基于决策树的工业控制系统漏洞补丁应用方法

工业控制系统的漏洞修复却因其自身的特点,而变得比较复杂和困难。首先ICS资产存在天然的安全缺陷。其次,ICS资产处于严格隔离的网络。第三,ICS的攻击可能导致极其严重的物理影响。

作者 | 安帝科技

引言

工业控制系统的漏洞修复却因其自身的特点,而变得比较复杂和困难。首先ICS资产存在天然的安全缺陷。其次,ICS资产处于严格隔离的网络。第三,ICS的攻击可能导致极其严重的物理影响。第四,ICS资产的生命周期相对较长。传统上工业控制系统(ICS)网络资产和企业网络资产之间存在着关键的差异,这导致在OT与IT中何时修复、修复哪个补丁存在典型的不同。应用安全补丁是网络安全既定计划的一部分,也是风险管理的一个重要步骤。企业的目标不是拥有完全修复补丁的网络资产,而是将风险管理到一个可接受的水平。当安全补丁是将风险降低到可接受水平的最有效率和最有效果的方法时,应该安装这些补丁。然后,数字化转型的加速,网络连接泛在化、工业设备数字化、生产流程智能化、大容量、低时延、高速率等等数字时代的新兴技术特征,正在变革传统的漏洞管理态势。本文摘编自自动化安全专家Dale Peterson博客。

一、ICS-补丁方法概述

Dale Peterson在CERT/CC提出的“Never - Next - Now补丁方法”和卡耐基梅隆大学软件工程学院的SSVC补丁方法的基础上,提出了它的改进型ICS-补丁方法。

ICS-补丁方法使用决策树来确定选择“尽快(ASAP)”、“推迟”、“计划”应用ICS网络资产上的安全补丁。决策树中的每个节点/决策点将ICS-补丁过程移动到更接近补丁应用程序决策的位置。Dale Peterson设定了三条评判标准:

这个方法必须大大减少应用安全补丁的负担。

什么时候应用补丁的决定应该基于应用补丁所实现的风险降低水平。

这个方法必须是自动化的,这样资产所有者就不需要花时间来评估每个补丁。关于“我是否为这个网络资产应用补丁”的答案,可以从ICS-补丁中得到尽快、计划或推迟这三个结果。

除了ICS网络资产的一个决策点值之外,所有决策点都将来自ICS资产清单,并且这些因素对于每个网络资产很少发生变化(风险暴露、功能安全影响、安全姿态影响和流程影响)。唯一的非资产库存存储字段是技术影响,这可以从许多CVSS提要中抽取出来。另外,所有的决策点值都是静态的,当网络资产被放入资产库时输入,并且很少(如果有的话)更改。技术影响决策点与正在修补的漏洞有关,CVE的CVSS 评分用于将其设置为高、中或低值。这使得何时修补、修补什么的自动化问题变得更简单。

• 美国国家漏洞数据库(NVD)或类似的漏洞库将与ICS资产清单一起使用,以确定补丁是否适用于网络资产,并确定安全补丁的技术影响决策点。

• 剩余的决策点值将从ICS资产清单中为安全补丁应用的网络资产提取。

• 决策点值被输入到决策树中,并输出推荐的安全补丁操作(推迟、计划或尽快)。

此ICS补丁决策树可以在资产库存/资产管理产品、漏洞管理应用程序或单独应用程序中运行。ICS补丁决策树将产生针对每个网络资产/安全补丁对的如下三个结果之一。这也是Dale Peterson在SSVC方法的基础上做出的优化和改进。

推迟:不要应用或计划在网络资产上应用安全补丁以降低风险。

(资产所有者可以选择应用安全补丁作为网络维护的一部分,以保持系统的支持。)

排期(计划):安全补丁应在下一个预定的补丁窗口期应用于网络资产。对于一些ICS,这可能是每年或半年发生的计划中断。对于其他类型资产,可以选择季度或每月修补。

尽快(ASAP):以安全的方式尽快在网络资产上应用安全补丁。

二、决策要点设计

决策树中的节点是决策点,它将决定安全修补决策将流向哪个分支。每个决策点代表一个因素,它将影响基于风险的决策“何时修补什么”,每个决策点有三个可能的值。将每个决策点限制在仅有三个值,可以确认在确定决策点的值时可获得的有限精度,以及在额外精度中对基于风险的决策过程的有限价值。

决策点和值定义如下。

1暴露

ICS网络资产暴露于攻击是决策树中的第一个决策点。如果攻击者很难访问网络资产,那么应用安全补丁会减少访问次数。此外,如果攻击者能够访问高度信任的区域,例如Purdue模型中的2或1级,1级的设备和协议天然设计上的不安全性将使未修补漏洞的利用价值大大降低。

小:网络资产在一个高度隔离和控制的区域。这个网络资产的区域与低信任度区域之间没有任何联系。

间接:网络资产不能直接访问低信任度区域,但该网络资产所在区域中的其他网络资产与低信任度区域可实现往来访问。

直接:网络资产可以直接访问到信任较低的区域或从信任较低的区域访问。

来源:暴露是基于网络资产,并应是资产清单中的一个领域。暴露预计很少会改变。

架构说明:架构不应允许网络资产的任何暴露:直接,即功能安全影响:直接

架构不应允许网络资产的任何暴露:直接,即过程影响:基本故障

架构应将暴露:直接中的资产数量最小化。

架构不应允许任何暴露:直接安全姿态:微小

额外考虑:网络资产暴露:直接:直接,即可以考虑正在评估的安全补丁是否会阻止从较不受信任的区域利用漏洞。换句话说,暴露:直接可以基于从不太信任的区域访问的网络资产攻击服务,而不是简单地将来自不太信任区域的任何访问归类为将网络资产置于暴露:直接用于所有安全补丁评估。这种方法的缺点是很难实现自动化。

2功能安全影响

许多由ICS控制和监控的过程也有一些网络安全组件,以防止人员生命的伤害或损失。此决策点基于ICS中的网络资产的连接或访问以及与安全相关的网络资产。

无:脆弱性/漏洞,如果被利用,不会影响被监测和控制过程的安全。

间接:脆弱性/漏洞,如果被利用,不会直接影响被监测和控制过程的安全。这种攻击需要危害其他系统,从而对过程安全产生影响。

直接:脆弱性/漏洞,如果被利用,将允许攻击者修改或禁用功能安全控制,从而使控制设施不能再执行它们的功能。

来源:功能安全影响是基于网络资产的,并应是资产清单中的一个领域。安全影响预计很少会改变。

3安全姿态改变

在评估安全补丁之前,许多ICS网络资产(如果不是大多数的话)处于高度不安全状态。这可能是由于网络资产或使用的ICS协议的设计本质上不安全造成的。也可能是由于操作系统、应用程序、库、协议栈和其他第三方软件中缺少大量的安全补丁,这是由于应用安全补丁缺乏供应商的批准。如果应用正在评估的安全补丁不会使攻击者更难实现他们的目标,那么应用安全补丁来降低风险值的作用就是最小的。这种考虑在安全态势更改决策点中得到了解决。

微小的:网络资产处于高度不安全状态,额外的漏洞不会影响利用或后利用行为的易用性。(例如:设计上不安全的PLC或大量没有安全补丁的PLC)

极少数:网络资产的维护计划和典型的安全态势使其处于一种状态,可以被具有不受限制的网络访问的中等技能的攻击者利用。

大多数:网络资产遵循良好的安全实践保持安全态势。缺失的安全补丁是入侵网络资产的最佳方法,也可能是唯一的方法。

来源:安全姿态变化将基于网络资产,并应成为资产清单中的一个领域。除非ICS安全修补程序发生更改,否则网络资产的安全姿态更改级别应保持静态。

4过程影响

过程影响决策点与网络资产在过程中的作用有关。决策点是基于对过程的影响,如果网络资产不可用或缺乏完整性。

不重要的退化:一点影响都没有。非必需功能的退化;慢性退化最终可能损害基本功能。

重要的退化:直接支持基本功能的活动退化或瘫痪,但这个过程可以继续运行一段时间。

重要故障:直接支持基本功能的活动不可用,导致流程不再正常运行。

来源:过程影响将以网络资产为基础,并应成为资产清单中的一个领域。过程影响预计很少会改变。

5技术影响

技术影响决策点是对数据需要外部来源而不是资产库的唯一决策点。选择CVSS评分是因为这是一个广泛可用的评估值,并集成到许多资产管理/漏洞管理解决方案中。

低:CVSS评分在0-3.9之间:

中:CVSS评分在4.0—6.9之间:

高:CVSS评分在7.0-10.0之间

来源:CVSS评分可以从许多要素中提取,例如NVD。

三、决策树

决策树如下图所示。每个图形表示暴露决策点值之一。这样做是为了使决策树更具可读性。整个决策树可以通过将这三个图放在一个垂直列中来查看,并在这三项的左边有一个暴露决策点。

基于决策树的工业控制系统漏洞补丁应用方法

图1 影响为“直接”的决策树

基于决策树的工业控制系统漏洞补丁应用方法

图2 影响为“间接”的决策树

基于决策树的工业控制系统漏洞补丁应用方法

图3 影响为“小”的决策树

1实现步骤

ICS资产库和检测产品部门专注于提高其产品在三个主要领域的客户需求:合规跟踪、风险度量和漏洞管理。ICS补丁方法旨在解决最后两个问题。以一种直接的方式进行漏洞管理和风险度量,在为网络资产和区域给出一个数字风险评分时,安全补丁状态非常重要。具体实现是一组简单的步骤。

准备:资产清单工具需要对每个资产的暴露、安全姿态变化、安全影响和过程影响有一个字段,这些信息需要输入。同样,这可能是一次/很少改变的条目。

第一步:利用资产清单工具的漏洞管理能力,识别ICS网络资产上缺失的补丁。注意,这些资产清单的细节可能从顶级产品/版本到完整的SBOM(售后服务电子配件目录)有所不同。

第二步:对于每个网络资产/漏洞对,从资产清单以及CVSS评分为漏洞收集网络资产的决策点值。

第三步:通过决策树运行它,并得到应用什么补丁时,得到尽快、计划或推迟的结果。

决策树可以编程到资产清单工具、单独的工具或任何其他产品。这是一小段代码。如果它在资产清单之外,就需要使用REST API或其他集成来从资产清单中提取4个决策点值。

2定制

每个资产所有者将决定在他们的系统的时间框架内,尽快、计划和推迟意味着什么。对许多人来说,计划将在下一次计划停机期间进行,推迟将在下一次系统升级时进行。对于那些有更成熟的OT安全程序和更长的补丁过程的人来说,计划可能是双月一次,推迟可能是下一次中断。

决策树本身,即使它达到相对成熟的版本,也可以由资产所有者更改。DalePeterson在决策树中做了许多变更,试图为不同的OT安全程序决策和成熟度制定方案。虽然他认为这个决策树很好,但仍然可以就为什么某些方面需要改变进行论证。该方法和标准是ICS补丁策略的最佳部分。

这与Dale从资产所有者和检测供应商那里看到的早期风险指标形成了鲜明对比。对细节的质疑导致了许多模糊的解释。也许还会看到关于如何计算度量的详细描述,因为它们已经发布和成熟。即使有详细的解释,分数也暗示了不存在的精度水平,而且在IT/OT SIEM的例子中没有可比较的数字。

四、小结

给ICS设备应用补丁通常伴随较高的成本和代价。比如应用补丁可能会导致设备被“砖化”或导致同步问题。还有会导致停机,而这正是用户想要通过打补丁防止的。即使基于决策树的方法形成了在一个确定的时间给一个确定的设备打上安全补丁的决策,但现实中仍然会让应用者举旗不定。基于决策树的方法目前还处于理论探索,有待实践的检验。鉴于此,在常态化的ICS漏洞管理中,坚持一些业界公认的安全实践可能更加有效。维护资产清单,一个自动的,最新的,被动和主动的最全面的资产清单,增强对OT资产的全面可见性。优先考虑漏洞,了解设备对网络威胁的暴露程度,设备和漏洞的关键程度,以及补丁的有效性。漏洞关联到资产,通过将漏洞披露源与资产清单匹配来漏洞映射到资产。避免扫描漏洞,以防止因工业设备不稳定而停机。隔离脆弱的设备,在发现哪些设备易受攻击之后,考虑将它们放在防火墙后,将它们的接口限制在网络上,以减少攻击面。检测漏洞利用,有些设备将暂时或永久地保持未修补的状态,需要部署方法来检测网络漏洞的利用。

参考资料

1.https://www.linkedin.com/pulse/ics-security-patching-never-next-now-dale-peterson/

2.https://www.linkedin.com/pulse/ics-patch-what-patch-when-dale-peterson

3.Prioritizing Vulnerability Response: AStakeholder-Specific Vulnerability Categorization. Allen Householder,2019.15.05

声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/586.html

发表评论

登录后才能评论
跳至工具栏