典型的工业控制系统 (ICS) 网络资产和企业网络资产之间存在重大差异,这导致 ICS 与企业网络中修复时间和修复哪些补丁方面存在典型差异。 应用安全补丁是计划的网络安全计划的一部分,也是风险管理的重要步骤。 目标不是完全修补网络资产,而是将风险管理到可接受的水平。 当安全补丁是将风险降低到可接受的水平的最有效方法时,应安装安全补丁。
工业控制系统的漏洞修复因其自身的特点而变得更加复杂和困难。 首先,ICS资产存在天然的安全缺陷。 许多 ICS 网络资产在设计上都是不安全的。 记录资产的属性和功能,为攻击者提供访问企业网络资产所需的所有信息。 实施攻击和产生影响并不需要存在漏洞,因此应用安全补丁通常可以降低风险。 其次,ICS资产处于严格隔离的网络中。 ICS 是用于监视和控制物理过程的特殊应用程序。 它不使用或不允许接收电子邮件、浏览网站或使用各种应用程序。 对于攻击者来说,ICS 网络资产通常比企业上的网络资产更难访问。 第三,ICS的攻击可能会造成极其严重的物理影响。 ICS 控制的许多物理过程有可能对人类生命造成伤害或损失。 安全控制措施到位,可将人员安全风险降低至可接受的水平。 对 ICS 的网络攻击可能会损害安全控制,导致其无法正常运行。 第四,ICS资产的生命周期较长。 大多数 ICS 网络资产和 ICS 本身本质上是静态的,与典型的企业网络资产和企业网络相比很少发生变化。
那么,数字化转型的加速,无处不在的网络连接、工业设备数字化、生产流程智能化、大容量、低延迟、高速度等数字时代的新兴技术特征正在改变传统的漏洞管理状况。
一
ICS漏洞管理简流程
如今信息系统漏洞已成为战略资源,漏洞全生命周期管理也成为化解信息系统网络安全风险的重要手段。 目前,国际标准化组织、各国网络安全主管部门、各大研究机构、大学、大型网络安全公司等均发布了相应的漏洞管理标准和指南。 如ISO的《ISO/IEC 30111:2019信息技术-安全技术-漏洞处理流程》标准; 美国NIST的“NIST SP 800-40版本2创建补丁和漏洞管理程序”; 英国国家网络安全中心的《NCSC漏洞管理指南》; 中国《GB/T 30276-2020信息安全技术网络安全漏洞管理规范》标准; 卡内基梅隆大学的《漏洞管理-V1.1》; Gartner制定和实施漏洞管理的指导框架等。 这些标准和规范为漏洞披露后的漏洞修补活动和相关利益相关者提供了指导,具有积极意义。 但对于工业控制系统来说,这些漏洞管理流程似乎并不适用。 美国国土安全部下属的CISA发布的漏洞管理流程更适合工业控制系统的漏洞管理。 整个过程分为四个阶段,其中漏洞修复是重要的一环。
1、漏洞挖掘阶段:恶意黑客(坏小子)、漏洞赏金猎人(民间机构研究人员)、官方研究人员(国土安全部研究人员)和设备制造商自有研究人员分别进行漏洞狩猎活动;
2、初始漏洞披露阶段:各种形式的披露(赏金策划者、会议演讲、邮件列表、产品安全响应小组、安全事件响应组织、CISA等官方组织)、CVE编号机构分配编号等;
3、分析协调阶段:分配漏洞编号、分类验证、正式披露或发布、严重性评估(CVSS评分)等之后;
4. 修复阶段:发布补丁或更新、定位受影响的系统、检测是否存在漏洞、公布其他缓解措施等。
即使有了这个规范,也没有修复 ICS 漏洞的实用指南。
二
CVSS 通用漏洞评分系统的局限性
工业部门依赖数十年的先进技术,同时也高度关注安全性、生产力、可靠性和财务可行性。 CVSS可以作为修复ICS漏洞的指南吗? 如何将其用于 OT 主导领域的网络安全? 在缺乏更强大的漏洞评分标准的情况下,在管理 IT 和 OT 系统时看看 CVSS 评分系统的优缺点。
CVSS 的一个明显优势是其定义的漏洞词汇、术语和评分。 评分是少数普遍适用的做法之一。 一方面,值得庆幸的是,在讨论漏洞时,无论来自哪个地区,都可以在基本层面上使用相同的语言。 最佳实践的常见状态是组织和合格的专业人员应就任何报告的漏洞评分的严重性和适用性提供指导。 另一方面,CVSS 提供了需要缓解的现有风险的指标。 无论是否有可能修复任何提到的漏洞 (CVE),它们的存在都表明存在不应被忽视、不应修复/修补、通过补偿性控制来缓解的风险,并且至少应在注册商内部进行管理/记录。
限制1:CVSS强调漏洞的技术严重性。 人们似乎想知道的是错误或漏洞给他们带来的风险、漏洞被利用时的影响,或者他们能够多快地做出响应。 一般来说,严重性只能用作漏洞响应优先级的一部分。 人们还可以考虑利用该漏洞的可能性,或者是否可以公开利用该漏洞。 利用代码成熟度向量(按时间衡量)试图考虑漏洞利用的可能性,但默认情况下假设漏洞利用很普遍,这是不现实的。 如果是这样,那么要么 CVSS 需要改变,要么社区需要一个新系统。
限制2:CVSS评分没有考虑漏洞的存在时间,也没有考虑漏洞在漏洞利用链中的使用情况,包括环境因素。 CVSS 分数由三个指标组组成:基本、时间和环境。 大多数发布的 CVSS 分数仅报告描述漏洞特征随时间变化的基本指标。 时间组包括漏洞利用代码的成熟度和独立于特定环境的可用补救措施。 环境指标只能利用脆弱系统所在环境的知识来评估。 为发现的漏洞创建 CVSS 的研究人员通常不会考虑环境分数或将其标记为“零”,因为他或她不熟悉每个单独的环境。 为了考虑环境分数,每个受影响组织中的安全分析师需要评估其环境并修改分数。
限制3:CVSS的三个指标组没有考虑基于资产的商业价值带来的风险,也从未考虑过它们。 CVSS 是严重性级别,而不是风险评分。 环境分数可以通过考虑本地缓解因素和配置详细信息来修改基本分数。 如果此漏洞被利用,还可以修改对资产的机密性、完整性和可用性 (CIA) 的影响。 然而,它仍然是严重性的衡量标准,没有考虑暴露资产对组织的价值,而这是一个关键的风险因素。
限制 4:虽然 CVSS 发挥了作用,但它不应该是优先考虑漏洞修复的唯一因素。 需要采取更客观措施的两个因素是开发潜力和资产的重要性。 当使用 CVSS 确定对漏洞响应的优先级时,您可能会看到 CVSS 分数为 10 的漏洞上升到优先级列表顶部的结果,即使它们可能影响的资产只会造成最小的损害。 如果它们受到损害,可能会对业务产生影响。 高分也归因于漏洞,即使犯罪分子没有在野外利用它们。 与此同时,CVSS 评分为 5 的漏洞在优先级列表中排名较低,尽管它们可以暴露高价值资产并被犯罪分子积极利用。 因此,得分为 10 的漏洞首先被修补,从而为犯罪分子提供了充足的时间来利用得分仅为 5 的更有害的漏洞。
补丁问题过去由供应商及其批准补丁的能力决定。 如今,甚至解决方案已经存在,并且在许多关键环境中可用,从而在很大程度上解决了修补OT主机的技术挑战。 然而,随着 ICS 漏洞报告不断增加,您如何对 ICS 漏洞管理活动进行分类和优先级排序? CVSS系统显然是无能为力的。
三
ICS漏洞补丁修复策略探索
随着ICS漏洞逐年增加和积累,是否需要修复、何时修复、如何确定修复顺序等问题仍然困扰着ICS漏洞管理利益相关者。 相关研究机构也做出了有益的尝试和探索。 典型的方法是基于决策树的ICS漏洞补丁修复方法。
(1)SSVC法
卡内基梅隆大学软件工程学院的 Jonathan Spring、Eric Hatleback 和其他人提出了一种可测试的利益相关者特定漏洞分类 (SSVC),它避免了通用漏洞评分系统 (CVSS) 的某些问题。 SSVC 采用针对不同漏洞管理社区的决策树形式。
应用 SSVC 的结果是优先级决策,作者将其分为四个优先级:延迟、计划/计划、带外和立即。
已推迟:开发人员 - 目前未使用补丁。 涂抹器 - 目前未采取任何行动。
调度/规划:开发人员 - 在计划维护内开发修复程序,以正常使用开发人员资源。 涂抹器 - 在定期维护期间采取行动。
带外:开发人员 - 在带外开发补丁,从其他项目中获取资源,并在准备好后将修复程序作为安全补丁发布。 应用程序 - 比平常更快地在下一个可用机会时应用带外修订,并在必要时加班。
立即:开发人员 - 使用所有可用资源尽快开发和发布修复程序。 这可能包括利用或协调组织其他部门的资源。 申请人-立即采取行动。 集中所有资源尽快应用此补丁,并在必要时暂停组织的常规运营。
SSVC 方法根据漏洞利用所带来的风险对漏洞进行优先级排序。 补救成本(风险方程的另一边)超出了本文的范围。 但修复成本至少包括三个方面。 第一个也是最明显的是应用补丁的交易成本。 系统管理员需要支付开发或应用补丁的费用,这还可能产生其他交易成本,例如更新补丁所需的停机时间。 其次是失败的风险成本,如果补丁引入新的错误或漏洞,也会产生这种风险成本。 回归测试是开发人员为此支付的费用的一部分。 最后,可能存在与应用补丁相关的运营成本,这意味着功能的持续变化或开销的增加。 成本考虑可能是决策者在优先类别(计划内、带外等)内组织工作的一种方式。
由于漏洞管理中有许多不同的利益相关者,因此作者力求尽可能避免一刀切的解决方案。 在 SSVC 方法中,作者为两个利益相关者角色开发了决策树:补丁开发者和补丁应用者。 在 CERT 协调漏洞披露指南中,这些角色分别对应于供应商和部署者角色。
(2)改进的SSVC方法
Dale Peterson 是一位经验丰富的 ICS/SCADA 网络安全专家,也是 Digital Bond 和 S4 Events 的创始人,他改进了 SSVC 方法。 在他的网站介绍中修复系统漏洞软件,他透露了这个ICS漏洞补丁修复项目的目标。
ICS 补丁计划旨在帮助 ICS 资产所有者决定何时修补漏洞。 该项目有两个主要目标。 一是根据每个安全补丁对降低风险的贡献,为 ICS 资产所有者决定在何时修补哪些资产。 二是使这一决策自动化,即无需人工交互,需要在设置ICS补丁修复流程后为每个可用的安全补丁提供推荐的补丁决策。 自动化并不意味着自动应用安全补丁; ICS 资产所有者可以选择对选定的安全补丁进行进一步分析。 ICS 资产所有者变更控制流程应推动安全补丁的应用。
Dale Peterson 改进的 ICS 补丁修复方法使用决策树来确定是尽快 (ASAP)、推迟还是计划对 ICS 网络资产应用安全补丁。 决策树中的每个节点/决策点都会使 ICS 修补过程更接近修补程序应用决策。
除了 ICS 网络资产的一个决策点值之外,所有决策点值都是静态的,在网络资产放入资产库时输入,并且很少(如果有的话)发生更改。 技术影响决策点与正在修补的漏洞相关,CVE 的 CVSS 评分用于将其设置为高、中或低值。 这使得更容易自动解决何时修补以及修补什么的问题。
该 ICS 修补决策树可以在资产清单/资产管理产品、漏洞管理应用程序或独立应用程序中运行。 ICS 补丁决策树将为每个网络资产/安全补丁对生成以下三个结果之一。
推迟:不要或计划在网络资产上应用安全补丁以降低风险。 (资产所有者可以选择应用安全补丁作为网络维护的一部分,以保持系统受到支持。)
计划(计划):安全补丁应在下一个计划的补丁窗口期间应用于网络资产。 对于某些 ICS,这可能是每年或每半年发生一次的计划中断。 对于其他资产类型,您可以选择季度或每月修补。
尽快(ASAP):尽快并以安全的方式对网络资产应用安全补丁。
Dale Peterson改进方法的决策结果变成了三类,而SSVC有四类。 他将带外和直接 SSVC 类别合并到 ASAP(ASAP)中。 相应地,暴露、漏洞利用、任务影响、挪用、功能安全影响、安全态势变化等决策因素也得到了简化。
概括
工业控制系统的漏洞管理绝不是一个简单的过程,也不是一个可以通过标准、规范或指南来解决的过程。 核心本质问题,成本,无论是时间成本、空间成本、经济成本、声誉成本修复系统漏洞软件,都需要一个权衡的过程。 这也是上述漏洞修复方法所避免的问题。 无论是SSVC方法还是改进的SSVC方法,都为改进和完善漏洞优先级划分方法提供了可行的基线。 尽管这里的方法应该是有效的,但作者并没有声称它们已经可以使用。 未来的重点仍然是进一步收集需求、进一步测试决策过程的可靠性以及扩展到补丁应用程序和补丁开发人员之外的其他类型的受众。
即使作为一项工作提案,SSVC 方法也有一些局限性。 这些是这种方法固有的局限性,应该被理解为权衡。
参考
【1】优先考虑漏洞响应:针对利益相关者的漏洞分类。 艾伦·豪斯霍尔德, 2019.15.05
【2】ICS中需要打什么补丁? 决策树方法 0.5 版,Dale Peterson,2020 年 9 月 13 日
谈论安全
【安全讨论】是工业信息安全产业发展联盟设立的交流专区。 专区聚焦工业信息安全领域的技术趋势、公共政策、国家/行业/企业战略,发布前沿研究成果、热点问题分析、热点政策解读等,促进创新与发展。发展工业信息安全产业,搭建产学研用高端学术交流平台。 欢迎联盟成员单位积极投稿,相关稿件一经接受将署名出版。 投稿必须是原创作品或受版权保护的作品。 严禁抄袭,作者应对作品承担全部责任。
投稿联系方式
邮箱:nisia2017@126.com
职称:单位+职称+姓名
结尾
欢迎关注工业信息安全产业发展联盟官方微信,点击上方二维码,获取更多工业信息安全权威信息和研究成果。