《信息技术与网络安全》|工业控制系统漏洞补丁应用策略研究

《信息技术与网络安全》|工业控制系统漏洞补丁应用策略研究

时间:2021-09-15 作者:安帝科技

信息技术与网络安全
周 磊,姜双林,饶志波
(北京安帝科技有限公司,北京100125)

摘要:

 工业控制系统(ICS)网络资产和企业网络资产之间存在着关键的差异,较之IT漏洞修复,ICS漏洞修复面临漏洞确认、补丁开发、有效性验证、修复决策等系列现实挑战。首先简述了当前ICS漏洞管理的基本流程以及通用漏洞评分系统(CVSS)被用作ICS漏洞修复决策时存在的局限,其次,介绍了四种ICS漏洞补丁应用的决策树方法并进行了比较,最后提出了当前ICS漏洞管理的可行方法。
关键词:工业控制系统网络安全漏洞补丁决策树
中图分类号: TP393
文献标识码: A
DOI: 10.19358/j.issn.2096-5133.2021.09.010
引用格式: 周磊,姜双林,饶志波. 工业控制系统漏洞补丁应用策略研究[J].信息技术与网络安全,2021,40(9):58-65.
Research on patching strategy of industrial control system vulnerability

Zhou Lei,Jiang Shuanglin,Rao Zhibo
(Beijing AndiSec Technology Co.,Ltd.,Beijing 100125,China)

Abstract: There are key differences between industrial control system(ICS) network assets and enterprise network assets. Compared with IT security patching, ICS security patching faces a series of significant challenges such as vulnerability identification, patch development, patch validation, and patching decision-making. In this paper,firstly, the basic process of ICS vulnerability management is introduced. Secondly, the limitations of the common vulnerability scoring system(CVSS) when it is used as the decision-making tool of ICS security patching are analyzed. Then four methods based decision tree in ICS security patching are introduced and their advantages are compared. Finally, a feasible practice to ICS vulnerability management is proposed.
Key words : industrial control system(ICS);cyber security;vulnerability;patch;decision-tree

引言

典型的工业控制系统(ICS)网络资产和企业网络资产之间存在着关键的差异[1-2],这导致漏洞修复的流程在ICS网络中与企业网中也存在明显的不同。应用安全补丁是网络安全既定计划的一部分,也是风险管理的一个重要步骤。企业的目标不是拥有完全修复补丁的网络资产,而是将风险管理到一个可接受的水平。当安全补丁是将风险降低到可接受水平的最有效率和最有效果的方法时,应该安装这些补丁。
工业控制系统的漏洞修复因其自身的特点,在实践中面临复杂性和可行性的挑战。首先ICS资产存在天然的安全缺陷。许多ICS网络资产缺少安全设计,漏洞频出,应用安全补丁通常会降低风险。其次,ICS资产处于严格隔离的网络。对于攻击者来说,ICS网络资产通常比企业网络的资产更难访问。第三,ICS的攻击可能导致极其严重的物理后果。许多ICS控制的物理过程有可能对人的生命造成损害,对环境造成破坏。第四,ICS资产的生命周期相对较长。大多数ICS网络资产和ICS本身都有静态的特点,与典型的企业网络资产和企业网络相比,很少发生变化。
然而,数字化转型的加速,网络连接泛在化、工业设备数字化、生产流程智能化、大容量、低时延、高速率等数字时代的新兴技术特征,正在加速变革传统的漏洞管理态势。补丁应用作为ICS漏洞管理过程的关键环节,相比传统IT漏洞的修复面临更大的困难和更严峻的考验。
本文的主要贡献是总结了当前CVSS评估系统在工业场景下的不足,梳理了当前围绕ICS漏洞补丁应用研究的四种主要决策方法,最后结合工作实践,提出了实践中可行的ICS漏洞管理方法。

文章详情请前往:http://www.chinaaet.com/article/3000137486