典型的工业控制系统(ICS)网络资产和企业网络资产之间存在着关键的差异,这导致在ICS中与在企业网中何时修复、修复哪个补丁存在典型的不同。应用安全补丁是网络安全既定计划的一部分,也是风险管理的一个重要步骤。企业的目标不是拥有完全修复补丁的网络资产,而是将风险管理到一个可接受的水平。当安全补丁是将风险降低到可接受水平的最有效率和最有效果的方法时,应该安装这些补丁。
工业控制系统的漏洞修复却因其自身的特点,而变得比较复杂和困难。首先ICS资产存在天然的安全缺陷。许多ICS网络资产的设计是不安全的。资产的特性和功能均在文档中说明,这为攻击者提供了他们类似在企业网络资产上的所需的所有信息。不需要漏洞就可以实施攻击并造成影响,因此应用安全补丁通常会降低风险。其次,ICS资产处于严格隔离的网络。ICS是用于监视和控制物理过程的特殊应用程序。它不使用或允许接收电子邮件、浏览网站或使用各种各样的应用程序。对于攻击者来说,ICS网络资产通常比企业上的网络资产更难访问。第三,ICS的攻击可能导致极其严重的物理影响。许多ICS控制的物理过程有可能对人类生命造成伤害或损失。安全控制已经到位,以便将人员安全的风险降低到可接受的水平。对ICS的网络攻击可能会危及安全控制,因此它们将无法正常执行。第四,ICS资产的生命周期相对较长。大多数ICS网络资产和ICS本身都有静态的特点,与典型的企业网络资产和企业网络相比,很少发生变化。
然后,数字化转型的加速,网络连接泛在化、工业设备数字化、生产流程智能化、大容量、低时延、高速率等等数字时代的新兴技术特征,正在变革传统的漏洞管理态势。
在信息系统漏洞成为战略资源的当下,对漏洞的全生命周期管理,也成为化解信息系统网络安全风险的重要手段。目前以国际标准化组织、各国网络安全主管部门、各大研究机构大学和大型网络安全企业,均出台了相应漏洞管理的标准和指南。如ISO的《ISO/IEC 30111:2019信息技术-安全技术-漏洞处理流程》标准;美国NIST的《NIST SP 800-40第2版 创建补丁和漏洞管理程序》;英国国家网络安全中心《NCSC漏洞管理指南》;中国的《GB/T 30276-2020 信息安全技术网络安全漏洞管理规范》标准;卡耐基梅隆大学《漏洞管理-V1.1》;Gartner发布的开发和实施漏洞管理的指导框架等等。这些标准规范对漏洞披露到漏洞修复补丁后的活动以及相关利益方给予了指导,具有积极的意义。但对于工业控制系统而言,这些漏洞管理的过程似乎并不适用。美国国土安全部下属CISA发布的漏洞管理流程,更加适合工业控制系统的漏洞管理。该流程分为四个阶段,漏洞修复是其重要一环。
1.漏洞挖掘阶段: 恶意的黑客(坏小子)、漏洞赏金猎人(私营机构的研究者)、官方的研究者(DHS研究人员)和设备厂商自己的研究人员,分别进行的漏洞找寻活动;
2.漏洞初始披露阶段: 各种形式的披露(赏金计划者、会议演讲、邮件列表、产品安全响应团队、安全事件响应组织、CISA等官方机构),CVE编号组织分配编号等;
3.分析和协调阶段: 分配漏洞编号后,归类验证、正式披露或发布、严重性评估(CVSS评分)等;
4.修复阶段: 补丁或更新的发布、定位受影响系统、检测是否有在野利用、其它缓解措施公布等。
即使这个规范,对ICS漏洞的修复也不具有可操作性的指导。
工业行业依靠数十年的先进技术,同时也非常关注安全性、生产率、可靠性和财务可行性。CVSS是否能作为修复ICS漏洞的指南呢?如何才能使其在OT主导的领域中用于网络安全?目前尚不存在用于漏洞评分的更强大的标准指标的情况下,看看同时管理IT和OT系统时CVSS评分系统的优缺点。
CVSS明确的好处是其定义漏洞词汇、术语和评分。而评分是为数不多且全球通用折实践之一。一方面,应该庆幸的是,在讨论漏洞时,可以据此在基本层面上以同一种语言进行交谈,而不论其区域如何。常见的最佳实践状态是组织和合格的专业人员应就任何已报告的漏洞评分的严重性和适用性提供指导。另一方面,CVSS提供需要缓解的现有风险的指标。无论是否有可能对任何提到的漏洞(CVE)进行补救,其存在都表明了不应忽略、固定/修补,通过补偿性控制减轻风险,以及至少在注册服务商中进行管理/记录的风险。
局限性1:CVSS强调的是漏洞的技术严重性。人们似乎想知道的是,漏洞或漏洞给他们带来的风险,即漏洞被利后产生的影响,或他们应对漏洞的速度。一般而言,严重性仅应作为漏洞响应优先级的一部分。人们可能还会考虑利用漏洞的可能性,或者是否可以公开利用漏洞。漏洞利用代码成熟度向量(以时间度量)试图解决漏洞利用的可能性,但默认值假设漏洞利用广泛,这是不现实的。如果是这样,那么要么CVSS需要更改,要么社区需要一个新系统。
局限性2:CVSS分数不考虑漏洞的存在时间,也不考虑漏洞在漏洞利用链中的使用,包括环境因素。CVSS分数由三个度量标准组组成:基本,时间和环境。大多数已发布的CVSS分数仅报告基本指标,该指标描述了随时间变化的漏洞特征。时间组包括漏洞利用代码的成熟度和独立于特定环境的可用补救措施。只能使用对易受攻击的系统所在的环境的了解来评估环境指标。为发现的漏洞创建CVSS的研究人员通常不考虑环境得分或将其标记为“零”,因为他(她)对每个单独的环境都不熟悉。为了考虑环境评分,每个受影响组织中的安全分析师都需要评估其环境并修正评分。
局限性3:CVSS的三个度量标准组没有考虑基于资产业务价值构成的风险,也从未考虑过。CVSS是严重等级,不是风险评分。环境分数可以通过考虑本地缓解因素和配置详细信息来修改基本分数。如果利用了此漏洞,它还可以调整对资产的机密性,完整性和可用性(CIA)的影响。但是,它仍然是衡量严重性的标准,并且没有考虑暴露资产对组织的价值,这是关键的风险因素。
局限性4:尽管CVSS发挥了作用,但它不应成为确定漏洞修复优先级的唯一因素。需要更客观衡量标准的两个因素是漏洞利用的潜力和资产的关键性。使用CVSS对漏洞的响应进行优先级排序时,可能会看到这样的结果,CVSS得分为10的漏洞升至优先级列表的顶部,即使它们可能影响的资产只会造成很小的损失。如果它们受到损害,则会对业务产生影响。高分数也归因于漏洞,即使当时犯罪分子没有在野外利用漏洞。同时,CVSS分数为5的漏洞在优先级列表中排名较低,即使它们可以暴露高价值的资产并且正在被犯罪分子积极地用作武器。结果,首先修复了得分为10的漏洞,使犯罪分子有充裕的时间利用得分仅为5的更有害的漏洞。
修补问题过去通常由供应商及其批准此修补程序的能力来决定。如今,即使解决方案已经存在并且可以在许多关键环境中使用,从而在很大程度上解决了修补OT主机的技术难题。但是,ICS漏洞报告持续增加,如何对ICS漏洞管理活动进行分类和优先级排序?CVSS系统显然是无能为力的。
在ICS漏洞逐年增加积累,是否需要修复、何时修复、修复顺序如何确定等等问题依然困扰着ICS漏洞管理相关方。相关研究机构也进行了有益的尝试与探索,典型的方法就是基于决策树的ICS漏洞补丁修复方法。
卡耐基梅隆大学软件工程学院的乔纳森·斯普林(Jonathan Spring)、埃里克·哈特莱贝克(Eric Hatleback)等人提出了一个可测试的特定利益相关者的漏洞分类(SSVC),它避免了通用漏洞评分系统(CVSS)的某些问题。SSVC采用针对不同漏洞管理社区的决策树的形式。
应用SSVC的结果是一个优先级决策,作者将其分为四个优先级:推迟,排期/计划,带外和立即。
推迟: 开发人员-目前不使用补丁。应用者-目前不采取行动。
排期/计划: 开发人员-在定期维护的范围内开发修复程序,以正常使用开发人员资源。应用者-在定期安排的维护时间内采取行动。
带外: 开发人员-带外开发修补程序,从其他项目中夺走资源,并在准备就绪时将修补程序作为安全补丁发布。应用者-比往常更快地采取行动,以在下一个可用机会中带外应用修订,并在必要时加班。
立即: 开发人员-利用所有可用资源,尽快开发和发布修复程序。这可能包括利用或协调组织其他部门的资源。应用者-立即采取行动。将所有资源集中在尽快应用此修补程序上,并在必要时暂停组织的常规运行。
SSVC方法是根据漏洞被利用带来的风险来对漏洞进行优先级排序。修补成本(风险方程的另一面)不在该文讨论的范围之内。但修补成本至少包括三个方面。首先也是最明显的是应用补丁的交易成本。向系统管理员付费以开发或应用补丁,并且这可能还需要其他交易成本,例如更新补丁需要停机时间。其次是失败的风险成本,如果补丁引入了新的错误或漏洞,同样会造成损失。回归测试是开发人员为此费用支付的一部分。最后,应用补丁可能会产生运营成本,代表功能的不断变化或增加的开销。成本考量可能是决策者在一个优先级类别(计划的、带外的等)内安排工作的一种方式。
由于漏洞管理中有许多不同的利益相关者,因此作者力求尽可能避免采用千篇一律的解决方案。在SSVC方法中,作者为两个利益相关者角色开发决策树:补丁开发人员和补丁应用者。在CERT协调漏洞披露指南中,这些角色分别对应于供应商和部署者角色。
资深的ICS/SCADA网络安全专家、Digital Bond和S4 Events的创始人Dale Peterson对SSVC方法进行了改进。在其网站的介绍中,他透露了专门做这个ICS漏洞补丁修复项目的目标。
创建ICS-补丁项目是为了帮助ICS资产所有者决定何时修补漏洞。该项目有两个主要目标,一是根据每个安全补丁对降低风险的贡献,对ICS资产所有者的哪个资产在什么时间修补做出决策。二是实现这个决策的自动化,即不需要人工交互,则需要在设定好ICS补丁修复过程后,即可为每个可用的安全补丁提供推荐的修补决策。自动化并不意味着自动应用安全补丁,ICS资产所有者可以选择对选定的安全补丁实施进一步分析。ICS资产所有者变更控制过程应该驱动安全补丁的应用。
Dale Peterson改进的ICS补丁修复方法使用决策树来确定选择“尽快(ASAP)”、“推迟”、“计划”应用ICS网络资产上的安全补丁。决策树中的每个节点/决策点将ICS补丁过程移动到更接近补丁应用程序决策的位置。
除了ICS网络资产的一个决策点值之外,所有的决策点值都是静态的,当网络资产被放入资产库时输入,很少发生(如果有的话)更改。技术影响决策点与正在修补的漏洞有关,CVE的CVSS 评分用于将其设置为高、中或低值。这使得何时修补、修补什么的自动化问题变得更简单。
此ICS补丁决策树可以在资产库存/资产管理产品、漏洞管理应用程序或单独应用程序中运行。ICS补丁决策树将产生针对每个网络资产/安全补丁对的如下三个结果之一。
推迟:不要应用或计划在网络资产上应用安全补丁以降低风险。(资产所有者可以选择应用安全补丁作为网络维护的一部分,以保持系统的支持。)
排期(计划):安全补丁应在下一个预定的补丁窗口期应用于网络资产。对于一些ICS,这可能是每年或半年发生的计划中断。对于其他类型资产,可以选择季度或每月修补。
尽快(ASAP):以安全的方式尽快在网络资产上应用安全补丁。
Dale Peterson的改进方法中的决策结果成了三类,而SSVC有四类。他将带外和立即的SSVC类别合并为尽快(ASAP)。相应地,关于暴露、漏洞利用、任务影响、盗用、功能安全影响、安全态势改变等决策因素也作了简化。
工业控制系统的漏洞管理,绝不是一个简单的过程,或者一个标准、规范或指南可以解决的。核心的本质问题,成本,无论是时间成本、空间成本、经济成本、声誉成本,都需要一个权衡过程。这也是上述漏洞修复方法回避的一个问题。无论是SSVC方法,还是改进的SSVC,均是提供一个可行的基线来改进和完善一个漏洞优先排序的方法。虽然这里的方法应该是功能性的,但作者并不声明它们已经可以使用了。未来仍需关注于进一步的需求收集、决策过程可靠性的进一步测试,以及扩展到补丁应用程序和补丁开发人员之外的其他类型的受众。
即使作为一项工作建议,SSVC方法也有一些局限性。这些是该方法固有的限制,应该被理解为权衡。
参考资料
1.Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization. Allen Householder,2019.15.05
2.What To Patch When In ICS? A Decision Tree Approach Version 0.5,Dale Peterson,13 Sept 2020
![工业控制系统漏洞之补丁修复策略探讨]( "工业控制系统漏洞之补丁修复策略探讨")
本文始发于微信公众号(关键基础设施安全应急响应中心):工业控制系统漏洞之补丁修复策略探讨
评论