工業(yè)企業(yè)在OT漏洞管理的成熟度方面，明顯與 IT 漏洞管理的成熟度存在差距，滯后的原因與其說是OT系統(tǒng)先天存在缺陷或弱點(diǎn)，不如說是在 OT環(huán)境中發(fā)現(xiàn)和修復(fù)漏洞存在特別挑戰(zhàn)。當(dāng)然，在許多OT系統(tǒng)中處理的技術(shù)和漏洞類型與 IT 系統(tǒng)相同。也存在明顯的交叉，工業(yè)控制系統(tǒng) （ICS） 等許多OT資產(chǎn)依賴于與其對應(yīng)IT 系統(tǒng)類似的操作系統(tǒng)、網(wǎng)絡(luò)連接和架構(gòu)。

　　然而，ICS/OT工作環(huán)境與IT迥異，潛在的網(wǎng)絡(luò)風(fēng)險及其影響也是如此。最重要的是OT獨(dú)有的附加協(xié)議，用戶與供應(yīng)商之間復(fù)雜的售后支持協(xié)議會影響系統(tǒng)修補(bǔ)方式和時間，以及通常對業(yè)務(wù)可持續(xù)性至關(guān)重要的嚴(yán)格監(jiān)管和運(yùn)營要求。因此，建立OT漏洞管理過程是一個緩慢的、系統(tǒng)性的過程，需要人財物各方面的資源，當(dāng)然還需要一定的時間。從當(dāng)前的實(shí)踐探索來看，工業(yè)組織中沒有一成不變的漏洞管理流程或道路可以遵循，不同行業(yè)都有不同的套路。但有些問題和挑戰(zhàn)是共同的，比如優(yōu)先級排序，資產(chǎn)與漏洞的映射，手工與自動化的協(xié)調(diào)，設(shè)備供應(yīng)商的協(xié)同，專職的人員，修復(fù)決策等等。工業(yè)網(wǎng)絡(luò)安全公司Dragos日前發(fā)布的《了解OT漏洞管理的挑戰(zhàn)和如何解決它們》的白皮書，總結(jié)了OT漏洞管理的10個關(guān)注點(diǎn)，期望為OT漏洞管理的成功提供一些有價值的方法指導(dǎo)。

　　1.稍安勿躁，讓漏洞飛一會

　　工業(yè)組織在第一次處理OT漏洞管理時最常犯的錯誤之一是陷入恐慌，焦躁不安。往往安全事件的威脅或監(jiān)管要求的加碼，會造成突然的、強(qiáng)烈的壓力。

　　解決特定ICS漏洞或一組漏洞，從高層下達(dá)命令，實(shí)施人員在匆忙中修復(fù)缺陷，安全團(tuán)隊(duì)或許破壞系統(tǒng)，由于不正確的或不充分的測試，或沒有真正理解OT系統(tǒng)是如何運(yùn)行的。

　　正確地進(jìn)行OT漏洞管理需要安全人員和運(yùn)營人員穩(wěn)步推進(jìn)，考慮漏洞的風(fēng)險影響，以便他們能夠幫助領(lǐng)導(dǎo)者做出解決漏洞的正確決策或命令，并創(chuàng)建一個可復(fù)現(xiàn)的系統(tǒng)，真正降低業(yè)務(wù)的整體風(fēng)險。

　　2.資產(chǎn)清單，全面的可見性

　　每一個重大的OT漏洞管理方案，其根本的基礎(chǔ)都是一個全面的OT資產(chǎn)清單。為了正確地實(shí)施，組織需要經(jīng)歷一個不限于可以挖掘的資產(chǎn)發(fā)現(xiàn)過程。

　　在所有這些資產(chǎn)上，還要根據(jù)一系列屬性對它們進(jìn)行分類，映射它們的連接，并跟蹤它們的配置狀態(tài)。理想情況下，組織不應(yīng)該只是計劃在某個時間點(diǎn)對資產(chǎn)進(jìn)行調(diào)查，而是努力構(gòu)建自動化機(jī)制，以獲得對資產(chǎn)清單狀態(tài)的持續(xù)可見性。這種持續(xù)的監(jiān)測將確保一個成功的漏洞管理程序的可持續(xù)性。

　　IT資產(chǎn)的許多可見性工具和戰(zhàn)術(shù)無法直接運(yùn)用或很好地轉(zhuǎn)換到OT環(huán)境。例如，你不能把代理放在可編程邏輯控制器（PLC）上。這意味著組織可能需要采取特定于OT環(huán)境的不同方法，以實(shí)現(xiàn)對資產(chǎn)、漏洞和風(fēng)險的可見性水平，這與他們的安全團(tuán)隊(duì)可能習(xí)慣于看到的跨IT資產(chǎn)組合相對應(yīng)。確保制定計劃，通過像Dragos收集管理框架這樣的結(jié)構(gòu)化方法確定數(shù)據(jù)收集需求。一個好的計劃將為一個成功的結(jié)果奠定基礎(chǔ)，這個成功的結(jié)果將創(chuàng)建一個可持續(xù)的、可擴(kuò)展的、有效的資產(chǎn)可見性計劃，持續(xù)更新清單。

　　3.考慮效率，不要擔(dān)心自動化

　　通常而言，OT漏洞管理幾乎肯定是一個完全手工的過程。的確，你不會像在IT系統(tǒng)中那樣，用自動補(bǔ)丁和更新來覆蓋OT系統(tǒng)。然而，盡管許多關(guān)鍵ICS系統(tǒng)的補(bǔ)救和緩解必須保持手動，但許多方面可以實(shí)現(xiàn)自動化。

　　許多自動化發(fā)生在過程的前端，在漏洞管理周期的前三個階段，但最終OT在報告任務(wù)和理解環(huán)境的自動化中是非常安全的。如前所述，資產(chǎn)發(fā)現(xiàn)是很容易實(shí)現(xiàn)的目標(biāo)。類似地，漏洞評估和跟蹤配置基線和配置轉(zhuǎn)移實(shí)例的過程為大量自動化提供了機(jī)會。資產(chǎn)的優(yōu)先級還可以通過發(fā)現(xiàn)和評估提供的數(shù)據(jù)實(shí)現(xiàn)自動化。

　　解析的執(zhí)行在許多方面可能有風(fēng)險，但是像備份系統(tǒng)和測試備份這樣的任務(wù)是可以立即自動化的。另外，不要低估自動為非關(guān)鍵OT系統(tǒng)打補(bǔ)丁所節(jié)省的時間。

　　4.定期巡查，讓手動工作更有效

　　有時，開始使用自動發(fā)現(xiàn)可能會很困難，因?yàn)榻M織不知道它對其基礎(chǔ)設(shè)施不了解的內(nèi)容。這就是為什么用手動發(fā)現(xiàn)啟動計劃是很有價值的。首先通過映射高級架構(gòu)和執(zhí)行全面的設(shè)施巡視，開始用物理方法識別需要解釋的隱藏資產(chǎn)。

　　這種早期的手工工作將使優(yōu)先級更容易確定，并決定在哪里建立遠(yuǎn)程的發(fā)現(xiàn)，首先嘗試連續(xù)的、自動的發(fā)現(xiàn)。

　　在整個漏洞管理過程中，巡查也是至關(guān)重要的，以驗(yàn)證自動化資產(chǎn)發(fā)現(xiàn)生成的結(jié)果，并填補(bǔ)環(huán)境中可能沒有必要由監(jiān)測和遙測技術(shù)覆蓋的空白?？紤]定期巡查，去查看環(huán)境，并將結(jié)果與之前記錄的結(jié)果進(jìn)行比較。理想情況下，組織應(yīng)該在其文檔或映射機(jī)制中有一個簡單的路徑來添加定期手工發(fā)現(xiàn)的結(jié)果。

　　5.過程記錄，文檔至關(guān)重要

　　出于許多原因，文檔記錄是OT漏洞管理的關(guān)鍵。首先，因?yàn)楹芏噙^程仍然是手工的，所以過程的文檔需要遵守紀(jì)律，以確保它們不是在特定的基礎(chǔ)上完成的。最終的目標(biāo)，是讓組織嘗試將文檔轉(zhuǎn)化為兼容的工作流程，以確保一切都是標(biāo)準(zhǔn)化的、可重復(fù)的和可證明的。

　　確保部分文檔包含關(guān)于工作流中的角色和職責(zé)的信息是至關(guān)重要的。

　　考慮到系統(tǒng)更新的時間框架很長，要確保職責(zé)不是指定給個人，而是指定給特定的角色或崗位。這確保了即使你的隊(duì)友六年后不在身邊，當(dāng)某個設(shè)備的維護(hù)窗口打開時，它仍然會被修補(bǔ)。

　　最后，如前所述，文檔記載了實(shí)際做了什么動作。發(fā)現(xiàn)漏洞是漏洞管理與評估的區(qū)別所在。對于OT漏洞，由于操作上的考慮，對于那些必須接受風(fēng)險的OT漏洞，漏洞處理的文檔尤為重要。

　　最終，所有這些文檔工作可以成為滿足監(jiān)管審計人員的一個重要因素，并有助于降低關(guān)注OT漏洞帶來的風(fēng)險。

　　6.優(yōu)先排序，OT漏洞優(yōu)先級是不同的

　　OT漏洞優(yōu)先級與IT中非常不同，在IT中，重點(diǎn)主要是漏洞的嚴(yán)重程度評分（CVSS），理想情況下是資產(chǎn)的業(yè)務(wù)關(guān)鍵性。運(yùn)行風(fēng)險和物理世界影響的額外維度改變了計算的方式。工業(yè)空間也超過了一個關(guān)鍵閾值。2020年，在日歷年的每個工作日都披露了工業(yè)產(chǎn)品的一個以上嚴(yán)重漏洞。

　　確定關(guān)鍵的“皇冠寶石”系統(tǒng)對做出這些優(yōu)先級決策至關(guān)重要，但請記住，這不是簡單地說“這是皇冠寶石資產(chǎn)的一個漏洞，我們必須立即修補(bǔ)它?！比绻@些資產(chǎn)受到治理活動的干擾，它們的運(yùn)營風(fēng)險通常也最高。它們也是OT環(huán)境中最可能被最安全控制緩沖的關(guān)鍵設(shè)備。所以，這個決定比這要微妙得多。

　　自動化標(biāo)準(zhǔn)和法規(guī)合規(guī)性機(jī)制，如IEC （International Electrotechnical Commission） 62443，傾向于關(guān)注普渡模型中更低層次的資產(chǎn)，但組織在為優(yōu)先級建立風(fēng)險評分時也應(yīng)該考慮其他因素。例如，資產(chǎn)所有者應(yīng)該在他們的OT網(wǎng)絡(luò)中為連接最多的系統(tǒng)提供高權(quán)重——如連接到第三方、不同的供應(yīng)商和外部世界，特別是在這些資產(chǎn)上存在通往互聯(lián)網(wǎng)的路徑時。這些系統(tǒng)通常面臨著最容易出現(xiàn)OT漏洞利用的風(fēng)險。此外，應(yīng)該優(yōu)先考慮具有單點(diǎn)故障或作為集中式系統(tǒng)存在的資產(chǎn)。這包括活動目錄、管理控制臺，甚至Windows Server Update Services （WSUS）補(bǔ)丁。SolarWinds供應(yīng)鏈攻擊事件提供了一個很好的例子，一個盒子可以將它的手指伸進(jìn)整個OT環(huán)境。

　　其他考慮因素可能包括，是否存在會使組織無法進(jìn)行補(bǔ)救的運(yùn)行風(fēng)險的緩解因素。例如，如果系統(tǒng)相對容易脫機(jī)，那么內(nèi)置冗余的系統(tǒng)可能會在優(yōu)先級列表中上升。

　　7.忽略漏洞，掌握補(bǔ)償控制技巧

　　許多OT系統(tǒng)中，由于更改這些資產(chǎn)存在操作風(fēng)險，因此無法進(jìn)行修補(bǔ)。事實(shí)上，2020年DRAGOS的統(tǒng)計數(shù)據(jù)發(fā)現(xiàn)，2020年披露的OT漏洞中，超過五分之一的供應(yīng)商在宣布時甚至沒有可用的補(bǔ)丁。

　　此外，關(guān)鍵OT資產(chǎn)通常在設(shè)計上是不安全的，因此即使應(yīng)用了補(bǔ)丁，它們?nèi)匀蝗菀子捎跒E用正常功能而失去視圖或失去控制。在這些情況下，資產(chǎn)所有者必須捫心自問，如果一個系統(tǒng)仍然容易受到設(shè)計問題的影響，他們?yōu)槭裁催€要承擔(dān)修補(bǔ)漏洞的風(fēng)險。

　　這意味著有效的OT漏洞管理程序必須掌握補(bǔ)償控制的藝術(shù)，不僅降低漏洞的風(fēng)險，而且降低必須在某些資產(chǎn)中持續(xù)存在的潛在設(shè)計缺陷的風(fēng)險。目標(biāo)應(yīng)該是通過加強(qiáng)資產(chǎn)配置、關(guān)閉不需要的功能、限制資產(chǎn)的占用空間和連接，以及更新與脆弱系統(tǒng)相關(guān)的可修補(bǔ)系統(tǒng)，盡可能減少攻擊面。

　　對于SMB v2，根據(jù)系統(tǒng)的運(yùn)行情況，正確的做法可能是關(guān)閉協(xié)議。與風(fēng)險接受一樣，像這樣的緩解應(yīng)該在徹底的漏洞配置跟蹤中仔細(xì)地記錄下來，以便更改不會意外逆轉(zhuǎn)。

　　對于“皇冠”資產(chǎn)，其思想是它們應(yīng)該使用盡可能少的功能，并與網(wǎng)絡(luò)中盡可能少的部分進(jìn)行通信，這對于流程來說是必要的。網(wǎng)絡(luò)和應(yīng)用程序防火墻在這方面是無價的，應(yīng)用程序白清單也是如此。同樣，組織應(yīng)該重新評估網(wǎng)絡(luò)分段。

　　8.協(xié)調(diào)行動，積極管理供應(yīng)商

　　在OT領(lǐng)域，大多數(shù)主要供應(yīng)商提供網(wǎng)絡(luò)解決方案和服務(wù)，通常包括補(bǔ)丁、端點(diǎn)保護(hù)和配置管理。但是組織不應(yīng)該把這些作為內(nèi)部漏洞管理程序的替代品。這些服務(wù)并沒有提供真正的漏洞管理的“設(shè)置即可忘記”保證，也沒有提供必要的文檔以提供組織范圍內(nèi)的風(fēng)險可見性。

　　組織需要積極地管理他們的供應(yīng)商關(guān)系，不僅要確認(rèn)服務(wù)正在按照商定的方式升級或緩解系統(tǒng)，而且還要記錄所有供應(yīng)商和整個現(xiàn)用資產(chǎn)的漏洞狀態(tài)。

　　在組織正在為自己的系統(tǒng)打補(bǔ)丁的情況下，它還需要注意與供應(yīng)商合作，以確保更改不會使支持協(xié)議或保證無效。通常，在對關(guān)鍵ICS系統(tǒng)進(jìn)行更改之前需要供應(yīng)商預(yù)先的批準(zhǔn)或許可。

　　9.變更管理，需要建立嚴(yán)格的流程

　　對于許多關(guān)鍵ICS資產(chǎn)，由于需要符合安全管理的要求，變更管理治理非常嚴(yán)格。例如，像PLC這樣的資產(chǎn)，總是要根據(jù)不同行業(yè)的要求，經(jīng)過過程安全管理強(qiáng)制要求的正式變更管理過程。如果資產(chǎn)涉及工業(yè)過程，則要求可能會嚴(yán)格得多。

　　然而，OT中也存在一些灰色區(qū)域，其中某些資產(chǎn)對流程沒有影響，但更改和配置狀態(tài)仍可能影響操作風(fēng)險。以歷史數(shù)據(jù)庫為例，即使它崩潰了，也不會對過程產(chǎn)生影響，但在整個OT生態(tài)系統(tǒng)中仍然至關(guān)重要。一個成熟的OT漏洞管理程序應(yīng)該注意創(chuàng)建一個變更管理流程，該流程捕獲可能在監(jiān)測系統(tǒng)下運(yùn)行的資產(chǎn)，在進(jìn)行補(bǔ)救和緩解時管理和跟蹤變更。

　　10.專人專崗，專業(yè)人員做專業(yè)的事

　　一個有效的OT漏洞管理程序需要持續(xù)關(guān)注，需要專門的資源來維護(hù)。雖然發(fā)現(xiàn)和評估過程中的許多職責(zé)可以自動化，但與資產(chǎn)所有者協(xié)調(diào)、更新系統(tǒng)、采用補(bǔ)償控制、驗(yàn)證和跟蹤進(jìn)度仍有大量必要的工作。期望一個人甚至幾個人既做修復(fù)工作、項(xiàng)目工作、工程任務(wù)，同時還做所有他們自己的漏洞管理工作，這是不切實(shí)際的，也是不合理的期望。