發布日期:2022-04-17 點擊率:82
今天的工業企業,都會定期為過程控制系統安裝補丁來移除安全隱患,而持續不斷的更新會帶來很多風險。安裝軟件之后可能會引起軟件回歸之類的重要問題,同時,如果補丁未被應用,也可能會導致系統受損。
是否安裝補丁取決于安裝防御性補丁的風險和不安裝防御性補丁而受到入侵的風險兩者之間的權衡,而這兩者又是根本上相對立的。給關鍵的系統安裝補丁可能會使其“受損”——但是放任補丁不管又可能產生安全漏洞。
除了安全風險上的權衡,還涉及到更加務實的關于資源利用上的權衡。到底是自動安裝補丁還是手動安裝補丁,這兩種方式所消耗的資源不盡相同,必須根據所需安裝補丁的頻率從長計議其效用和成本。
虛擬補丁是一種創新的技術,工業企業可以一邊改進安裝補丁的過程,一邊提升系統的安全性。例如漏洞過濾器之類的組件能夠確保未安裝補丁的系統的安全性,更好地按照生產需求安排安裝補丁的過程。
當下的安全風險
在生產制造企業的工廠和其他工業設施中,開放式的控制系統體系結構和標準協議對于企業來說可為喜憂參半。一方面,從孤立的專用應用程序向開放式技術的過渡擴展了過程和商業信息的可用性。另一方面,開放式技術將生產制造企業暴露于各種安全隱患之下,隨著生產制造資產與企業資源規劃系統的整合,這種風險將更加巨大。
漏洞過濾器的作用就像一個虛擬補丁,確保未安裝補丁的系統的安全性,更好地按照生產需求安排安裝補丁的過程。
開放式體系結構給企業帶來的漏洞越來越多,加上惡意軟件攻擊的數量也越來越多,使得在全球范圍內網絡安全問題都是生產制造企業考量的重點之一。意外的或者惡意的攻擊會給員工的健康和安全、生產和企業聲譽等等帶來巨大的風險。
為了最小化工廠自動化和信息系統的風險,安裝具有多個防護層級的深度防御策略是十分重要的。這樣的防護層級包括對服務器和工作站進行補強。
在過程控制網絡中安裝補丁是一個十分耗時的過程,雖然補丁能夠恢復控制系統設備,使其能夠抵御惡意軟件的攻擊,但是它也會在補丁安裝的過程中提高失效的風險,安裝一個軟件補丁通常要求:
■ 與過程操作人員協調以確定適當的時間段安裝補丁;
■ 切實安裝補丁;
■ 交換主服務器和備用服務器的功能,使補丁能夠裝在備用服務器上;
■ 重啟設備激活修改過的軟件。
總的來說,上述要求會導致對服務器或者工作站安裝一個補丁的平均時間在1個小時到2個小時之間。由于補丁通常是按月發布,而且不同供應商發布補丁的周期也不同,所以就導致這個安裝補丁的過程成本高昂。如果等待每個部件的補丁都到位再同時安裝,就會導致漏洞已經公布但是系統尚未安裝補丁的窘境,所以程序入侵的風險反而會上升——大部分是感染網絡蠕蟲。
虛擬補丁技術
虛擬補丁技術,與傳統補丁不同,無需觸及應用本身、庫文件或者操作系統就能夠對系統進行保護。而且,安裝虛擬補丁技術比安裝實際的軟件補丁更加迅速。在漏洞公開的幾天之后,虛擬補丁就能夠發揮作用,而應用程序開發商可能需要數周或者數月進行軟件的修改和測試。
使用虛擬補丁技術之后,考慮到微軟按月發布的安全補丁,負責維護的部門就可以降低DCS的修改頻率,同時仍舊實現對網絡攻擊進行防護。
此過程的設計原理是在控制網絡周圍架設一個屏蔽層,檢查已知漏洞的活動,對所謂的“零日攻擊”實現良好的防護,而這種“零日攻擊”在殺毒軟件的保護機制中是未作定義的。漏洞過濾器并非以這種模式直接發揮效用,而是能夠濾除針對特定漏洞的入侵,而對于其他特征則不敏感。
在大多數情況下,工業網絡通訊的流量是可以預測的。流量上的變化可能預示著入侵。
下一篇: PLC、DCS、FCS三大控
上一篇: 索爾維全系列Solef?PV
