周 磊，姜雙林，饒志波

(北京安帝科技有限公司，北京100125)

0 引言

典型的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)資產(chǎn)之間存在著關(guān)鍵的差異[1-2]，這導(dǎo)致漏洞修復(fù)的流程在ICS網(wǎng)絡(luò)中與企業(yè)網(wǎng)中也存在明顯的不同。應(yīng)用安全補(bǔ)丁是網(wǎng)絡(luò)安全既定計(jì)劃的一部分，也是風(fēng)險(xiǎn)管理的一個(gè)重要步驟。企業(yè)的目標(biāo)不是擁有完全修復(fù)補(bǔ)丁的網(wǎng)絡(luò)資產(chǎn)，而是將風(fēng)險(xiǎn)管理到一個(gè)可接受的水平。當(dāng)安全補(bǔ)丁是將風(fēng)險(xiǎn)降低到可接受水平的最有效率和最有效果的方法時(shí)，應(yīng)該安裝這些補(bǔ)丁。

工業(yè)控制系統(tǒng)的漏洞修復(fù)因其自身的特點(diǎn)，在實(shí)踐中面臨復(fù)雜性和可行性的挑戰(zhàn)。首先ICS資產(chǎn)存在天然的安全缺陷。許多ICS網(wǎng)絡(luò)資產(chǎn)缺少安全設(shè)計(jì)，漏洞頻出，應(yīng)用安全補(bǔ)丁通常會(huì)降低風(fēng)險(xiǎn)。其次，ICS資產(chǎn)處于嚴(yán)格隔離的網(wǎng)絡(luò)。對(duì)于攻擊者來(lái)說(shuō)，ICS網(wǎng)絡(luò)資產(chǎn)通常比企業(yè)網(wǎng)絡(luò)的資產(chǎn)更難訪問(wèn)。第三，ICS的攻擊可能導(dǎo)致極其嚴(yán)重的物理后果。許多ICS控制的物理過(guò)程有可能對(duì)人的生命造成損害，對(duì)環(huán)境造成破壞。第四，ICS資產(chǎn)的生命周期相對(duì)較長(zhǎng)。大多數(shù)ICS網(wǎng)絡(luò)資產(chǎn)和ICS本身都有靜態(tài)的特點(diǎn)，與典型的企業(yè)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)相比，很少發(fā)生變化。

然而，數(shù)字化轉(zhuǎn)型的加速，網(wǎng)絡(luò)連接泛在化、工業(yè)設(shè)備數(shù)字化、生產(chǎn)流程智能化、大容量、低時(shí)延、高速率等數(shù)字時(shí)代的新興技術(shù)特征，正在加速變革傳統(tǒng)的漏洞管理態(tài)勢(shì)。補(bǔ)丁應(yīng)用作為ICS漏洞管理過(guò)程的關(guān)鍵環(huán)節(jié)，相比傳統(tǒng)IT漏洞的修復(fù)面臨更大的困難和更嚴(yán)峻的考驗(yàn)。

本文的主要貢獻(xiàn)是總結(jié)了當(dāng)前CVSS評(píng)估系統(tǒng)在工業(yè)場(chǎng)景下的不足，梳理了當(dāng)前圍繞ICS漏洞補(bǔ)丁應(yīng)用研究的四種主要決策方法，最后結(jié)合工作實(shí)踐，提出了實(shí)踐中可行的ICS漏洞管理方法。

1 ICS漏洞管理流程回顧

在信息系統(tǒng)漏洞成為戰(zhàn)略資源的當(dāng)下，對(duì)漏洞的全生命周期管理也成為化解信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要手段。目前國(guó)際標(biāo)準(zhǔn)化組織、各國(guó)網(wǎng)絡(luò)安全主管部門、各大研究機(jī)構(gòu)和大型網(wǎng)絡(luò)安全企業(yè)，均出臺(tái)了相應(yīng)漏洞管理的標(biāo)準(zhǔn)和指南，如ISO的《ISO/IEC 30111：2019信息技術(shù)-安全技術(shù)-漏洞處理流程》[3]；美國(guó)NIST的《NIST SP 800-40第2版 創(chuàng)建補(bǔ)丁和漏洞管理程序》《NISTIR 8011(Volume 4)安全控制評(píng)估的自動(dòng)化支持：軟件漏洞管理》[4]；英國(guó)國(guó)家網(wǎng)絡(luò)安全中心發(fā)布的 《NCSC漏洞管理指南》[5]；SANS發(fā)布的《實(shí)現(xiàn)漏洞管理過(guò)程》[6]；卡耐基梅隆大學(xué)的《漏洞管理-V1.1》[7]；美國(guó)能源部桑迪亞實(shí)驗(yàn)室的《關(guān)于進(jìn)行安全漏洞評(píng)估的規(guī)范指南》[8]；美國(guó)NIST下屬國(guó)家網(wǎng)絡(luò)空間安全卓越中心的《網(wǎng)絡(luò)安全衛(wèi)生：修補(bǔ)企業(yè)漏洞》[9]；中國(guó)的《GB/T 30276-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)規(guī)范對(duì)漏洞披露到漏洞修復(fù)補(bǔ)丁后的活動(dòng)以及相關(guān)利益方給予了指導(dǎo)，具有積極的意義。但對(duì)于工業(yè)控制系統(tǒng)而言，這些漏洞管理的過(guò)程似乎無(wú)能為力，無(wú)法突顯OT域漏洞管理的特殊性。而美國(guó)國(guó)土安全部下屬CISA發(fā)布的漏洞管理流程，更加適合工業(yè)控制系統(tǒng)的漏洞管理。該流程分為以下四個(gè)階段，漏洞修復(fù)是其重要一環(huán)。

(1)挖掘階段：惡意的黑客(壞小子)、漏洞賞金獵人(私營(yíng)機(jī)構(gòu)的研究者)、官方的研究者(DHS研究人員)和設(shè)備廠商自己的研究人員分別進(jìn)行的漏洞發(fā)現(xiàn)活動(dòng)；

(2)初始披露階段：各種形式的披露(涉及賞金計(jì)劃者、會(huì)議演講、郵件列表、產(chǎn)品安全響應(yīng)團(tuán)隊(duì)、安全事件響應(yīng)組織、CISA等官方機(jī)構(gòu))，CVE編號(hào)組織分配編號(hào)等；

(3)分析和協(xié)調(diào)階段：分配漏洞編號(hào)后，歸類驗(yàn)證、正式披露或發(fā)布、嚴(yán)重性評(píng)估(CVSS評(píng)分)等；

(4)修復(fù)階段：補(bǔ)丁或更新的發(fā)布、定位受影響系統(tǒng)、檢測(cè)是否有在野利用、其他緩解措施公布等。

即使這個(gè)規(guī)范，對(duì)ICS漏洞的修復(fù)也不具有可操作性的指導(dǎo)。

2 通用漏洞評(píng)分系統(tǒng)(CVSS)的局限

CVSS[10]作為IT域漏洞的嚴(yán)重性評(píng)級(jí)指南，可以指導(dǎo)企業(yè)做出修復(fù)的決策。但在OT域是否可以同樣應(yīng)用CVSS這個(gè)標(biāo)準(zhǔn)評(píng)分系統(tǒng)存在疑問(wèn)，在目前尚不存在用于漏洞評(píng)分的更科學(xué)的標(biāo)準(zhǔn)指標(biāo)的情況下，需要明確管理IT和OT系統(tǒng)時(shí)CVSS評(píng)分系統(tǒng)的優(yōu)缺點(diǎn)。

文獻(xiàn)[11]對(duì)現(xiàn)行CVSS評(píng)分系統(tǒng)在ICS/OT域中的適用性進(jìn)行了分析。CVSS明顯的優(yōu)勢(shì)是其定義了一套漏洞的詞匯、術(shù)語(yǔ)和評(píng)分準(zhǔn)則，目前它是全球通用的為數(shù)不多用于實(shí)踐的標(biāo)準(zhǔn)。一方面，在討論漏洞時(shí)，可以據(jù)此以同一種語(yǔ)言進(jìn)行交流，而不論漏洞所屬的分類、應(yīng)用和行業(yè)等。另一方面，CVSS提供需要緩解的現(xiàn)有風(fēng)險(xiǎn)的指標(biāo)。無(wú)論是否有可能對(duì)任何提到的漏洞(CVE)進(jìn)行補(bǔ)救，其存在都表明了不應(yīng)忽略修復(fù)/修補(bǔ)，通過(guò)補(bǔ)償性控制減輕風(fēng)險(xiǎn)，以及至少進(jìn)行管理/記錄風(fēng)險(xiǎn)。當(dāng)將其運(yùn)用于OT域時(shí)，CVSS的不足或局限性也逐漸暴露出來(lái)。

2.1 CVSS強(qiáng)調(diào)的是漏洞的技術(shù)嚴(yán)重性

用戶關(guān)心的是脆弱性或漏洞給他們帶來(lái)的風(fēng)險(xiǎn)，即漏洞被利用后產(chǎn)生的影響，或他們應(yīng)對(duì)漏洞的速度。恰恰工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)考量的一個(gè)重要因素就是影響。一般而言，嚴(yán)重性僅應(yīng)作為漏洞響應(yīng)優(yōu)先級(jí)的一部分。人們可能還會(huì)考慮利用漏洞的可能性，或者是否可以公開(kāi)利用漏洞。漏洞利用代碼成熟度向量(以時(shí)間度量)試圖解決漏洞利用的可能性，但默認(rèn)情況下總是假設(shè)漏洞利用廣泛，這是不現(xiàn)實(shí)的。

2.2 CVSS分?jǐn)?shù)不考慮漏洞利用鏈

CVSS分?jǐn)?shù)由三個(gè)度量標(biāo)準(zhǔn)組構(gòu)成：基本指標(biāo)、時(shí)間和環(huán)境。大多數(shù)已發(fā)布的CVSS分?jǐn)?shù)僅報(bào)告基本指標(biāo)，該指標(biāo)描述了隨時(shí)間變化的漏洞特征。時(shí)間組包括漏洞利用代碼的成熟度和獨(dú)立于特定環(huán)境的可用補(bǔ)救措施。環(huán)境指標(biāo)只能使用對(duì)易受攻擊的系統(tǒng)所在環(huán)境的了解來(lái)評(píng)估。為發(fā)現(xiàn)的漏洞創(chuàng)建CVSS的研究人員通常不考慮環(huán)境得分或?qū)⑵錁?biāo)記為“零”，因?yàn)樗麄儗?duì)每個(gè)單獨(dú)的環(huán)境都不熟悉。為了考慮環(huán)境評(píng)分，每個(gè)受影響組織中的安全分析師都需要評(píng)估其環(huán)境并修正評(píng)分。

2.3 CVSS的度量標(biāo)準(zhǔn)組未關(guān)聯(lián)資產(chǎn)價(jià)值

CVSS考評(píng)的是漏洞的嚴(yán)重等級(jí)，不是風(fēng)險(xiǎn)評(píng)分。環(huán)境分?jǐn)?shù)可以通過(guò)考慮本地緩解因素和配置詳細(xì)信息來(lái)修改基本分?jǐn)?shù)。如果利用了此漏洞，它還可以調(diào)整對(duì)資產(chǎn)的機(jī)密性、完整性和可用性(CIA)的影響。但是，它仍然是衡量嚴(yán)重性的標(biāo)準(zhǔn)，并且沒(méi)有考慮暴露資產(chǎn)對(duì)組織的價(jià)值，這是關(guān)鍵的風(fēng)險(xiǎn)因素。

2.4 CVSS無(wú)法支撐漏洞修復(fù)決策

更客觀衡量標(biāo)準(zhǔn)的兩個(gè)因素是漏洞利用的潛力和資產(chǎn)的關(guān)鍵性。使用CVSS對(duì)漏洞的響應(yīng)進(jìn)行優(yōu)先級(jí)排序可能會(huì)看到這樣的結(jié)果：CVSS得分為10的漏洞升至優(yōu)先級(jí)列表的頂部，即使它們可能影響的資產(chǎn)只會(huì)造成很小的損失。如果它們受到損害，則會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響。高分?jǐn)?shù)也歸因于漏洞，即使當(dāng)時(shí)犯罪分子沒(méi)有在野外利用漏洞。同時(shí)，CVSS分?jǐn)?shù)為5的漏洞在優(yōu)先級(jí)列表中排名較低，即使它們可以暴露高價(jià)值的資產(chǎn)并且正在被犯罪分子積極地用作武器。結(jié)果，首先修復(fù)了得分為10的漏洞，使犯罪分子有充裕的時(shí)間利用得分僅為5的漏洞。

修補(bǔ)問(wèn)題過(guò)去通常由供應(yīng)商及其批準(zhǔn)此修補(bǔ)程序的能力來(lái)決定。如今，即使解決方案已經(jīng)存在并且可以在許多關(guān)鍵環(huán)境中使用，從而在很大程度上解決了修補(bǔ)OT資產(chǎn)的技術(shù)難題，但是，ICS漏洞報(bào)告持續(xù)增加，如何對(duì)ICS漏洞管理活動(dòng)進(jìn)行分類和優(yōu)先級(jí)排序，CVSS系統(tǒng)顯然是無(wú)能為力的。

3 ICS漏洞補(bǔ)丁應(yīng)用策略的研究

ICS漏洞逐年增加積累，是否需要修復(fù)、何時(shí)修復(fù)、修復(fù)順序如何確定等問(wèn)題依然困擾著ICS漏洞管理相關(guān)方。相關(guān)研究機(jī)構(gòu)也進(jìn)行了有益的嘗試與探索，典型的就是基于決策樹(shù)的ICS漏洞補(bǔ)丁應(yīng)用方法。

3.1 SSVC方法

文獻(xiàn)[12]提出了一個(gè)可測(cè)試的特定于利益相關(guān)者的漏洞分類方法——SSVC，它避免了通用漏洞評(píng)分系統(tǒng)(CVSS)的某些問(wèn)題。SSVC采用針對(duì)不同漏洞管理社區(qū)的決策樹(shù)的形式。應(yīng)用SSVC的結(jié)果是得到一個(gè)優(yōu)先級(jí)決策，如圖1所示。文獻(xiàn)[12]將漏洞修復(fù)分為四個(gè)優(yōu)先級(jí)：推遲、排期/計(jì)劃、帶外和立即。各優(yōu)先級(jí)下開(kāi)發(fā)人員和應(yīng)用者的決策如表1所示。

表1 各優(yōu)先級(jí)下開(kāi)發(fā)人員和應(yīng)用者的決策

圖1 為補(bǔ)丁應(yīng)用者提出的漏洞優(yōu)先級(jí)決策樹(shù)[12]

SSVC方法是根據(jù)漏洞被利用帶來(lái)的風(fēng)險(xiǎn)來(lái)對(duì)漏洞進(jìn)行優(yōu)先級(jí)排序。修補(bǔ)成本(風(fēng)險(xiǎn)方程的另一面)不在該文討論的范圍之內(nèi)。但修補(bǔ)成本至少包括三個(gè)方面：首先也是最明顯的是應(yīng)用補(bǔ)丁的交易成本。向系統(tǒng)管理員付費(fèi)以開(kāi)發(fā)或應(yīng)用補(bǔ)丁，并且這可能還需要其他交易成本，例如更新補(bǔ)丁需要停機(jī)時(shí)間。其次是失敗的風(fēng)險(xiǎn)成本，如果補(bǔ)丁引入了新的錯(cuò)誤或漏洞，同樣會(huì)造成損失。回歸測(cè)試是開(kāi)發(fā)人員為此費(fèi)用支付的一部分。最后應(yīng)用補(bǔ)丁可能會(huì)產(chǎn)生運(yùn)營(yíng)成本，代表功能的不斷變化或增加的開(kāi)銷。成本考量可能是決策者在一個(gè)優(yōu)先級(jí)類別(計(jì)劃的、帶外的等)內(nèi)安排工作的一種方式。

由于漏洞管理中有許多不同的利益相關(guān)者，因此文獻(xiàn)[12]力求避免采用千篇一律的解決方案。在SSVC方法中，為兩個(gè)利益相關(guān)者角色開(kāi)發(fā)決策樹(shù)：補(bǔ)丁開(kāi)發(fā)人員和補(bǔ)丁應(yīng)用者[12]。在CERT協(xié)調(diào)漏洞披露指南中，這些角色分別對(duì)應(yīng)于供應(yīng)商和部署者角色。

3.2 改進(jìn)的SSVC方法

資深的ICS/SCADA網(wǎng)絡(luò)安全專家、Digital Bond和S4 Events的創(chuàng)始人Peterson對(duì)SSVC方法進(jìn)行了改進(jìn)[13]。其創(chuàng)建了ICS-補(bǔ)丁項(xiàng)目以幫助ICS資產(chǎn)所有者決定何時(shí)修補(bǔ)漏洞，該項(xiàng)目有兩個(gè)主要目標(biāo)：一是根據(jù)每個(gè)安全補(bǔ)丁對(duì)降低風(fēng)險(xiǎn)的貢獻(xiàn)，對(duì)ICS資產(chǎn)所有者的哪個(gè)資產(chǎn)在什么時(shí)間修補(bǔ)做出決策；二是實(shí)現(xiàn)決策的自動(dòng)化，即不需要人工交互，只需要在設(shè)定好ICS補(bǔ)丁修復(fù)過(guò)程后，即可為每個(gè)可用的安全補(bǔ)丁提供推薦的修補(bǔ)決策。自動(dòng)化并不意味著自動(dòng)應(yīng)用安全補(bǔ)丁，ICS資產(chǎn)所有者可以選擇對(duì)選定的安全補(bǔ)丁實(shí)施進(jìn)一步分析。ICS資產(chǎn)所有者變更控制過(guò)程應(yīng)該驅(qū)動(dòng)安全補(bǔ)丁的應(yīng)用。

Peterson改進(jìn)的ICS補(bǔ)丁修復(fù)方法使用決策樹(shù)來(lái)選擇“盡快(ASAP)”“推遲”“計(jì)劃”應(yīng)用ICS網(wǎng)絡(luò)資產(chǎn)上的安全補(bǔ)丁。決策樹(shù)中的每個(gè)節(jié)點(diǎn)/決策點(diǎn)將ICS補(bǔ)丁過(guò)程移動(dòng)到更接近補(bǔ)丁應(yīng)用程序決策的位置，如圖2所示。

圖2 產(chǎn)生直接影響的決策樹(shù)[13]

除了ICS網(wǎng)絡(luò)資產(chǎn)的一個(gè)決策點(diǎn)值之外，所有的決策點(diǎn)值都是靜態(tài)的，當(dāng)網(wǎng)絡(luò)資產(chǎn)被放入資產(chǎn)庫(kù)時(shí)，很少發(fā)生(如果有的話)更改。技術(shù)影響決策點(diǎn)與正在修補(bǔ)的漏洞有關(guān)，CVE的CVSS評(píng)分用于將其設(shè)置為高、中或低值。這使得何時(shí)修補(bǔ)、修補(bǔ)什么的自動(dòng)化問(wèn)題變得更簡(jiǎn)單。

此ICS補(bǔ)丁決策樹(shù)可以在資產(chǎn)庫(kù)/資產(chǎn)管理產(chǎn)品、漏洞管理應(yīng)用程序或單獨(dú)應(yīng)用程序中執(zhí)行。ICS補(bǔ)丁決策樹(shù)將產(chǎn)生針對(duì)每個(gè)網(wǎng)絡(luò)資產(chǎn)/安全補(bǔ)丁對(duì)的如下三個(gè)結(jié)果之一：

(1)推遲：不要應(yīng)用或計(jì)劃在網(wǎng)絡(luò)資產(chǎn)上應(yīng)用安全補(bǔ)丁以降低風(fēng)險(xiǎn)(資產(chǎn)所有者可以選擇應(yīng)用安全補(bǔ)丁作為網(wǎng)絡(luò)維護(hù)的一部分，以保持系統(tǒng)的支持)。

(2)排期(計(jì)劃)：安全補(bǔ)丁應(yīng)在下一個(gè)預(yù)定的補(bǔ)丁窗口期應(yīng)用于網(wǎng)絡(luò)資產(chǎn)。對(duì)于一些ICS，這可能是每年或每半年發(fā)生的計(jì)劃中斷。對(duì)于其他類型資產(chǎn)，可以選擇按季度或月修補(bǔ)。

(3)盡快(ASAP)：以安全的方式盡快在網(wǎng)絡(luò)資產(chǎn)上應(yīng)用安全補(bǔ)丁。

Peterson的改進(jìn)方法中的決策結(jié)果有三類，而SSVC有四類。他將帶外和立即的SSVC類別合并為盡快(ASAP)。相應(yīng)地，對(duì)暴露、漏洞利用、任務(wù)影響、盜用、功能安全影響、安全態(tài)勢(shì)改變等決策因素也作了簡(jiǎn)化。

3.3 基于IEC 62443-4-1標(biāo)準(zhǔn)的決策樹(shù)方法

在IEC 62443-2-3中對(duì)補(bǔ)丁生命周期規(guī)范了11個(gè)不同的狀態(tài)[14]，不同的狀態(tài)涉及資產(chǎn)所有者、產(chǎn)品供應(yīng)商，分別是可用的、測(cè)試中、未批準(zhǔn)、未應(yīng)用、已批準(zhǔn)、已發(fā)布、內(nèi)部測(cè)試中、未獲得授權(quán)、已授權(quán)、有效的和已安裝。

漏洞的補(bǔ)丁開(kāi)發(fā)完成后，就可以啟動(dòng)交付過(guò)程了，實(shí)際上就是系統(tǒng)地評(píng)估這個(gè)軟件補(bǔ)丁，以確保它確實(shí)解決了所發(fā)現(xiàn)的安全缺陷。其次，保證它不會(huì)引入回歸，也不會(huì)損害任何其他系統(tǒng)屬性，例如安全性或可用性 (更新可能會(huì)導(dǎo)致嚴(yán)重的操作中斷)。新軟件與相關(guān)組件、操作系統(tǒng)的兼容性(包括操作系統(tǒng)更新包)也應(yīng)進(jìn)行評(píng)估。所有的軟件補(bǔ)丁評(píng)估過(guò)程都應(yīng)該被適當(dāng)?shù)赜涗浵聛?lái)?；贗EC 62443-4-1指定的軟件更新交付因素，圖3顯示了一個(gè)建議的軟件更新交付決策樹(shù)[15]。

圖3 軟件補(bǔ)丁評(píng)估和交付策略決策樹(shù)[15]

在實(shí)踐中，企業(yè)通常對(duì)要評(píng)估的補(bǔ)丁進(jìn)行分類，并在給定的時(shí)間段內(nèi)交付。首先，對(duì)發(fā)現(xiàn)的漏洞的潛在影響進(jìn)行檢查。此時(shí)眾所周知的常見(jiàn)漏洞評(píng)分系統(tǒng)(CVSS)可以派上用場(chǎng)。根據(jù)計(jì)算出的評(píng)分，確定潛在的影響。該分析已經(jīng)在評(píng)估安全問(wèn)題管理階段執(zhí)行。最后，應(yīng)該考慮部署系統(tǒng)的數(shù)量。

根據(jù)文獻(xiàn)[16]的研究，在超過(guò)10萬(wàn)臺(tái)工業(yè)控制設(shè)備中，50%的設(shè)備在發(fā)現(xiàn)漏洞后60天內(nèi)進(jìn)行了修補(bǔ)。正如文獻(xiàn)[17]的軟件補(bǔ)丁測(cè)試所宣稱的那樣，優(yōu)先級(jí)和時(shí)間安排經(jīng)常是沖突的。

3.4 Scadafence的決策工具

以色列工業(yè)網(wǎng)絡(luò)安全企業(yè)Scadafence[18-19]開(kāi)發(fā)了一個(gè)基于決策樹(shù)的工業(yè)漏洞決策工具，將漏洞和補(bǔ)丁對(duì)資產(chǎn)的影響程度，通過(guò)回答相應(yīng)問(wèn)題進(jìn)行評(píng)分來(lái)綜合判定。漏洞信息方面，設(shè)計(jì)了四個(gè)方面的問(wèn)題：即時(shí)影響、其他影響、暴露情況、利用的可能性。每個(gè)問(wèn)題對(duì)應(yīng)三個(gè)答案，得分為1～3分，得分高就意味著不打補(bǔ)丁的風(fēng)險(xiǎn)高。而在補(bǔ)丁信息方面，設(shè)定了五個(gè)方面的問(wèn)題：耗時(shí)、錯(cuò)誤、穩(wěn)定性、范圍和恢復(fù)，每個(gè)問(wèn)題有三個(gè)答案，分別計(jì)1～3分，得分高意味著修補(bǔ)的風(fēng)險(xiǎn)高，參見(jiàn)圖4。

圖4 軟件補(bǔ)丁評(píng)估和交付策略決策樹(shù)[18]

漏洞和補(bǔ)丁兩項(xiàng)共計(jì)九個(gè)問(wèn)題，分別累計(jì)評(píng)分。如漏洞項(xiàng)，暴露得分3，利用的可能性得分2或3，無(wú)論補(bǔ)丁項(xiàng)評(píng)分多少，都將得出現(xiàn)在修復(fù)的決策；如果漏洞項(xiàng)得分10，補(bǔ)丁項(xiàng)得分不超過(guò)7，則得出現(xiàn)在修復(fù)的決策；如果漏洞項(xiàng)得分4，而補(bǔ)丁項(xiàng)得分是7分及以上，則做出記錄漏洞，不修復(fù)的決策。

3.5 幾類決策策略/工具的比較

上述四種漏洞補(bǔ)丁修復(fù)決策的方法中，從決策要素、決策過(guò)程、復(fù)雜程度、決策結(jié)果以及最終的可操作性來(lái)看，都有各種的優(yōu)點(diǎn)和不足。SSVC方法和改進(jìn)的SSVC方法總體上看仍然屬于定性的方法，決策結(jié)果的落實(shí)仍然存在不確定性。而基于IEC 62443國(guó)際標(biāo)準(zhǔn)的決策方法和Scadafence公司的決策樹(shù)方法，總體上可歸為定量的方法，結(jié)果是有明確的實(shí)現(xiàn)時(shí)限的。表2所示為四種ICS漏洞補(bǔ)丁修復(fù)決策方法的比較。

表2 四種ICS漏洞補(bǔ)丁修復(fù)決策方法比較

4 ICS漏洞修復(fù)的思考

在當(dāng)前工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全探索和實(shí)踐中，最困難的問(wèn)題就是對(duì)OT域的設(shè)備，特別是那些控制系統(tǒng)設(shè)備(普渡模型中0級(jí)和1級(jí)的設(shè)備)，不敢碰、不能動(dòng)，即使明明知道存在各種老舊的、歷史遺留的漏洞、脆弱點(diǎn)。其實(shí)這暴露出的是IT與OT/ICS之間巨大的人員、技術(shù)、過(guò)程和文化的差異。在當(dāng)前數(shù)字化轉(zhuǎn)型的驅(qū)動(dòng)下，IT與OT融合加速，IT網(wǎng)絡(luò)安全和OT網(wǎng)絡(luò)安全也呈現(xiàn)融合發(fā)展之勢(shì)。聚焦到OT域安全漏洞的修復(fù)問(wèn)題上，核心問(wèn)題就是ICS設(shè)備應(yīng)用補(bǔ)丁通常伴隨較高的成本和代價(jià)。比如應(yīng)用補(bǔ)丁可能會(huì)導(dǎo)致設(shè)備被“磚化”或?qū)е峦絾?wèn)題，還有可能導(dǎo)致停機(jī)，而這正是用戶想要通過(guò)打補(bǔ)丁防止的。即使前述基于決策樹(shù)的方法形成了在一個(gè)確定的時(shí)間給一個(gè)確定的設(shè)備打上安全補(bǔ)丁的決策，但現(xiàn)實(shí)中仍然會(huì)讓?xiě)?yīng)用者舉棋不定。基于決策樹(shù)的方法目前還處于理論探索，有待實(shí)踐和時(shí)間的檢驗(yàn)。鑒于此，在常態(tài)化的OT/ICS漏洞管理中，堅(jiān)持一些業(yè)界公認(rèn)的安全實(shí)踐可能更加有效。

4.1 增強(qiáng)資產(chǎn)的可見(jiàn)性

最基本的管理，就是維護(hù)一個(gè)自動(dòng)的、最新的、被動(dòng)和主動(dòng)的最全面的資產(chǎn)清單，即增強(qiáng)對(duì)OT資產(chǎn)的全面可見(jiàn)性?！澳銦o(wú)法保護(hù)你看不到的東西”，資產(chǎn)清單應(yīng)該不只是一份資產(chǎn)清單。一個(gè)強(qiáng)大的資產(chǎn)庫(kù)管理解決方案是一個(gè)成功的漏洞管理程序的關(guān)鍵，需要掌握每個(gè)資產(chǎn)的詳細(xì)概要數(shù)據(jù)(如資產(chǎn)對(duì)操作的關(guān)鍵性、資產(chǎn)所在的層、是否遠(yuǎn)程可訪問(wèn)等)。關(guān)于每個(gè)資產(chǎn)的關(guān)聯(lián)信息越多，脆弱性分析和優(yōu)先級(jí)劃分就越強(qiáng)。

4.2 及時(shí)標(biāo)識(shí)已知漏洞

優(yōu)先考慮漏洞，了解設(shè)備對(duì)網(wǎng)絡(luò)威脅的暴露程度，設(shè)備和漏洞的關(guān)鍵程度，以及補(bǔ)丁的有效性。漏洞掃描在OT中比在IT中面臨更大的挑戰(zhàn)，幾乎不可行。代替漏洞掃描，利用基于代理的OT系統(tǒng)管理方法是最好的選擇。實(shí)時(shí)覆蓋資產(chǎn)及其漏洞，保護(hù)最關(guān)鍵的OT資產(chǎn)才會(huì)多一份保障。

4.3 建立漏洞與資產(chǎn)的映射

漏洞關(guān)聯(lián)到資產(chǎn)，通過(guò)將漏洞披露源與資產(chǎn)清單匹配來(lái)將漏洞映射到資產(chǎn)。避免掃描漏洞，以防止因工業(yè)設(shè)備不穩(wěn)定而停機(jī)。為了優(yōu)先修復(fù)漏洞，組織需要進(jìn)行360度的風(fēng)險(xiǎn)評(píng)估，包括超出CVE或CVSS的綜合風(fēng)險(xiǎn)評(píng)分。不能僅停留在識(shí)別潛在的風(fēng)險(xiǎn)和弱點(diǎn)的層次，應(yīng)以最有效的方式推動(dòng)最大風(fēng)險(xiǎn)因素的緩解行動(dòng)。

4.4 有效的隔離/微隔離

隔離脆弱的設(shè)備，在發(fā)現(xiàn)哪些設(shè)備易受攻擊之后，考慮將它們放在防火墻后，將它們的接口限制在網(wǎng)絡(luò)上，以減少攻擊面。有效的物理或邏輯隔離措施/微隔離措施，可阻止可能的攻擊者橫向移動(dòng)或攻擊成果最大化的態(tài)勢(shì)，從而遏制攻擊行動(dòng)，為防御者贏得時(shí)間。

4.5 監(jiān)測(cè)已知漏洞的利用情況

由于漏洞披露、補(bǔ)丁開(kāi)發(fā)、測(cè)試驗(yàn)證、應(yīng)用補(bǔ)丁等幾個(gè)關(guān)鍵階段存在較大的時(shí)間差，預(yù)測(cè)和監(jiān)測(cè)漏洞后利用也是一項(xiàng)重大考驗(yàn)[20]。檢測(cè)漏洞利用，有些設(shè)備將暫時(shí)或永久地保持未修補(bǔ)的狀態(tài)，需要部署技術(shù)手段方法來(lái)監(jiān)測(cè)網(wǎng)絡(luò)漏洞的利用，同時(shí)建立規(guī)則或策略來(lái)阻斷漏洞利用的入口和通道。通過(guò)威脅情報(bào)共享、網(wǎng)絡(luò)流量監(jiān)測(cè)分析等手段，監(jiān)測(cè)相關(guān)漏洞被利用的動(dòng)態(tài)，及時(shí)調(diào)整和修正防范措施。

5 結(jié)論

工業(yè)控制系統(tǒng)的漏洞管理絕不是一個(gè)簡(jiǎn)單的過(guò)程，或者一個(gè)標(biāo)準(zhǔn)、規(guī)范或指南可以解決的。核心的本質(zhì)問(wèn)題——成本，無(wú)論是時(shí)間成本、空間成本、經(jīng)濟(jì)成本、聲譽(yù)成本，都需要一個(gè)權(quán)衡過(guò)程。這也是上述漏洞修復(fù)策略無(wú)法回避的一個(gè)問(wèn)題。無(wú)論是SSVC方法、改進(jìn)的SSVC方法、基于IEC62443國(guó)際標(biāo)準(zhǔn)的方法，還是Scadafence的決策工具，均是提供一個(gè)可行的基線來(lái)改進(jìn)和完善一個(gè)ICS漏洞應(yīng)用補(bǔ)丁的優(yōu)先排序方法。每種決策方法也都有其優(yōu)勢(shì)和局限性。當(dāng)下，充分考量具體行業(yè)甚至業(yè)務(wù)應(yīng)用的特殊性，堅(jiān)持工業(yè)控制系統(tǒng)的一些最佳安全實(shí)踐，不失為務(wù)實(shí)可行之策。未來(lái)關(guān)于ICS/OT漏洞補(bǔ)丁應(yīng)用策略的研究，仍需關(guān)注于進(jìn)一步的需求收集、決策過(guò)程可靠性的進(jìn)一步測(cè)試，以及擴(kuò)展到補(bǔ)丁應(yīng)用程序和補(bǔ)丁開(kāi)發(fā)人員之外的其他類型的利益相關(guān)者。特別是要借鑒長(zhǎng)期以來(lái)OT側(cè)系統(tǒng)工程的技術(shù)和管理實(shí)踐，來(lái)推動(dòng)網(wǎng)絡(luò)安全融合態(tài)勢(shì)下ICS漏洞的管理。