《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 工業(yè)控制系統(tǒng)漏洞補(bǔ)丁應(yīng)用策略研究
工業(yè)控制系統(tǒng)漏洞補(bǔ)丁應(yīng)用策略研究
信息技術(shù)與網(wǎng)絡(luò)安全
周 磊,姜雙林,饒志波
(北京安帝科技有限公司,北京100125)
摘要: 工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)資產(chǎn)之間存在著關(guān)鍵的差異,較之IT漏洞修復(fù),ICS漏洞修復(fù)面臨漏洞確認(rèn)、補(bǔ)丁開發(fā)、有效性驗(yàn)證、修復(fù)決策等系列現(xiàn)實(shí)挑戰(zhàn)。首先簡述了當(dāng)前ICS漏洞管理的基本流程以及通用漏洞評(píng)分系統(tǒng)(CVSS)被用作ICS漏洞修復(fù)決策時(shí)存在的局限,其次,介紹了四種ICS漏洞補(bǔ)丁應(yīng)用的決策樹方法并進(jìn)行了比較,最后提出了當(dāng)前ICS漏洞管理的可行方法。
中圖分類號(hào): TP393
文獻(xiàn)標(biāo)識(shí)碼: A
DOI: 10.19358/j.issn.2096-5133.2021.09.010
引用格式: 周磊,姜雙林,饒志波. 工業(yè)控制系統(tǒng)漏洞補(bǔ)丁應(yīng)用策略研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2021,40(9):58-65.
Research on patching strategy of industrial control system vulnerability
Zhou Lei,Jiang Shuanglin,Rao Zhibo
(Beijing AndiSec Technology Co.,Ltd.,Beijing 100125,China)
Abstract: There are key differences between industrial control system(ICS) network assets and enterprise network assets. Compared with IT security patching, ICS security patching faces a series of significant challenges such as vulnerability identification, patch development, patch validation, and patching decision-making. In this paper,firstly, the basic process of ICS vulnerability management is introduced. Secondly, the limitations of the common vulnerability scoring system(CVSS) when it is used as the decision-making tool of ICS security patching are analyzed. Then four methods based decision tree in ICS security patching are introduced and their advantages are compared. Finally, a feasible practice to ICS vulnerability management is proposed.
Key words : industrial control system(ICS);cyber security;vulnerability;patch;decision-tree

0 引言

典型的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)資產(chǎn)之間存在著關(guān)鍵的差異[1-2],這導(dǎo)致漏洞修復(fù)的流程在ICS網(wǎng)絡(luò)中與企業(yè)網(wǎng)中也存在明顯的不同。應(yīng)用安全補(bǔ)丁網(wǎng)絡(luò)安全既定計(jì)劃的一部分,也是風(fēng)險(xiǎn)管理的一個(gè)重要步驟。企業(yè)的目標(biāo)不是擁有完全修復(fù)補(bǔ)丁的網(wǎng)絡(luò)資產(chǎn),而是將風(fēng)險(xiǎn)管理到一個(gè)可接受的水平。當(dāng)安全補(bǔ)丁是將風(fēng)險(xiǎn)降低到可接受水平的最有效率和最有效果的方法時(shí),應(yīng)該安裝這些補(bǔ)丁。

工業(yè)控制系統(tǒng)的漏洞修復(fù)因其自身的特點(diǎn),在實(shí)踐中面臨復(fù)雜性和可行性的挑戰(zhàn)。首先ICS資產(chǎn)存在天然的安全缺陷。許多ICS網(wǎng)絡(luò)資產(chǎn)缺少安全設(shè)計(jì),漏洞頻出,應(yīng)用安全補(bǔ)丁通常會(huì)降低風(fēng)險(xiǎn)。其次,ICS資產(chǎn)處于嚴(yán)格隔離的網(wǎng)絡(luò)。對(duì)于攻擊者來說,ICS網(wǎng)絡(luò)資產(chǎn)通常比企業(yè)網(wǎng)絡(luò)的資產(chǎn)更難訪問。第三,ICS的攻擊可能導(dǎo)致極其嚴(yán)重的物理后果。許多ICS控制的物理過程有可能對(duì)人的生命造成損害,對(duì)環(huán)境造成破壞。第四,ICS資產(chǎn)的生命周期相對(duì)較長。大多數(shù)ICS網(wǎng)絡(luò)資產(chǎn)和ICS本身都有靜態(tài)的特點(diǎn),與典型的企業(yè)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)相比,很少發(fā)生變化。

然而,數(shù)字化轉(zhuǎn)型的加速,網(wǎng)絡(luò)連接泛在化、工業(yè)設(shè)備數(shù)字化、生產(chǎn)流程智能化、大容量、低時(shí)延、高速率等數(shù)字時(shí)代的新興技術(shù)特征,正在加速變革傳統(tǒng)的漏洞管理態(tài)勢。補(bǔ)丁應(yīng)用作為ICS漏洞管理過程的關(guān)鍵環(huán)節(jié),相比傳統(tǒng)IT漏洞的修復(fù)面臨更大的困難和更嚴(yán)峻的考驗(yàn)。

本文的主要貢獻(xiàn)是總結(jié)了當(dāng)前CVSS評(píng)估系統(tǒng)在工業(yè)場景下的不足,梳理了當(dāng)前圍繞ICS漏洞補(bǔ)丁應(yīng)用研究的四種主要決策方法,最后結(jié)合工作實(shí)踐,提出了實(shí)踐中可行的ICS漏洞管理方法。



本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000003767



作者信息:

周  磊,姜雙林,饒志波

(北京安帝科技有限公司,北京100125)





微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。