为工业控制系统安装补丁的正确方式

正如最近媒体头条所报道的，网络安全破坏已经造成了企业的重大损失、客户信任的丧失以及对组织公信力的伤害。

仅2014一年，黑客就从金融服务公司JP摩根大通银行盗取了超过七千六百万条记录，从医疗保健提供商Anthem公司盗取了超过八千万条客户记录。

2013年和2014年两年，由于目标数据泄露，所造成的网络安全相关费用就超过一亿六千二百万美元。

尽管对于任何工业领域，由于数据泄露导致的财务费用都令人吃惊，但是在能源领域尤其严重，仅仅停机一个小时，由于无法生产所造成的损失就可能达到成百上千万美元，甚至还有可能对整个企业的生产造成巨大的损害。

网络安全风险：运营与声誉

能源公司正在加速实施全面的网络安全程序和政策。尤其是石油和天然气组织，其管理和发电工业有所不同，正面临着由工业控制系统漏洞所造成的巨大风险。

例如，据某石油和天然气公司估算，如果某个控制系统的人机界面（HMI）故障，导致系统停机两天而无法进行生产，给组织造成的损失预计高达一千两百万美元。

这个计算权衡了等待下一年安装网络安全保护措施而不是马上实施所带来的风险。考虑到没有实施安全程序所造成的运营和声誉损失，在网络安全问题上能源企业确实容不得半点延迟。

一般情况下，能源工业所用的控制设备比商业网络的设备要落后一些。在商业环境中，系统已经完成软件、硬件的升级换代，可以有效的应对目前的攻击，而这些攻击一般针对过时的系统或网络中的粗心错误。

给工业控制系统漏洞打补丁‍‍

很多大规模泄露的根本原因在于：网络上残存的、未打补丁的设备成为整个网络的漏洞。对于工业控制系统（ICS）而言，给网络打补丁不仅仅是升级iPhone的APP，或者是升级个人电脑的软件那么简单。

补丁管理是一项耗时的行动，为了能够确实起到应有的作用，必须进行完整的运行测试。通过仿真工厂环境，对补丁管理进行验证，这有助于能源企业以一种有效的方式来管理补丁，确保系统的运行并保护系统免受最新已知漏洞的拖累。

‍‍自助式补丁管理‍‍

自助式补丁管理是根据自己的时间安排，利用反病毒方案来实施整个打补丁流程。如果使用的是微软操作系统，那么他们依赖微软及防病毒软件提供商所提供的补丁，亲自进行测试、确认，并完成最后的更新。

根据工厂规模大小，该项工作有可能是一项繁重的任务。如果一个工厂，控制网络上只有5台计算机，那么在每台计算上分别手动实施更新，是可行的；在某些地区的工业设施，控制网络上可能会有多达85台计算机。如果逐个升级，不仅升级过程需要耗费大量的时间，而且会增加过程的风险。

如果人工管理补丁并确保所有的计算机系统都得到升级，那么自助式补丁管理实施者将会承担100%的风险。如果补丁意外需要系统停机，那么该公司就会由于这些非计划停机减少收入。而且，很多“自助式”方法需要USB驱动将补丁拷贝到每个计算机系统。

据雷神公司和波耐蒙研究所最近所做的一项关于安全行为的调查研究，超过半数（52%）的调查响应者在过去三个月中，曾经将别人给他的USB插入到计算机中。

在石油、天然气和发电领域内，始终存在的一个担心是：潜在的、来自内部的攻击风险。使用别人的USB设备，或者将其遗留在某个不安全的区域，可能会使内部不相关人员控制可移动设备。将被盗用的USB设备连接到控制网络，可能会将恶意软件引入到网络中，从而对系统和运营造成巨大的损害。

当用户转而依赖可信的安全服务提供商，这些服务商可以采取必要的措施，确保在整个升级服务实施的过程中，他们的供应链是安全的，这样就基本上可以消除风险，并将其责任从自助实施者转移到服务商身上。

‍‍经验证的补丁管理‍‍

当选择第三方补丁管理方案时，用户可以选择一揽子解决方案或者综合服务。供应商根据操作系统软件以及硬件，搜集工厂设施所必须的补丁，并将一揽子升级补丁分享给工厂运行人员，并由其自行实施升级。

这种选择降低了识别升级补丁所需要的工作量，将其打包并按时升级。但是，用户仍然负有责任，需要在部署实施前，测试这些补丁并消除任何潜在的负面影响。

未经测试的补丁，在工业控制环境下是不稳定的。因为没有测试，运行人员就无法预测特定系统会如何响应处于“原始”状态的补丁。在2014年，为工业控制系统发布的操作系统补丁中，每12个就有10个需要针对实际的工业环境进行修改，以避免并发问题、停机、或新的漏洞。

经验证的补丁管理，能够在虚拟的现场环境下，或者是实验室中所模拟的工厂环境下运行补丁，以便在补丁真正实施前识别出可能存在的任何不兼容问题。这样就使得运行人员，可以确定需要何种替代方案来确保运行时间，保护系统免受网络安全攻击。

图中所示为一个经验证的补丁管理系统，正在某网络资产保护测试实验室中进行测试。这个过程可以确保控制系统网络在正式实施补丁升级以后能够保持在线和安全。

虽然在供应商的培训帮助之下，进行虚拟测试，要比不测试更有效，但是在功能上仍然存在一定的局限性，因为有时虚拟环境并不能暴露出在工厂环境下的所有问题。

安全的外部实验室环境，具有实际可用于测试的硬件和软件，是确保工业控制系统每月获得经验证补丁的最佳途径。这个过程有助于确保工业控制系统的安全及最新版本，这样恶意软件和恶意攻击就不能操控系统漏洞。 失败的补丁策略‍‍

能源公司已经感受到失败的补丁管理策略所带来的负面影响。在某个能源公司，其HMI使用的是过时的操作系统，供应商不再为其提供持续的补丁升级服务。

恶意软件入侵该系统，从而影响到生产。除了产量的降低及被动停机外，公司还需要启动调查程序，确定造成停机的原因，这又会需要更多的人力，进一步降低了生产率。

为了避免此种情况的发生，企业应该利用经验证的补丁管理系统，定期对系统进行升级管理，同时还应管理过时的软件和硬件；预防式的生命周期管理能够避免费时、费力、费钱的被动停机。 　　

‍‍保护互联设备‍‍

随着更多的技术应用于工厂环境，也就更迫切的需要验证安全组态和补丁，以确保稳定可靠的控制系统网络。工业环境下互联设备的安全，不同于保护商业数据中心的安全。

此外，工业企业必须明白，信息技术（IT）和运营技术（OT）在实施强大的网络安全策略所面临的挑战以及两者之间的差异。OT安全领域应当与当前所存在的传统IT检测系统有根本的区别。

就像其它工业一样，ICS的网络安全，很有可能会逐步过渡到托管型服务实践，而不是组织内部或供应商提供的解决方案。随着工业企业越来越重视网络安全，他们必须认识到成功的补丁管理是安全以及高产企业的基石。（作者：Dana Pasquali）