圖片來源：Verve Industrial

　　作者 | John Livingston

　　隨著對運營技術(OT)環境威脅的增加，制造企業需要積極管理其端點系統以盡可能減少網絡安全風險。

　　對運營技術(OT)環境威脅的增加，促使美國國家安全局(NSA)和網絡與基礎設施安全局(CISA)發出警告：一些網絡黑客傾向于利用互聯網可訪問的OT資產，對關鍵基礎設施進行惡意網絡活動。

　　盡管已經有一系列類似的警報，而且圍繞著各種攻擊的命名爭論不休，但建議仍然保持不變：通過核心安全基礎來管理OT系統。這些建議都是圍繞CISA的ICS最佳實踐展開，發揮的重要作用基本相同，主要包括以下內容：

　　■ 維護ICS資產所有硬件和軟件的庫存;

　　■ 使用基于風險的評估方法來更新軟件，以確定哪些資產應參與補丁管理計劃;

　　■ 在HMI和工作站上實施允許/白名單;

　　■ 使用外圍控制將ICS/監控和數據采集(SCADA)系統與公司網絡和互聯網網絡隔離;

　　■ 禁用設備上未使用的端口和服務;

　　■ 為遠程訪問實施多因素身份驗證;

　　■ 定期更改所有密碼并監控密碼狀態;

　　■ 維護已知的良好備份;

　　■ 使用強大的防病毒和其它終端檢測功能保護系統;

　　■ 實施日志收集和保存;

　　■ 利用OT監控解決方案提醒惡意行為。

　　這些都和我們所討論的“OT系統管理”相關。該術語包含了OT安全的基本要素——從資產庫存到漏洞、補丁和配置等的端點管理，再到受管理的網絡分段以及受控訪問，最后是監控和恢復。

　　雖然這些警報對提高安全意識絕對有價值，但如果不仔細閱讀并理解所提出的建議，它們可能會造成混亂。我們經常會收到有關最新的警報電話，因為某些企業正在追查最近在 其ICS 系統中發現的特定威脅或惡意軟件。

　　然而，關鍵是組織應將發布的這些信息仔細閱讀，包括最后緩解措施或具體操作的章節。這一部分才是真正重要的。

　　如果每個OT系統都超過了這些基本要求那將極好的，但事實是，大多數企業仍在致力于實施這些核心要素。例如，許多制造企業不積極管理其OT終端。在很多時候，他們沒有這些端點的準確清單。如果有庫存，則通常缺乏對這些設備的主動管理：補丁、強化配置、更新密碼和更新固件等。

　　有時某些原始設備制造商(OEM)會在某些基礎上為特定的OEM應用集的應用操作系統(OS)和應用程序提供補丁。但是在打過補丁之后，如果查看Verve端點管理平臺的輸出，會發現這些補丁程序留下了許多關鍵漏洞，要么是因為這些補丁不包括該設備上的其它應用程序軟件，要么是補丁解決了OS的關鍵漏洞，但未經批準。

　　我們發現在2019年至2020年間，ICS-CERT咨詢中和OT系統漏洞有關的咨詢增加了47%。在2021年的ICS咨詢報告中，ICS漏洞的數量又增加了59%，但大多數企業仍然缺乏一個全面的、與供應商無關的補丁管理程序。

　　OT系統管理包括開發和制定針對ICS的補丁管理工作。補丁程序管理面臨的主要挑戰包括：

　　■ 跟蹤與特定設備相關的補丁;

　　■ 了解補丁程序是否獲得供應商的批準，以及供應商不再支持的生命周期末期軟件或系統;

　　■ 在持續運營的過程環境中打補丁，需要重新啟動所帶來的挑戰;

　　■ 如果未進行適當測試，有些補丁可能會中斷運營，給運營帶來風險;

　　■ 需要更新固件的設備可能會對系統的其它部分產生連鎖影響，需要從整體考慮系統升級等;

　　■ 缺乏管理過程的人員/資源。

　　毫不奇怪，企業在軟件補丁方面總是落后一步，并花費寶貴的時間手動跟蹤和管理補丁程序。補丁只是整個OT系統管理工作的一部分。

　　OT系統管理需要實現安全的 “操作化”，對于ICS運營人員來說，實現安全的“操作化”會幫助其了解如何執行。控制工程師和生產人員每天都在改善工廠的運營。他們有指標、目標、具體的質量改進計劃、六個西格瑪或其它精益原則、平衡計分卡等。

　　如果不將網絡安全視為僅適用于擁有先進網絡專業知識的人，并付諸實施運營化，將其轉化為一系列每天都能改進的基本任務，那么就可以開始應用精益和其它原則來提高績效。

　　但如果讓標題和新的威脅名稱分散對警報基本事項的注意力，我們可能會失去整個任務的線索。這些警報不應被視為“新消息”，而是提醒人們注意執行基本的OT安全實踐。如果這樣做，我們將同時解決新舊安全風險。