工業(yè)企業(yè)在OT漏洞管理的成熟度方面，明顯與 IT 漏洞管理的成熟度存在差距，滯后的原因與其說是OT系統(tǒng)先天存在缺陷或弱點(diǎn)，不如說是在 OT環(huán)境中發(fā)現(xiàn)和修復(fù)漏洞存在特別挑戰(zhàn)。當(dāng)然，在許多OT系統(tǒng)中處理的技術(shù)和漏洞類型與 IT 系統(tǒng)相同。也存在明顯的交叉，工業(yè)控制系統(tǒng) （ICS） 等許多OT資產(chǎn)依賴于與其對(duì)應(yīng)IT 系統(tǒng)類似的操作系統(tǒng)、網(wǎng)絡(luò)連接和架構(gòu)。

　　然而，ICS/OT工作環(huán)境與IT迥異，潛在的網(wǎng)絡(luò)風(fēng)險(xiǎn)及其影響也是如此。最重要的是OT獨(dú)有的附加協(xié)議，用戶與供應(yīng)商之間復(fù)雜的售后支持協(xié)議會(huì)影響系統(tǒng)修補(bǔ)方式和時(shí)間，以及通常對(duì)業(yè)務(wù)可持續(xù)性至關(guān)重要的嚴(yán)格監(jiān)管和運(yùn)營(yíng)要求。因此，建立OT漏洞管理過程是一個(gè)緩慢的、系統(tǒng)性的過程，需要人財(cái)物各方面的資源，當(dāng)然還需要一定的時(shí)間。從當(dāng)前的實(shí)踐探索來(lái)看，工業(yè)組織中沒有一成不變的漏洞管理流程或道路可以遵循，不同行業(yè)都有不同的套路。但有些問題和挑戰(zhàn)是共同的，比如優(yōu)先級(jí)排序，資產(chǎn)與漏洞的映射，手工與自動(dòng)化的協(xié)調(diào)，設(shè)備供應(yīng)商的協(xié)同，專職的人員，修復(fù)決策等等。工業(yè)網(wǎng)絡(luò)安全公司Dragos日前發(fā)布的《了解OT漏洞管理的挑戰(zhàn)和如何解決它們》的白皮書，總結(jié)了OT漏洞管理的10個(gè)關(guān)注點(diǎn)，期望為OT漏洞管理的成功提供一些有價(jià)值的方法指導(dǎo)。

　　1.稍安勿躁，讓漏洞飛一會(huì)

　　工業(yè)組織在第一次處理OT漏洞管理時(shí)最常犯的錯(cuò)誤之一是陷入恐慌，焦躁不安。往往安全事件的威脅或監(jiān)管要求的加碼，會(huì)造成突然的、強(qiáng)烈的壓力。

　　解決特定ICS漏洞或一組漏洞，從高層下達(dá)命令，實(shí)施人員在匆忙中修復(fù)缺陷，安全團(tuán)隊(duì)或許破壞系統(tǒng)，由于不正確的或不充分的測(cè)試，或沒有真正理解OT系統(tǒng)是如何運(yùn)行的。

　　正確地進(jìn)行OT漏洞管理需要安全人員和運(yùn)營(yíng)人員穩(wěn)步推進(jìn)，考慮漏洞的風(fēng)險(xiǎn)影響，以便他們能夠幫助領(lǐng)導(dǎo)者做出解決漏洞的正確決策或命令，并創(chuàng)建一個(gè)可復(fù)現(xiàn)的系統(tǒng)，真正降低業(yè)務(wù)的整體風(fēng)險(xiǎn)。

　　2.資產(chǎn)清單，全面的可見性

　　每一個(gè)重大的OT漏洞管理方案，其根本的基礎(chǔ)都是一個(gè)全面的OT資產(chǎn)清單。為了正確地實(shí)施，組織需要經(jīng)歷一個(gè)不限于可以挖掘的資產(chǎn)發(fā)現(xiàn)過程。

　　在所有這些資產(chǎn)上，還要根據(jù)一系列屬性對(duì)它們進(jìn)行分類，映射它們的連接，并跟蹤它們的配置狀態(tài)。理想情況下，組織不應(yīng)該只是計(jì)劃在某個(gè)時(shí)間點(diǎn)對(duì)資產(chǎn)進(jìn)行調(diào)查，而是努力構(gòu)建自動(dòng)化機(jī)制，以獲得對(duì)資產(chǎn)清單狀態(tài)的持續(xù)可見性。這種持續(xù)的監(jiān)測(cè)將確保一個(gè)成功的漏洞管理程序的可持續(xù)性。

　　IT資產(chǎn)的許多可見性工具和戰(zhàn)術(shù)無(wú)法直接運(yùn)用或很好地轉(zhuǎn)換到OT環(huán)境。例如，你不能把代理放在可編程邏輯控制器（PLC）上。這意味著組織可能需要采取特定于OT環(huán)境的不同方法，以實(shí)現(xiàn)對(duì)資產(chǎn)、漏洞和風(fēng)險(xiǎn)的可見性水平，這與他們的安全團(tuán)隊(duì)可能習(xí)慣于看到的跨IT資產(chǎn)組合相對(duì)應(yīng)。確保制定計(jì)劃，通過像Dragos收集管理框架這樣的結(jié)構(gòu)化方法確定數(shù)據(jù)收集需求。一個(gè)好的計(jì)劃將為一個(gè)成功的結(jié)果奠定基礎(chǔ)，這個(gè)成功的結(jié)果將創(chuàng)建一個(gè)可持續(xù)的、可擴(kuò)展的、有效的資產(chǎn)可見性計(jì)劃，持續(xù)更新清單。

　　3.考慮效率，不要擔(dān)心自動(dòng)化

　　通常而言，OT漏洞管理幾乎肯定是一個(gè)完全手工的過程。的確，你不會(huì)像在IT系統(tǒng)中那樣，用自動(dòng)補(bǔ)丁和更新來(lái)覆蓋OT系統(tǒng)。然而，盡管許多關(guān)鍵ICS系統(tǒng)的補(bǔ)救和緩解必須保持手動(dòng)，但許多方面可以實(shí)現(xiàn)自動(dòng)化。

　　許多自動(dòng)化發(fā)生在過程的前端，在漏洞管理周期的前三個(gè)階段，但最終OT在報(bào)告任務(wù)和理解環(huán)境的自動(dòng)化中是非常安全的。如前所述，資產(chǎn)發(fā)現(xiàn)是很容易實(shí)現(xiàn)的目標(biāo)。類似地，漏洞評(píng)估和跟蹤配置基線和配置轉(zhuǎn)移實(shí)例的過程為大量自動(dòng)化提供了機(jī)會(huì)。資產(chǎn)的優(yōu)先級(jí)還可以通過發(fā)現(xiàn)和評(píng)估提供的數(shù)據(jù)實(shí)現(xiàn)自動(dòng)化。

　　解析的執(zhí)行在許多方面可能有風(fēng)險(xiǎn)，但是像備份系統(tǒng)和測(cè)試備份這樣的任務(wù)是可以立即自動(dòng)化的。另外，不要低估自動(dòng)為非關(guān)鍵OT系統(tǒng)打補(bǔ)丁所節(jié)省的時(shí)間。

　　4.定期巡查，讓手動(dòng)工作更有效

　　有時(shí)，開始使用自動(dòng)發(fā)現(xiàn)可能會(huì)很困難，因?yàn)榻M織不知道它對(duì)其基礎(chǔ)設(shè)施不了解的內(nèi)容。這就是為什么用手動(dòng)發(fā)現(xiàn)啟動(dòng)計(jì)劃是很有價(jià)值的。首先通過映射高級(jí)架構(gòu)和執(zhí)行全面的設(shè)施巡視，開始用物理方法識(shí)別需要解釋的隱藏資產(chǎn)。

　　這種早期的手工工作將使優(yōu)先級(jí)更容易確定，并決定在哪里建立遠(yuǎn)程的發(fā)現(xiàn)，首先嘗試連續(xù)的、自動(dòng)的發(fā)現(xiàn)。

　　在整個(gè)漏洞管理過程中，巡查也是至關(guān)重要的，以驗(yàn)證自動(dòng)化資產(chǎn)發(fā)現(xiàn)生成的結(jié)果，并填補(bǔ)環(huán)境中可能沒有必要由監(jiān)測(cè)和遙測(cè)技術(shù)覆蓋的空白?？紤]定期巡查，去查看環(huán)境，并將結(jié)果與之前記錄的結(jié)果進(jìn)行比較。理想情況下，組織應(yīng)該在其文檔或映射機(jī)制中有一個(gè)簡(jiǎn)單的路徑來(lái)添加定期手工發(fā)現(xiàn)的結(jié)果。

　　5.過程記錄，文檔至關(guān)重要

　　出于許多原因，文檔記錄是OT漏洞管理的關(guān)鍵。首先，因?yàn)楹芏噙^程仍然是手工的，所以過程的文檔需要遵守紀(jì)律，以確保它們不是在特定的基礎(chǔ)上完成的。最終的目標(biāo)，是讓組織嘗試將文檔轉(zhuǎn)化為兼容的工作流程，以確保一切都是標(biāo)準(zhǔn)化的、可重復(fù)的和可證明的。

　　確保部分文檔包含關(guān)于工作流中的角色和職責(zé)的信息是至關(guān)重要的。

　　考慮到系統(tǒng)更新的時(shí)間框架很長(zhǎng)，要確保職責(zé)不是指定給個(gè)人，而是指定給特定的角色或崗位。這確保了即使你的隊(duì)友六年后不在身邊，當(dāng)某個(gè)設(shè)備的維護(hù)窗口打開時(shí)，它仍然會(huì)被修補(bǔ)。

　　最后，如前所述，文檔記載了實(shí)際做了什么動(dòng)作。發(fā)現(xiàn)漏洞是漏洞管理與評(píng)估的區(qū)別所在。對(duì)于OT漏洞，由于操作上的考慮，對(duì)于那些必須接受風(fēng)險(xiǎn)的OT漏洞，漏洞處理的文檔尤為重要。

　　最終，所有這些文檔工作可以成為滿足監(jiān)管審計(jì)人員的一個(gè)重要因素，并有助于降低關(guān)注OT漏洞帶來(lái)的風(fēng)險(xiǎn)。

　　6.優(yōu)先排序，OT漏洞優(yōu)先級(jí)是不同的

　　OT漏洞優(yōu)先級(jí)與IT中非常不同，在IT中，重點(diǎn)主要是漏洞的嚴(yán)重程度評(píng)分（CVSS），理想情況下是資產(chǎn)的業(yè)務(wù)關(guān)鍵性。運(yùn)行風(fēng)險(xiǎn)和物理世界影響的額外維度改變了計(jì)算的方式。工業(yè)空間也超過了一個(gè)關(guān)鍵閾值。2020年，在日歷年的每個(gè)工作日都披露了工業(yè)產(chǎn)品的一個(gè)以上嚴(yán)重漏洞。

　　確定關(guān)鍵的“皇冠寶石”系統(tǒng)對(duì)做出這些優(yōu)先級(jí)決策至關(guān)重要，但請(qǐng)記住，這不是簡(jiǎn)單地說“這是皇冠寶石資產(chǎn)的一個(gè)漏洞，我們必須立即修補(bǔ)它?！比绻@些資產(chǎn)受到治理活動(dòng)的干擾，它們的運(yùn)營(yíng)風(fēng)險(xiǎn)通常也最高。它們也是OT環(huán)境中最可能被最安全控制緩沖的關(guān)鍵設(shè)備。所以，這個(gè)決定比這要微妙得多。

　　自動(dòng)化標(biāo)準(zhǔn)和法規(guī)合規(guī)性機(jī)制，如IEC （International Electrotechnical Commission） 62443，傾向于關(guān)注普渡模型中更低層次的資產(chǎn)，但組織在為優(yōu)先級(jí)建立風(fēng)險(xiǎn)評(píng)分時(shí)也應(yīng)該考慮其他因素。例如，資產(chǎn)所有者應(yīng)該在他們的OT網(wǎng)絡(luò)中為連接最多的系統(tǒng)提供高權(quán)重——如連接到第三方、不同的供應(yīng)商和外部世界，特別是在這些資產(chǎn)上存在通往互聯(lián)網(wǎng)的路徑時(shí)。這些系統(tǒng)通常面臨著最容易出現(xiàn)OT漏洞利用的風(fēng)險(xiǎn)。此外，應(yīng)該優(yōu)先考慮具有單點(diǎn)故障或作為集中式系統(tǒng)存在的資產(chǎn)。這包括活動(dòng)目錄、管理控制臺(tái)，甚至Windows Server Update Services （WSUS）補(bǔ)丁。SolarWinds供應(yīng)鏈攻擊事件提供了一個(gè)很好的例子，一個(gè)盒子可以將它的手指伸進(jìn)整個(gè)OT環(huán)境。

　　其他考慮因素可能包括，是否存在會(huì)使組織無(wú)法進(jìn)行補(bǔ)救的運(yùn)行風(fēng)險(xiǎn)的緩解因素。例如，如果系統(tǒng)相對(duì)容易脫機(jī)，那么內(nèi)置冗余的系統(tǒng)可能會(huì)在優(yōu)先級(jí)列表中上升。

　　7.忽略漏洞，掌握補(bǔ)償控制技巧

　　許多OT系統(tǒng)中，由于更改這些資產(chǎn)存在操作風(fēng)險(xiǎn)，因此無(wú)法進(jìn)行修補(bǔ)。事實(shí)上，2020年DRAGOS的統(tǒng)計(jì)數(shù)據(jù)發(fā)現(xiàn)，2020年披露的OT漏洞中，超過五分之一的供應(yīng)商在宣布時(shí)甚至沒有可用的補(bǔ)丁。

　　此外，關(guān)鍵OT資產(chǎn)通常在設(shè)計(jì)上是不安全的，因此即使應(yīng)用了補(bǔ)丁，它們?nèi)匀蝗菀子捎跒E用正常功能而失去視圖或失去控制。在這些情況下，資產(chǎn)所有者必須捫心自問，如果一個(gè)系統(tǒng)仍然容易受到設(shè)計(jì)問題的影響，他們?yōu)槭裁催€要承擔(dān)修補(bǔ)漏洞的風(fēng)險(xiǎn)。

　　這意味著有效的OT漏洞管理程序必須掌握補(bǔ)償控制的藝術(shù)，不僅降低漏洞的風(fēng)險(xiǎn)，而且降低必須在某些資產(chǎn)中持續(xù)存在的潛在設(shè)計(jì)缺陷的風(fēng)險(xiǎn)。目標(biāo)應(yīng)該是通過加強(qiáng)資產(chǎn)配置、關(guān)閉不需要的功能、限制資產(chǎn)的占用空間和連接，以及更新與脆弱系統(tǒng)相關(guān)的可修補(bǔ)系統(tǒng)，盡可能減少攻擊面。

　　對(duì)于SMB v2，根據(jù)系統(tǒng)的運(yùn)行情況，正確的做法可能是關(guān)閉協(xié)議。與風(fēng)險(xiǎn)接受一樣，像這樣的緩解應(yīng)該在徹底的漏洞配置跟蹤中仔細(xì)地記錄下來(lái)，以便更改不會(huì)意外逆轉(zhuǎn)。

　　對(duì)于“皇冠”資產(chǎn)，其思想是它們應(yīng)該使用盡可能少的功能，并與網(wǎng)絡(luò)中盡可能少的部分進(jìn)行通信，這對(duì)于流程來(lái)說是必要的。網(wǎng)絡(luò)和應(yīng)用程序防火墻在這方面是無(wú)價(jià)的，應(yīng)用程序白清單也是如此。同樣，組織應(yīng)該重新評(píng)估網(wǎng)絡(luò)分段。

　　8.協(xié)調(diào)行動(dòng)，積極管理供應(yīng)商

　　在OT領(lǐng)域，大多數(shù)主要供應(yīng)商提供網(wǎng)絡(luò)解決方案和服務(wù)，通常包括補(bǔ)丁、端點(diǎn)保護(hù)和配置管理。但是組織不應(yīng)該把這些作為內(nèi)部漏洞管理程序的替代品。這些服務(wù)并沒有提供真正的漏洞管理的“設(shè)置即可忘記”保證，也沒有提供必要的文檔以提供組織范圍內(nèi)的風(fēng)險(xiǎn)可見性。

　　組織需要積極地管理他們的供應(yīng)商關(guān)系，不僅要確認(rèn)服務(wù)正在按照商定的方式升級(jí)或緩解系統(tǒng)，而且還要記錄所有供應(yīng)商和整個(gè)現(xiàn)用資產(chǎn)的漏洞狀態(tài)。

　　在組織正在為自己的系統(tǒng)打補(bǔ)丁的情況下，它還需要注意與供應(yīng)商合作，以確保更改不會(huì)使支持協(xié)議或保證無(wú)效。通常，在對(duì)關(guān)鍵ICS系統(tǒng)進(jìn)行更改之前需要供應(yīng)商預(yù)先的批準(zhǔn)或許可。

　　9.變更管理，需要建立嚴(yán)格的流程

　　對(duì)于許多關(guān)鍵ICS資產(chǎn)，由于需要符合安全管理的要求，變更管理治理非常嚴(yán)格。例如，像PLC這樣的資產(chǎn)，總是要根據(jù)不同行業(yè)的要求，經(jīng)過過程安全管理強(qiáng)制要求的正式變更管理過程。如果資產(chǎn)涉及工業(yè)過程，則要求可能會(huì)嚴(yán)格得多。

　　然而，OT中也存在一些灰色區(qū)域，其中某些資產(chǎn)對(duì)流程沒有影響，但更改和配置狀態(tài)仍可能影響操作風(fēng)險(xiǎn)。以歷史數(shù)據(jù)庫(kù)為例，即使它崩潰了，也不會(huì)對(duì)過程產(chǎn)生影響，但在整個(gè)OT生態(tài)系統(tǒng)中仍然至關(guān)重要。一個(gè)成熟的OT漏洞管理程序應(yīng)該注意創(chuàng)建一個(gè)變更管理流程，該流程捕獲可能在監(jiān)測(cè)系統(tǒng)下運(yùn)行的資產(chǎn)，在進(jìn)行補(bǔ)救和緩解時(shí)管理和跟蹤變更。

　　10.專人專崗，專業(yè)人員做專業(yè)的事

　　一個(gè)有效的OT漏洞管理程序需要持續(xù)關(guān)注，需要專門的資源來(lái)維護(hù)。雖然發(fā)現(xiàn)和評(píng)估過程中的許多職責(zé)可以自動(dòng)化，但與資產(chǎn)所有者協(xié)調(diào)、更新系統(tǒng)、采用補(bǔ)償控制、驗(yàn)證和跟蹤進(jìn)度仍有大量必要的工作。期望一個(gè)人甚至幾個(gè)人既做修復(fù)工作、項(xiàng)目工作、工程任務(wù)，同時(shí)還做所有他們自己的漏洞管理工作，這是不切實(shí)際的，也是不合理的期望。