīng)該安裝這些補(bǔ)丁。
工業(yè)控制系統(tǒng)的漏洞修復(fù)因其自身的特點(diǎn),在實(shí)踐中面臨復(fù)雜性和可行性的挑戰(zhàn)。首先ICS資產(chǎn)存在天然的安全缺陷。許多ICS網(wǎng)絡(luò)資產(chǎn)缺少安全設(shè)計(jì),漏洞頻出,應(yīng)用安全補(bǔ)丁通常會(huì)降低風(fēng)險(xiǎn)。其次,ICS資產(chǎn)處于嚴(yán)格隔離的網(wǎng)絡(luò)。對(duì)于攻擊者來(lái)說(shuō),ICS網(wǎng)絡(luò)資產(chǎn)通常比企業(yè)網(wǎng)絡(luò)的資產(chǎn)更難訪問(wèn)。第三,ICS的攻擊可能導(dǎo)致極其嚴(yán)重的物理后果。許多ICS控制的物理過(guò)程有可能對(duì)人的生命造成損害,對(duì)環(huán)境造成破壞。第四,ICS資產(chǎn)的生命周期相對(duì)較長(zhǎng)。大多數(shù)ICS網(wǎng)絡(luò)資產(chǎn)和ICS本身都有靜態(tài)的特點(diǎn),與典型的企業(yè)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)相比,很少發(fā)生變化。
然而,數(shù)字化轉(zhuǎn)型的加速,網(wǎng)絡(luò)連接泛在化、工業(yè)設(shè)備數(shù)字化、生產(chǎn)流程智能化、大容量、低時(shí)延、高速率等數(shù)字時(shí)代的新興技術(shù)特征,正在加速變革傳統(tǒng)的漏洞管理態(tài)勢(shì)。補(bǔ)丁應(yīng)用作為ICS漏洞管理過(guò)程的關(guān)鍵環(huán)節(jié),相比傳統(tǒng)IT漏洞的修復(fù)面臨更大的困難和更嚴(yán)峻的考驗(yàn)。
本文的主要貢獻(xiàn)是總結(jié)了當(dāng)前CVSS評(píng)估系統(tǒng)在工業(yè)場(chǎng)景下的不足,梳理了當(dāng)前圍繞ICS漏洞補(bǔ)丁應(yīng)用研究的四種主要決策方法,最后結(jié)合工作實(shí)踐,提出了實(shí)踐中可行的ICS漏洞管理方法。
在信息系統(tǒng)漏洞成為戰(zhàn)略資源的當(dāng)下,對(duì)漏洞的全生命周期管理也成為化解信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要手段。目前國(guó)際標(biāo)準(zhǔn)化組織、各國(guó)網(wǎng)絡(luò)安全主管部門、各大研究機(jī)構(gòu)和大型網(wǎng)絡(luò)安全企業(yè),均出臺(tái)了相應(yīng)漏洞管理的標(biāo)準(zhǔn)和指南,如ISO的《ISO/IEC 30111:2019信息技術(shù)-安全技術(shù)-漏洞處理流程》[3];美國(guó)NIST的《NIST SP 800-40第2版 創(chuàng)建補(bǔ)丁和漏洞管理程序》《NISTIR 8011(Volume 4)安全控制評(píng)估的自動(dòng)化支持:軟件漏洞管理》[4];英國(guó)國(guó)家網(wǎng)絡(luò)安全中心發(fā)布的 《NCSC漏洞管理指南》[5];SANS發(fā)布的《實(shí)現(xiàn)漏洞管理過(guò)程》[6];卡耐基梅隆大學(xué)的《漏洞管理-V1.1》[7];美國(guó)能源部桑迪亞實(shí)驗(yàn)室的《關(guān)于進(jìn)行安全漏洞評(píng)估的規(guī)范指南》[8];美國(guó)NIST下屬國(guó)家網(wǎng)絡(luò)空間安全卓越中心的《網(wǎng)絡(luò)安全衛(wèi)生:修補(bǔ)企業(yè)漏洞》[9];中國(guó)的《GB/T 30276-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)規(guī)范對(duì)漏洞披露到漏洞修復(fù)補(bǔ)丁后的活動(dòng)以及相關(guān)利益方給予了指導(dǎo),具有積極的意義。但對(duì)于工業(yè)控制系統(tǒng)而言,這些漏洞管理的過(guò)程似乎無(wú)能為力,無(wú)法突顯OT域漏洞管理的特殊性。而美國(guó)國(guó)土安全部下屬CISA發(fā)布的漏洞管理流程,更加適合工業(yè)控制系統(tǒng)的漏洞管理。該流程分為以下四個(gè)階段,漏洞修復(fù)是其重要一環(huán)。
(1)挖掘階段:惡意的黑客(壞小子)、漏洞賞金獵人(私營(yíng)機(jī)構(gòu)的研究者)、官方的研究者(DHS研究人員)和設(shè)備廠商自己的研究人員分別進(jìn)行的漏洞發(fā)現(xiàn)活動(dòng);
(2)初始披露階段:各種形式的披露(涉及賞金計(jì)劃者、會(huì)議演講、郵件列表、產(chǎn)品安全響應(yīng)團(tuán)隊(duì)、安全事件響應(yīng)組織、CISA等官方機(jī)構(gòu)),CVE編號(hào)組織分配編號(hào)等;
(3)分析和協(xié)調(diào)階段:分配漏洞編號(hào)后,歸類驗(yàn)證、正式披露或發(fā)布、嚴(yán)重性評(píng)估(CVSS評(píng)分)等;
(4)修復(fù)階段:補(bǔ)丁或更新的發(fā)布、定位受影響系統(tǒng)、檢測(cè)是否有在野利用、其他緩解措施公布等。
即使這個(gè)規(guī)范,對(duì)ICS漏洞的修復(fù)也不具有可操作性的指導(dǎo)。
CVSS[10]作為IT域漏洞的嚴(yán)重性評(píng)級(jí)指南,可以指導(dǎo)企業(yè)做出修復(fù)的決策。但在OT域是否可以同樣應(yīng)用CVSS這個(gè)標(biāo)準(zhǔn)評(píng)分系統(tǒng)存在疑問(wèn),在目前尚不存在用于漏洞評(píng)分的更科學(xué)的標(biāo)準(zhǔn)指標(biāo)的情況下,需要明確管理IT和OT系統(tǒng)時(shí)CVSS評(píng)分系統(tǒng)的優(yōu)缺點(diǎn)。
文獻(xiàn)[11]對(duì)現(xiàn)行CVSS評(píng)分系統(tǒng)在ICS/OT域中的適用性進(jìn)行了分析。CVSS明顯的優(yōu)勢(shì)是其定義了一套漏洞的詞匯、術(shù)語(yǔ)和評(píng)分準(zhǔn)則,目前它是全球通用的為數(shù)不多用于實(shí)踐的標(biāo)準(zhǔn)。一方面,在討論漏洞時(shí),可以據(jù)此以同一種語(yǔ)言進(jìn)行交流,而不論漏洞所屬的分類、應(yīng)用和行業(yè)等。另一方面,CVSS提供需要緩解的現(xiàn)有風(fēng)險(xiǎn)的指標(biāo)。無(wú)論是否有可能對(duì)任何提到的漏洞(CVE)進(jìn)行補(bǔ)救,其存在都表明了不應(yīng)忽略修復(fù)/修補(bǔ),通過(guò)補(bǔ)償性控制減輕風(fēng)險(xiǎn),以及至少進(jìn)行管理/記錄風(fēng)險(xiǎn)。當(dāng)將其運(yùn)用于OT域時(shí),CVSS的不足或局限性也逐漸暴露出來(lái)。
用戶關(guān)心的是脆弱性或漏洞給他們帶來(lái)的風(fēng)險(xiǎn),即漏洞被利用后產(chǎn)生的影響,或他們應(yīng)對(duì)漏洞的速度。恰恰工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)考量的一個(gè)重要因素就是影響。一般而言,嚴(yán)重性僅應(yīng)作為漏洞響應(yīng)優(yōu)先級(jí)的一部分。人們可能還會(huì)考慮利用漏洞的可能性,或者是否可以公開(kāi)利用漏洞。漏洞利用代碼成熟度向量(以時(shí)間度量)試圖解決漏洞利用的可能性,但默認(rèn)情況下總是假設(shè)漏洞利用廣泛,這是不現(xiàn)實(shí)的。
CVSS分?jǐn)?shù)由三個(gè)度量標(biāo)準(zhǔn)組構(gòu)成:基本指標(biāo)、時(shí)間和環(huán)境。大多數(shù)已發(fā)布的CVSS分?jǐn)?shù)僅報(bào)告基本指標(biāo),該指標(biāo)描述了隨時(shí)間變化的漏洞特征。時(shí)間組包括漏洞利用代碼的成熟度和獨(dú)立于特定環(huán)境的可用補(bǔ)救措施。環(huán)境指標(biāo)只能使用對(duì)易受攻擊的系統(tǒng)所在環(huán)境的了解來(lái)評(píng)估。為發(fā)現(xiàn)的漏洞創(chuàng)建CVSS的研究人員通常不考慮環(huán)境得分或?qū)⑵錁?biāo)記為“零”,因?yàn)樗麄儗?duì)每個(gè)單獨(dú)的環(huán)境都不熟悉。為了考慮環(huán)境評(píng)分,每個(gè)受影響組織中的安全分析師都需要評(píng)估其環(huán)境并修正評(píng)分。
CVSS考評(píng)的是漏洞的嚴(yán)重等級(jí),不是風(fēng)險(xiǎn)評(píng)分。環(huán)境分?jǐn)?shù)可以通過(guò)考慮本地緩解因素和配置詳細(xì)信息來(lái)修改基本分?jǐn)?shù)。如果利用了此漏洞,它還可以調(diào)整對(duì)資產(chǎn)的機(jī)密性、完整性和可用性(CIA)的影響。但是,它仍然是衡量嚴(yán)重性的標(biāo)準(zhǔn),并且沒(méi)有考慮暴露資產(chǎn)對(duì)組織的價(jià)值,這是關(guān)鍵的風(fēng)險(xiǎn)因素。
更客觀衡量標(biāo)準(zhǔn)的兩個(gè)因素是漏洞利用的潛力和資產(chǎn)的關(guān)鍵性。使用CVSS對(duì)漏洞的響應(yīng)進(jìn)行優(yōu)先級(jí)排序可能會(huì)看到這樣的結(jié)果:CVSS得分為10的漏洞升至優(yōu)先級(jí)列表的頂部,即使它們可能影響的資產(chǎn)只會(huì)造成很小的損失。如果它們受到損害,則會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響。高分?jǐn)?shù)也歸因于漏洞,即使當(dāng)時(shí)犯罪分子沒(méi)有在野外利用漏洞。同時(shí),CVSS分?jǐn)?shù)為5的漏洞在優(yōu)先級(jí)列表中排名較低,即使它們可以暴露高價(jià)值的資產(chǎn)并且正在被犯罪分子積極地用作武器。結(jié)果,首先修復(fù)了得分為10的漏洞,使犯罪分子有充裕的時(shí)間利用得分僅為5的漏洞。
修補(bǔ)問(wèn)題過(guò)去通常由供應(yīng)商及其批準(zhǔn)此修補(bǔ)程序的能力來(lái)決定。如今,即使解決方案已經(jīng)存在并且可以在許多關(guān)鍵環(huán)境中使用,從而在很大程度上解決了修補(bǔ)OT資產(chǎn)的技術(shù)難題,但是,ICS漏洞報(bào)告持續(xù)增加,如何對(duì)ICS漏洞管理活動(dòng)進(jìn)行分類和優(yōu)先級(jí)排序,CVSS系統(tǒng)顯然是無(wú)能為力的。
ICS漏洞逐年增加積累,是否需要修復(fù)、何時(shí)修復(fù)、修復(fù)順序如何確定等問(wèn)題依然困擾著ICS漏洞管理相關(guān)方。相關(guān)研究機(jī)構(gòu)也進(jìn)行了有益的嘗試與探索,典型的就是基于決策樹(shù)的ICS漏洞補(bǔ)丁應(yīng)用方法。
文獻(xiàn)[12]提出了一個(gè)可測(cè)試的特定于利益相關(guān)者的漏洞分類方法——SSVC,它避免了通用漏洞評(píng)分系統(tǒng)(CVSS)的某些問(wèn)題。SSVC采用針對(duì)不同漏洞管理社區(qū)的決策樹(shù)的形式。應(yīng)用SSVC的結(jié)果是得到一個(gè)優(yōu)先級(jí)決策,如圖1所示。文獻(xiàn)[12]將漏洞修復(fù)分為四個(gè)優(yōu)先級(jí):推遲、排期/計(jì)劃、帶外和立即。各優(yōu)先級(jí)下開(kāi)發(fā)人員和應(yīng)用者的決策如表1所示。
表1 各優(yōu)先級(jí)下開(kāi)發(fā)人員和應(yīng)用者的決策
圖1 為補(bǔ)丁應(yīng)用者提出的漏洞優(yōu)先級(jí)決策樹(shù)[12]
SSVC方法是根據(jù)漏洞被利用帶來(lái)的風(fēng)險(xiǎn)來(lái)對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序。修補(bǔ)成本(風(fēng)險(xiǎn)方程的另一面)不在該文討論的范圍之內(nèi)。但修補(bǔ)成本至少包括三個(gè)方面:首先也是最明顯的是應(yīng)用補(bǔ)丁的交易成本。向系統(tǒng)管理員付費(fèi)以開(kāi)發(fā)或應(yīng)用補(bǔ)丁,并且這可能還需要其他交易成本,例如更新補(bǔ)丁需要停機(jī)時(shí)間。其次是失敗的風(fēng)險(xiǎn)成本,如果補(bǔ)丁引入了新的錯(cuò)誤或漏洞,同樣會(huì)造成損失。回歸測(cè)試是開(kāi)發(fā)人員為此費(fèi)用支付的一部分。最后應(yīng)用補(bǔ)丁可能會(huì)產(chǎn)生運(yùn)營(yíng)成本,代表功能的不斷變化或增加的開(kāi)銷。成本考量可能是決策者在一個(gè)優(yōu)先級(jí)類別(計(jì)劃的、帶外的等)內(nèi)安排工作的一種方式。
由于漏洞管理中有許多不同的利益相關(guān)者,因此文獻(xiàn)[12]力求避免采用千篇一律的解決方案。在SSVC方法中,為兩個(gè)利益相關(guān)者角色開(kāi)發(fā)決策樹(shù):補(bǔ)丁開(kāi)發(fā)人員和補(bǔ)丁應(yīng)用者[12]。在CERT協(xié)調(diào)漏洞披露指南中,這些角色分別對(duì)應(yīng)于供應(yīng)商和部署者角色。
資深的ICS/SCADA網(wǎng)絡(luò)安全專家、Digital Bond和S4 Events的創(chuàng)始人Peterson對(duì)SSVC方法進(jìn)行了改進(jìn)[13]。其創(chuàng)建了ICS-補(bǔ)丁項(xiàng)目以幫助ICS資產(chǎn)所有者決定何時(shí)修補(bǔ)漏洞,該項(xiàng)目有兩個(gè)主要目標(biāo):一是根據(jù)每個(gè)安全補(bǔ)丁對(duì)降低風(fēng)險(xiǎn)的貢獻(xiàn),對(duì)ICS資產(chǎn)所有者的哪個(gè)資產(chǎn)在什么時(shí)間修補(bǔ)做出決策;二是實(shí)現(xiàn)決策的自動(dòng)化,即不需要人工交互,只需要在設(shè)定好ICS補(bǔ)丁修復(fù)過(guò)程后,即可為每個(gè)可用的安全補(bǔ)丁提供推薦的修補(bǔ)決策。自動(dòng)化并不意味著自動(dòng)應(yīng)用安全補(bǔ)丁,ICS資產(chǎn)所有者可以選擇對(duì)選定的安全補(bǔ)丁實(shí)施進(jìn)一步分析。ICS資產(chǎn)所有者變更控制過(guò)程應(yīng)該驅(qū)動(dòng)安全補(bǔ)丁的應(yīng)用。
Peterson改進(jìn)的ICS補(bǔ)丁修復(fù)方法使用決策樹(shù)來(lái)選擇“盡快(ASAP)”“推遲”“計(jì)劃”應(yīng)用ICS網(wǎng)絡(luò)資產(chǎn)上的安全補(bǔ)丁。決策樹(shù)中的每個(gè)節(jié)點(diǎn)/決策點(diǎn)將ICS補(bǔ)丁過(guò)程移動(dòng)到更接近補(bǔ)丁應(yīng)用程序決策的位置,如圖2所示。
圖2 產(chǎn)生直接影響的決策樹(shù)[13]
除了ICS網(wǎng)絡(luò)資產(chǎn)的一個(gè)決策點(diǎn)值之外,所有的決策點(diǎn)值都是靜態(tài)的,當(dāng)網(wǎng)絡(luò)資產(chǎn)被放入資產(chǎn)庫(kù)時(shí),很少發(fā)生(如果有的話)更改。技術(shù)影響決策點(diǎn)與正在修補(bǔ)的漏洞有關(guān),CVE的CVSS評(píng)分用于將其設(shè)置為高、中或低值。這使得何時(shí)修補(bǔ)、修補(bǔ)什么的自動(dòng)化問(wèn)題變得更簡(jiǎn)單。
此ICS補(bǔ)丁決策樹(shù)可以在資產(chǎn)庫(kù)/資產(chǎn)管理產(chǎn)品、漏洞管理應(yīng)用程序或單獨(dú)應(yīng)用程序中執(zhí)行。ICS補(bǔ)丁決策樹(shù)將產(chǎn)生針對(duì)每個(gè)網(wǎng)絡(luò)資產(chǎn)/安全補(bǔ)丁對(duì)的如下三個(gè)結(jié)果之一:
(1)推遲:不要應(yīng)用或計(jì)劃在網(wǎng)絡(luò)資產(chǎn)上應(yīng)用安全補(bǔ)丁以降低風(fēng)險(xiǎn)(資產(chǎn)所有者可以選擇應(yīng)用安全補(bǔ)丁作為網(wǎng)絡(luò)維護(hù)的一部分,以保持系統(tǒng)的支持)。
(2)排期(計(jì)劃):安全補(bǔ)丁應(yīng)在下一個(gè)預(yù)定的補(bǔ)丁窗口期應(yīng)用于網(wǎng)絡(luò)資產(chǎn)。對(duì)于一些ICS,這可能是每年或每半年發(fā)生的計(jì)劃中斷。對(duì)于其他類型資產(chǎn),可以選擇按季度或月修補(bǔ)。
(3)盡快(ASAP):以安全的方式盡快在網(wǎng)絡(luò)資產(chǎn)上應(yīng)用安全補(bǔ)丁。
Peterson的改進(jìn)方法中的決策結(jié)果有三類,而SSVC有四類。他將帶外和立即的SSVC類別合并為盡快(ASAP)。相應(yīng)地,對(duì)暴露、漏洞利用、任務(wù)影響、盜用、功能安全影響、安全態(tài)勢(shì)改變等決策因素也作了簡(jiǎn)化。
在IEC 62443-2-3中對(duì)補(bǔ)丁生命周期規(guī)范了11個(gè)不同的狀態(tài)[14],不同的狀態(tài)涉及資產(chǎn)所有者、產(chǎn)品供應(yīng)商,分別是可用的、測(cè)試中、未批準(zhǔn)、未應(yīng)用、已批準(zhǔn)、已發(fā)布、內(nèi)部測(cè)試中、未獲得授權(quán)、已授權(quán)、有效的和已安裝。
漏洞的補(bǔ)丁開(kāi)發(fā)完成后,就可以啟動(dòng)交付過(guò)程了,實(shí)際上就是系統(tǒng)地評(píng)估這個(gè)軟件補(bǔ)丁,以確保它確實(shí)解決了所發(fā)現(xiàn)的安全缺陷。其次,保證它不會(huì)引入回歸,也不會(huì)損害任何其他系統(tǒng)屬性,例如安全性或可用性 (更新可能會(huì)導(dǎo)致嚴(yán)重的操作中斷)。新軟件與相關(guān)組件、操作系統(tǒng)的兼容性(包括操作系統(tǒng)更新包)也應(yīng)進(jìn)行評(píng)估。所有的軟件補(bǔ)丁評(píng)估過(guò)程都應(yīng)該被適當(dāng)?shù)赜涗浵聛?lái)?;贗EC 62443-4-1指定的軟件更新交付因素,圖3顯示了一個(gè)建議的軟件更新交付決策樹(shù)[15]。
圖3 軟件補(bǔ)丁評(píng)估和交付策略決策樹(shù)[15]
在實(shí)踐中,企業(yè)通常對(duì)要評(píng)估的補(bǔ)丁進(jìn)行分類,并在給定的時(shí)間段內(nèi)交付。首先,對(duì)發(fā)現(xiàn)的漏洞的潛在影響進(jìn)行檢查。此時(shí)眾所周知的常見(jiàn)漏洞評(píng)分系統(tǒng)(CVSS)可以派上用場(chǎng)。根據(jù)計(jì)算出的評(píng)分,確定潛在的影響。該分析已經(jīng)在評(píng)估安全問(wèn)題管理階段執(zhí)行。最后,應(yīng)該考慮部署系統(tǒng)的數(shù)量。
根據(jù)文獻(xiàn)[16]的研究,在超過(guò)10萬(wàn)臺(tái)工業(yè)控制設(shè)備中,50%的設(shè)備在發(fā)現(xiàn)漏洞后60天內(nèi)進(jìn)行了修補(bǔ)。正如文獻(xiàn)[17]的軟件補(bǔ)丁測(cè)試所宣稱的那樣,優(yōu)先級(jí)和時(shí)間安排經(jīng)常是沖突的。
以色列工業(yè)網(wǎng)絡(luò)安全企業(yè)Scadafence[18-19]開(kāi)發(fā)了一個(gè)基于決策樹(shù)的工業(yè)漏洞決策工具,將漏洞和補(bǔ)丁對(duì)資產(chǎn)的影響程度,通過(guò)回答相應(yīng)問(wèn)題進(jìn)行評(píng)分來(lái)綜合判定。漏洞信息方面,設(shè)計(jì)了四個(gè)方面的問(wèn)題:即時(shí)影響、其他影響、暴露情況、利用的可能性。每個(gè)問(wèn)題對(duì)應(yīng)三個(gè)答案,得分為1~3分,得分高就意味著不打補(bǔ)丁的風(fēng)險(xiǎn)高。而在補(bǔ)丁信息方面,設(shè)定了五個(gè)方面的問(wèn)題:耗時(shí)、錯(cuò)誤、穩(wěn)定性、范圍和恢復(fù),每個(gè)問(wèn)題有三個(gè)答案,分別計(jì)1~3分,得分高意味著修補(bǔ)的風(fēng)險(xiǎn)高,參見(jiàn)圖4。
圖4 軟件補(bǔ)丁評(píng)估和交付策略決策樹(shù)[18]
漏洞和補(bǔ)丁兩項(xiàng)共計(jì)九個(gè)問(wèn)題,分別累計(jì)評(píng)分。如漏洞項(xiàng),暴露得分3,利用的可能性得分2或3,無(wú)論補(bǔ)丁項(xiàng)評(píng)分多少,都將得出現(xiàn)在修復(fù)的決策;如果漏洞項(xiàng)得分10,補(bǔ)丁項(xiàng)得分不超過(guò)7,則得出現(xiàn)在修復(fù)的決策;如果漏洞項(xiàng)得分4,而補(bǔ)丁項(xiàng)得分是7分及以上,則做出記錄漏洞,不修復(fù)的決策。
上述四種漏洞補(bǔ)丁修復(fù)決策的方法中,從決策要素、決策過(guò)程、復(fù)雜程度、決策結(jié)果以及最終的可操作性來(lái)看,都有各種的優(yōu)點(diǎn)和不足。SSVC方法和改進(jìn)的SSVC方法總體上看仍然屬于定性的方法,決策結(jié)果的落實(shí)仍然存在不確定性。而基于IEC 62443國(guó)際標(biāo)準(zhǔn)的決策方法和Scadafence公司的決策樹(shù)方法,總體上可歸為定量的方法,結(jié)果是有明確的實(shí)現(xiàn)時(shí)限的。表2所示為四種ICS漏洞補(bǔ)丁修復(fù)決策方法的比較。
表2 四種ICS漏洞補(bǔ)丁修復(fù)決策方法比較
在當(dāng)前工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全探索和實(shí)踐中,最困難的問(wèn)題就是對(duì)OT域的設(shè)備,特別是那些控制系統(tǒng)設(shè)備(普渡模型中0級(jí)和1級(jí)的設(shè)備),不敢碰、不能動(dòng),即使明明知道存在各種老舊的、歷史遺留的漏洞、脆弱點(diǎn)。其實(shí)這暴露出的是IT與OT/ICS之間巨大的人員、技術(shù)、過(guò)程和文化的差異。在當(dāng)前數(shù)字化轉(zhuǎn)型的驅(qū)動(dòng)下,IT與OT融合加速,IT網(wǎng)絡(luò)安全和OT網(wǎng)絡(luò)安全也呈現(xiàn)融合發(fā)展之勢(shì)。聚焦到OT域安全漏洞的修復(fù)問(wèn)題上,核心問(wèn)題就是ICS設(shè)備應(yīng)用補(bǔ)丁通常伴隨較高的成本和代價(jià)。比如應(yīng)用補(bǔ)丁可能會(huì)導(dǎo)致設(shè)備被“磚化”或?qū)е峦絾?wèn)題,還有可能導(dǎo)致停機(jī),而這正是用戶想要通過(guò)打補(bǔ)丁防止的。即使前述基于決策樹(shù)的方法形成了在一個(gè)確定的時(shí)間給一個(gè)確定的設(shè)備打上安全補(bǔ)丁的決策,但現(xiàn)實(shí)中仍然會(huì)讓?xiě)?yīng)用者舉棋不定。基于決策樹(shù)的方法目前還處于理論探索,有待實(shí)踐和時(shí)間的檢驗(yàn)。鑒于此,在常態(tài)化的OT/ICS漏洞管理中,堅(jiān)持一些業(yè)界公認(rèn)的安全實(shí)踐可能更加有效。
最基本的管理,就是維護(hù)一個(gè)自動(dòng)的、最新的、被動(dòng)和主動(dòng)的最全面的資產(chǎn)清單,即增強(qiáng)對(duì)OT資產(chǎn)的全面可見(jiàn)性?!澳銦o(wú)法保護(hù)你看不到的東西”,資產(chǎn)清單應(yīng)該不只是一份資產(chǎn)清單。一個(gè)強(qiáng)大的資產(chǎn)庫(kù)管理解決方案是一個(gè)成功的漏洞管理程序的關(guān)鍵,需要掌握每個(gè)資產(chǎn)的詳細(xì)概要數(shù)據(jù)(如資產(chǎn)對(duì)操作的關(guān)鍵性、資產(chǎn)所在的層、是否遠(yuǎn)程可訪問(wèn)等)。關(guān)于每個(gè)資產(chǎn)的關(guān)聯(lián)信息越多,脆弱性分析和優(yōu)先級(jí)劃分就越強(qiáng)。
優(yōu)先考慮漏洞,了解設(shè)備對(duì)網(wǎng)絡(luò)威脅的暴露程度,設(shè)備和漏洞的關(guān)鍵程度,以及補(bǔ)丁的有效性。漏洞掃描在OT中比在IT中面臨更大的挑戰(zhàn),幾乎不可行。代替漏洞掃描,利用基于代理的OT系統(tǒng)管理方法是最好的選擇。實(shí)時(shí)覆蓋資產(chǎn)及其漏洞,保護(hù)最關(guān)鍵的OT資產(chǎn)才會(huì)多一份保障。
漏洞關(guān)聯(lián)到資產(chǎn),通過(guò)將漏洞披露源與資產(chǎn)清單匹配來(lái)將漏洞映射到資產(chǎn)。避免掃描漏洞,以防止因工業(yè)設(shè)備不穩(wěn)定而停機(jī)。為了優(yōu)先修復(fù)漏洞,組織需要進(jìn)行360度的風(fēng)險(xiǎn)評(píng)估,包括超出CVE或CVSS的綜合風(fēng)險(xiǎn)評(píng)分。不能僅停留在識(shí)別潛在的風(fēng)險(xiǎn)和弱點(diǎn)的層次,應(yīng)以最有效的方式推動(dòng)最大風(fēng)險(xiǎn)因素的緩解行動(dòng)。
隔離脆弱的設(shè)備,在發(fā)現(xiàn)哪些設(shè)備易受攻擊之后,考慮將它們放在防火墻后,將它們的接口限制在網(wǎng)絡(luò)上,以減少攻擊面。有效的物理或邏輯隔離措施/微隔離措施,可阻止可能的攻擊者橫向移動(dòng)或攻擊成果最大化的態(tài)勢(shì),從而遏制攻擊行動(dòng),為防御者贏得時(shí)間。
由于漏洞披露、補(bǔ)丁開(kāi)發(fā)、測(cè)試驗(yàn)證、應(yīng)用補(bǔ)丁等幾個(gè)關(guān)鍵階段存在較大的時(shí)間差,預(yù)測(cè)和監(jiān)測(cè)漏洞后利用也是一項(xiàng)重大考驗(yàn)[20]。檢測(cè)漏洞利用,有些設(shè)備將暫時(shí)或永久地保持未修補(bǔ)的狀態(tài),需要部署技術(shù)手段方法來(lái)監(jiān)測(cè)網(wǎng)絡(luò)漏洞的利用,同時(shí)建立規(guī)則或策略來(lái)阻斷漏洞利用的入口和通道。通過(guò)威脅情報(bào)共享、網(wǎng)絡(luò)流量監(jiān)測(cè)分析等手段,監(jiān)測(cè)相關(guān)漏洞被利用的動(dòng)態(tài),及時(shí)調(diào)整和修正防范措施。
工業(yè)控制系統(tǒng)的漏洞管理絕不是一個(gè)簡(jiǎn)單的過(guò)程,或者一個(gè)標(biāo)準(zhǔn)、規(guī)范或指南可以解決的。核心的本質(zhì)問(wèn)題——成本,無(wú)論是時(shí)間成本、空間成本、經(jīng)濟(jì)成本、聲譽(yù)成本,都需要一個(gè)權(quán)衡過(guò)程。這也是上述漏洞修復(fù)策略無(wú)法回避的一個(gè)問(wèn)題。無(wú)論是SSVC方法、改進(jìn)的SSVC方法、基于IEC62443國(guó)際標(biāo)準(zhǔn)的方法,還是Scadafence的決策工具,均是提供一個(gè)可行的基線來(lái)改進(jìn)和完善一個(gè)ICS漏洞應(yīng)用補(bǔ)丁的優(yōu)先排序方法。每種決策方法也都有其優(yōu)勢(shì)和局限性。當(dāng)下,充分考量具體行業(yè)甚至業(yè)務(wù)應(yīng)用的特殊性,堅(jiān)持工業(yè)控制系統(tǒng)的一些最佳安全實(shí)踐,不失為務(wù)實(shí)可行之策。未來(lái)關(guān)于ICS/OT漏洞補(bǔ)丁應(yīng)用策略的研究,仍需關(guān)注于進(jìn)一步的需求收集、決策過(guò)程可靠性的進(jìn)一步測(cè)試,以及擴(kuò)展到補(bǔ)丁應(yīng)用程序和補(bǔ)丁開(kāi)發(fā)人員之外的其他類型的利益相關(guān)者。特別是要借鑒長(zhǎng)期以來(lái)OT側(cè)系統(tǒng)工程的技術(shù)和管理實(shí)踐,來(lái)推動(dòng)網(wǎng)絡(luò)安全融合態(tài)勢(shì)下ICS漏洞的管理。
網(wǎng)絡(luò)安全與數(shù)據(jù)管理2021年9期