周 磊，姜雙林，饒志波

(北京安帝科技有限公司，北京100125)

0 引言

典型的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)資產(chǎn)之間存在著關(guān)鍵的差異[1-2]，這導(dǎo)致漏洞修復(fù)的流程在ICS網(wǎng)絡(luò)中與企業(yè)網(wǎng)中也存在明顯的不同。應(yīng)用安全補丁是網(wǎng)絡(luò)安全既定計劃的一部分，也是風(fēng)險管理的一個重要步驟。企業(yè)的目標(biāo)不是擁有完全修復(fù)補丁的網(wǎng)絡(luò)資產(chǎn)，而是將風(fēng)險管理到一個可接受的水平。當(dāng)安全補丁是將風(fēng)險降低到可接受水平的最有效率和最有效果的方法時，應(yīng)該安裝這些補丁。

工業(yè)控制系統(tǒng)的漏洞修復(fù)因其自身的特點，在實踐中面臨復(fù)雜性和可行性的挑戰(zhàn)。首先ICS資產(chǎn)存在天然的安全缺陷。許多ICS網(wǎng)絡(luò)資產(chǎn)缺少安全設(shè)計，漏洞頻出，應(yīng)用安全補丁通常會降低風(fēng)險。其次，ICS資產(chǎn)處于嚴(yán)格隔離的網(wǎng)絡(luò)。對于攻擊者來說，ICS網(wǎng)絡(luò)資產(chǎn)通常比企業(yè)網(wǎng)絡(luò)的資產(chǎn)更難訪問。第三，ICS的攻擊可能導(dǎo)致極其嚴(yán)重的物理后果。許多ICS控制的物理過程有可能對人的生命造成損害，對環(huán)境造成破壞。第四，ICS資產(chǎn)的生命周期相對較長。大多數(shù)ICS網(wǎng)絡(luò)資產(chǎn)和ICS本身都有靜態(tài)的特點，與典型的企業(yè)網(wǎng)絡(luò)資產(chǎn)和企業(yè)網(wǎng)絡(luò)相比，很少發(fā)生變化。

然而，數(shù)字化轉(zhuǎn)型的加速，網(wǎng)絡(luò)連接泛在化、工業(yè)設(shè)備數(shù)字化、生產(chǎn)流程智能化、大容量、低時延、高速率等數(shù)字時代的新興技術(shù)特征，正在加速變革傳統(tǒng)的漏洞管理態(tài)勢。補丁應(yīng)用作為ICS漏洞管理過程的關(guān)鍵環(huán)節(jié)，相比傳統(tǒng)IT漏洞的修復(fù)面臨更大的困難和更嚴(yán)峻的考驗。

本文的主要貢獻(xiàn)是總結(jié)了當(dāng)前CVSS評估系統(tǒng)在工業(yè)場景下的不足，梳理了當(dāng)前圍繞ICS漏洞補丁應(yīng)用研究的四種主要決策方法，最后結(jié)合工作實踐，提出了實踐中可行的ICS漏洞管理方法。

1 ICS漏洞管理流程回顧

在信息系統(tǒng)漏洞成為戰(zhàn)略資源的當(dāng)下，對漏洞的全生命周期管理也成為化解信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險的重要手段。目前國際標(biāo)準(zhǔn)化組織、各國網(wǎng)絡(luò)安全主管部門、各大研究機構(gòu)和大型網(wǎng)絡(luò)安全企業(yè)，均出臺了相應(yīng)漏洞管理的標(biāo)準(zhǔn)和指南，如ISO的《ISO/IEC 30111：2019信息技術(shù)-安全技術(shù)-漏洞處理流程》[3]；美國NIST的《NIST SP 800-40第2版 創(chuàng)建補丁和漏洞管理程序》《NISTIR 8011(Volume 4)安全控制評估的自動化支持：軟件漏洞管理》[4]；英國國家網(wǎng)絡(luò)安全中心發(fā)布的 《NCSC漏洞管理指南》[5]；SANS發(fā)布的《實現(xiàn)漏洞管理過程》[6]；卡耐基梅隆大學(xué)的《漏洞管理-V1.1》[7]；美國能源部桑迪亞實驗室的《關(guān)于進(jìn)行安全漏洞評估的規(guī)范指南》[8]；美國NIST下屬國家網(wǎng)絡(luò)空間安全卓越中心的《網(wǎng)絡(luò)安全衛(wèi)生：修補企業(yè)漏洞》[9]；中國的《GB/T 30276-2020信息安全技術(shù)網(wǎng)絡(luò)安全漏洞管理規(guī)范》標(biāo)準(zhǔn)等。這些標(biāo)準(zhǔn)規(guī)范對漏洞披露到漏洞修復(fù)補丁后的活動以及相關(guān)利益方給予了指導(dǎo)，具有積極的意義。但對于工業(yè)控制系統(tǒng)而言，這些漏洞管理的過程似乎無能為力，無法突顯OT域漏洞管理的特殊性。而美國國土安全部下屬CISA發(fā)布的漏洞管理流程，更加適合工業(yè)控制系統(tǒng)的漏洞管理。該流程分為以下四個階段，漏洞修復(fù)是其重要一環(huán)。

(1)挖掘階段：惡意的黑客(壞小子)、漏洞賞金獵人(私營機構(gòu)的研究者)、官方的研究者(DHS研究人員)和設(shè)備廠商自己的研究人員分別進(jìn)行的漏洞發(fā)現(xiàn)活動；

(2)初始披露階段：各種形式的披露(涉及賞金計劃者、會議演講、郵件列表、產(chǎn)品安全響應(yīng)團隊、安全事件響應(yīng)組織、CISA等官方機構(gòu))，CVE編號組織分配編號等；

(3)分析和協(xié)調(diào)階段：分配漏洞編號后，歸類驗證、正式披露或發(fā)布、嚴(yán)重性評估(CVSS評分)等；

(4)修復(fù)階段：補丁或更新的發(fā)布、定位受影響系統(tǒng)、檢測是否有在野利用、其他緩解措施公布等。

即使這個規(guī)范，對ICS漏洞的修復(fù)也不具有可操作性的指導(dǎo)。

2 通用漏洞評分系統(tǒng)(CVSS)的局限

CVSS[10]作為IT域漏洞的嚴(yán)重性評級指南，可以指導(dǎo)企業(yè)做出修復(fù)的決策。但在OT域是否可以同樣應(yīng)用CVSS這個標(biāo)準(zhǔn)評分系統(tǒng)存在疑問，在目前尚不存在用于漏洞評分的更科學(xué)的標(biāo)準(zhǔn)指標(biāo)的情況下，需要明確管理IT和OT系統(tǒng)時CVSS評分系統(tǒng)的優(yōu)缺點。

文獻(xiàn)[11]對現(xiàn)行CVSS評分系統(tǒng)在ICS/OT域中的適用性進(jìn)行了分析。CVSS明顯的優(yōu)勢是其定義了一套漏洞的詞匯、術(shù)語和評分準(zhǔn)則，目前它是全球通用的為數(shù)不多用于實踐的標(biāo)準(zhǔn)。一方面，在討論漏洞時，可以據(jù)此以同一種語言進(jìn)行交流，而不論漏洞所屬的分類、應(yīng)用和行業(yè)等。另一方面，CVSS提供需要緩解的現(xiàn)有風(fēng)險的指標(biāo)。無論是否有可能對任何提到的漏洞(CVE)進(jìn)行補救，其存在都表明了不應(yīng)忽略修復(fù)/修補，通過補償性控制減輕風(fēng)險，以及至少進(jìn)行管理/記錄風(fēng)險。當(dāng)將其運用于OT域時，CVSS的不足或局限性也逐漸暴露出來。

2.1 CVSS強調(diào)的是漏洞的技術(shù)嚴(yán)重性

用戶關(guān)心的是脆弱性或漏洞給他們帶來的風(fēng)險，即漏洞被利用后產(chǎn)生的影響，或他們應(yīng)對漏洞的速度。恰恰工業(yè)網(wǎng)絡(luò)風(fēng)險考量的一個重要因素就是影響。一般而言，嚴(yán)重性僅應(yīng)作為漏洞響應(yīng)優(yōu)先級的一部分。人們可能還會考慮利用漏洞的可能性，或者是否可以公開利用漏洞。漏洞利用代碼成熟度向量(以時間度量)試圖解決漏洞利用的可能性，但默認(rèn)情況下總是假設(shè)漏洞利用廣泛，這是不現(xiàn)實的。

2.2 CVSS分?jǐn)?shù)不考慮漏洞利用鏈

CVSS分?jǐn)?shù)由三個度量標(biāo)準(zhǔn)組構(gòu)成：基本指標(biāo)、時間和環(huán)境。大多數(shù)已發(fā)布的CVSS分?jǐn)?shù)僅報告基本指標(biāo)，該指標(biāo)描述了隨時間變化的漏洞特征。時間組包括漏洞利用代碼的成熟度和獨立于特定環(huán)境的可用補救措施。環(huán)境指標(biāo)只能使用對易受攻擊的系統(tǒng)所在環(huán)境的了解來評估。為發(fā)現(xiàn)的漏洞創(chuàng)建CVSS的研究人員通常不考慮環(huán)境得分或?qū)⑵錁?biāo)記為“零”，因為他們對每個單獨的環(huán)境都不熟悉。為了考慮環(huán)境評分，每個受影響組織中的安全分析師都需要評估其環(huán)境并修正評分。

2.3 CVSS的度量標(biāo)準(zhǔn)組未關(guān)聯(lián)資產(chǎn)價值

CVSS考評的是漏洞的嚴(yán)重等級，不是風(fēng)險評分。環(huán)境分?jǐn)?shù)可以通過考慮本地緩解因素和配置詳細(xì)信息來修改基本分?jǐn)?shù)。如果利用了此漏洞，它還可以調(diào)整對資產(chǎn)的機密性、完整性和可用性(CIA)的影響。但是，它仍然是衡量嚴(yán)重性的標(biāo)準(zhǔn)，并且沒有考慮暴露資產(chǎn)對組織的價值，這是關(guān)鍵的風(fēng)險因素。

2.4 CVSS無法支撐漏洞修復(fù)決策

更客觀衡量標(biāo)準(zhǔn)的兩個因素是漏洞利用的潛力和資產(chǎn)的關(guān)鍵性。使用CVSS對漏洞的響應(yīng)進(jìn)行優(yōu)先級排序可能會看到這樣的結(jié)果：CVSS得分為10的漏洞升至優(yōu)先級列表的頂部，即使它們可能影響的資產(chǎn)只會造成很小的損失。如果它們受到損害，則會對業(yè)務(wù)產(chǎn)生影響。高分?jǐn)?shù)也歸因于漏洞，即使當(dāng)時犯罪分子沒有在野外利用漏洞。同時，CVSS分?jǐn)?shù)為5的漏洞在優(yōu)先級列表中排名較低，即使它們可以暴露高價值的資產(chǎn)并且正在被犯罪分子積極地用作武器。結(jié)果，首先修復(fù)了得分為10的漏洞，使犯罪分子有充裕的時間利用得分僅為5的漏洞。

修補問題過去通常由供應(yīng)商及其批準(zhǔn)此修補程序的能力來決定。如今，即使解決方案已經(jīng)存在并且可以在許多關(guān)鍵環(huán)境中使用，從而在很大程度上解決了修補OT資產(chǎn)的技術(shù)難題，但是，ICS漏洞報告持續(xù)增加，如何對ICS漏洞管理活動進(jìn)行分類和優(yōu)先級排序，CVSS系統(tǒng)顯然是無能為力的。

3 ICS漏洞補丁應(yīng)用策略的研究

ICS漏洞逐年增加積累，是否需要修復(fù)、何時修復(fù)、修復(fù)順序如何確定等問題依然困擾著ICS漏洞管理相關(guān)方。相關(guān)研究機構(gòu)也進(jìn)行了有益的嘗試與探索，典型的就是基于決策樹的ICS漏洞補丁應(yīng)用方法。

3.1 SSVC方法

文獻(xiàn)[12]提出了一個可測試的特定于利益相關(guān)者的漏洞分類方法——SSVC，它避免了通用漏洞評分系統(tǒng)(CVSS)的某些問題。SSVC采用針對不同漏洞管理社區(qū)的決策樹的形式。應(yīng)用SSVC的結(jié)果是得到一個優(yōu)先級決策，如圖1所示。文獻(xiàn)[12]將漏洞修復(fù)分為四個優(yōu)先級：推遲、排期/計劃、帶外和立即。各優(yōu)先級下開發(fā)人員和應(yīng)用者的決策如表1所示。

表1 各優(yōu)先級下開發(fā)人員和應(yīng)用者的決策

圖1 為補丁應(yīng)用者提出的漏洞優(yōu)先級決策樹[12]

SSVC方法是根據(jù)漏洞被利用帶來的風(fēng)險來對漏洞進(jìn)行優(yōu)先級排序。修補成本(風(fēng)險方程的另一面)不在該文討論的范圍之內(nèi)。但修補成本至少包括三個方面：首先也是最明顯的是應(yīng)用補丁的交易成本。向系統(tǒng)管理員付費以開發(fā)或應(yīng)用補丁，并且這可能還需要其他交易成本，例如更新補丁需要停機時間。其次是失敗的風(fēng)險成本，如果補丁引入了新的錯誤或漏洞，同樣會造成損失?；貧w測試是開發(fā)人員為此費用支付的一部分。最后應(yīng)用補丁可能會產(chǎn)生運營成本，代表功能的不斷變化或增加的開銷。成本考量可能是決策者在一個優(yōu)先級類別(計劃的、帶外的等)內(nèi)安排工作的一種方式。

由于漏洞管理中有許多不同的利益相關(guān)者，因此文獻(xiàn)[12]力求避免采用千篇一律的解決方案。在SSVC方法中，為兩個利益相關(guān)者角色開發(fā)決策樹：補丁開發(fā)人員和補丁應(yīng)用者[12]。在CERT協(xié)調(diào)漏洞披露指南中，這些角色分別對應(yīng)于供應(yīng)商和部署者角色。

3.2 改進(jìn)的SSVC方法

資深的ICS/SCADA網(wǎng)絡(luò)安全專家、Digital Bond和S4 Events的創(chuàng)始人Peterson對SSVC方法進(jìn)行了改進(jìn)[13]。其創(chuàng)建了ICS-補丁項目以幫助ICS資產(chǎn)所有者決定何時修補漏洞，該項目有兩個主要目標(biāo)：一是根據(jù)每個安全補丁對降低風(fēng)險的貢獻(xiàn)，對ICS資產(chǎn)所有者的哪個資產(chǎn)在什么時間修補做出決策；二是實現(xiàn)決策的自動化，即不需要人工交互，只需要在設(shè)定好ICS補丁修復(fù)過程后，即可為每個可用的安全補丁提供推薦的修補決策。自動化并不意味著自動應(yīng)用安全補丁，ICS資產(chǎn)所有者可以選擇對選定的安全補丁實施進(jìn)一步分析。ICS資產(chǎn)所有者變更控制過程應(yīng)該驅(qū)動安全補丁的應(yīng)用。

Peterson改進(jìn)的ICS補丁修復(fù)方法使用決策樹來選擇“盡快(ASAP)”“推遲”“計劃”應(yīng)用ICS網(wǎng)絡(luò)資產(chǎn)上的安全補丁。決策樹中的每個節(jié)點/決策點將ICS補丁過程移動到更接近補丁應(yīng)用程序決策的位置，如圖2所示。

圖2 產(chǎn)生直接影響的決策樹[13]

除了ICS網(wǎng)絡(luò)資產(chǎn)的一個決策點值之外，所有的決策點值都是靜態(tài)的，當(dāng)網(wǎng)絡(luò)資產(chǎn)被放入資產(chǎn)庫時，很少發(fā)生(如果有的話)更改。技術(shù)影響決策點與正在修補的漏洞有關(guān)，CVE的CVSS評分用于將其設(shè)置為高、中或低值。這使得何時修補、修補什么的自動化問題變得更簡單。

此ICS補丁決策樹可以在資產(chǎn)庫/資產(chǎn)管理產(chǎn)品、漏洞管理應(yīng)用程序或單獨應(yīng)用程序中執(zhí)行。ICS補丁決策樹將產(chǎn)生針對每個網(wǎng)絡(luò)資產(chǎn)/安全補丁對的如下三個結(jié)果之一：

(1)推遲：不要應(yīng)用或計劃在網(wǎng)絡(luò)資產(chǎn)上應(yīng)用安全補丁以降低風(fēng)險(資產(chǎn)所有者可以選擇應(yīng)用安全補丁作為網(wǎng)絡(luò)維護(hù)的一部分，以保持系統(tǒng)的支持)。

(2)排期(計劃)：安全補丁應(yīng)在下一個預(yù)定的補丁窗口期應(yīng)用于網(wǎng)絡(luò)資產(chǎn)。對于一些ICS，這可能是每年或每半年發(fā)生的計劃中斷。對于其他類型資產(chǎn)，可以選擇按季度或月修補。

(3)盡快(ASAP)：以安全的方式盡快在網(wǎng)絡(luò)資產(chǎn)上應(yīng)用安全補丁。

Peterson的改進(jìn)方法中的決策結(jié)果有三類，而SSVC有四類。他將帶外和立即的SSVC類別合并為盡快(ASAP)。相應(yīng)地，對暴露、漏洞利用、任務(wù)影響、盜用、功能安全影響、安全態(tài)勢改變等決策因素也作了簡化。

3.3 基于IEC 62443-4-1標(biāo)準(zhǔn)的決策樹方法

在IEC 62443-2-3中對補丁生命周期規(guī)范了11個不同的狀態(tài)[14]，不同的狀態(tài)涉及資產(chǎn)所有者、產(chǎn)品供應(yīng)商，分別是可用的、測試中、未批準(zhǔn)、未應(yīng)用、已批準(zhǔn)、已發(fā)布、內(nèi)部測試中、未獲得授權(quán)、已授權(quán)、有效的和已安裝。

漏洞的補丁開發(fā)完成后，就可以啟動交付過程了，實際上就是系統(tǒng)地評估這個軟件補丁，以確保它確實解決了所發(fā)現(xiàn)的安全缺陷。其次，保證它不會引入回歸，也不會損害任何其他系統(tǒng)屬性，例如安全性或可用性 (更新可能會導(dǎo)致嚴(yán)重的操作中斷)。新軟件與相關(guān)組件、操作系統(tǒng)的兼容性(包括操作系統(tǒng)更新包)也應(yīng)進(jìn)行評估。所有的軟件補丁評估過程都應(yīng)該被適當(dāng)?shù)赜涗浵聛??；贗EC 62443-4-1指定的軟件更新交付因素，圖3顯示了一個建議的軟件更新交付決策樹[15]。

圖3 軟件補丁評估和交付策略決策樹[15]

在實踐中，企業(yè)通常對要評估的補丁進(jìn)行分類，并在給定的時間段內(nèi)交付。首先，對發(fā)現(xiàn)的漏洞的潛在影響進(jìn)行檢查。此時眾所周知的常見漏洞評分系統(tǒng)(CVSS)可以派上用場。根據(jù)計算出的評分，確定潛在的影響。該分析已經(jīng)在評估安全問題管理階段執(zhí)行。最后，應(yīng)該考慮部署系統(tǒng)的數(shù)量。

根據(jù)文獻(xiàn)[16]的研究，在超過10萬臺工業(yè)控制設(shè)備中，50%的設(shè)備在發(fā)現(xiàn)漏洞后60天內(nèi)進(jìn)行了修補。正如文獻(xiàn)[17]的軟件補丁測試所宣稱的那樣，優(yōu)先級和時間安排經(jīng)常是沖突的。

3.4 Scadafence的決策工具

以色列工業(yè)網(wǎng)絡(luò)安全企業(yè)Scadafence[18-19]開發(fā)了一個基于決策樹的工業(yè)漏洞決策工具，將漏洞和補丁對資產(chǎn)的影響程度，通過回答相應(yīng)問題進(jìn)行評分來綜合判定。漏洞信息方面，設(shè)計了四個方面的問題：即時影響、其他影響、暴露情況、利用的可能性。每個問題對應(yīng)三個答案，得分為1～3分，得分高就意味著不打補丁的風(fēng)險高。而在補丁信息方面，設(shè)定了五個方面的問題：耗時、錯誤、穩(wěn)定性、范圍和恢復(fù)，每個問題有三個答案，分別計1～3分，得分高意味著修補的風(fēng)險高，參見圖4。

圖4 軟件補丁評估和交付策略決策樹[18]

漏洞和補丁兩項共計九個問題，分別累計評分。如漏洞項，暴露得分3，利用的可能性得分2或3，無論補丁項評分多少，都將得出現(xiàn)在修復(fù)的決策；如果漏洞項得分10，補丁項得分不超過7，則得出現(xiàn)在修復(fù)的決策；如果漏洞項得分4，而補丁項得分是7分及以上，則做出記錄漏洞，不修復(fù)的決策。

3.5 幾類決策策略/工具的比較

上述四種漏洞補丁修復(fù)決策的方法中，從決策要素、決策過程、復(fù)雜程度、決策結(jié)果以及最終的可操作性來看，都有各種的優(yōu)點和不足。SSVC方法和改進(jìn)的SSVC方法總體上看仍然屬于定性的方法，決策結(jié)果的落實仍然存在不確定性。而基于IEC 62443國際標(biāo)準(zhǔn)的決策方法和Scadafence公司的決策樹方法，總體上可歸為定量的方法，結(jié)果是有明確的實現(xiàn)時限的。表2所示為四種ICS漏洞補丁修復(fù)決策方法的比較。

表2 四種ICS漏洞補丁修復(fù)決策方法比較

4 ICS漏洞修復(fù)的思考

在當(dāng)前工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全探索和實踐中，最困難的問題就是對OT域的設(shè)備，特別是那些控制系統(tǒng)設(shè)備(普渡模型中0級和1級的設(shè)備)，不敢碰、不能動，即使明明知道存在各種老舊的、歷史遺留的漏洞、脆弱點。其實這暴露出的是IT與OT/ICS之間巨大的人員、技術(shù)、過程和文化的差異。在當(dāng)前數(shù)字化轉(zhuǎn)型的驅(qū)動下，IT與OT融合加速，IT網(wǎng)絡(luò)安全和OT網(wǎng)絡(luò)安全也呈現(xiàn)融合發(fā)展之勢。聚焦到OT域安全漏洞的修復(fù)問題上，核心問題就是ICS設(shè)備應(yīng)用補丁通常伴隨較高的成本和代價。比如應(yīng)用補丁可能會導(dǎo)致設(shè)備被“磚化”或?qū)е峦絾栴}，還有可能導(dǎo)致停機，而這正是用戶想要通過打補丁防止的。即使前述基于決策樹的方法形成了在一個確定的時間給一個確定的設(shè)備打上安全補丁的決策，但現(xiàn)實中仍然會讓應(yīng)用者舉棋不定?；跊Q策樹的方法目前還處于理論探索，有待實踐和時間的檢驗。鑒于此，在常態(tài)化的OT/ICS漏洞管理中，堅持一些業(yè)界公認(rèn)的安全實踐可能更加有效。

4.1 增強資產(chǎn)的可見性

最基本的管理，就是維護(hù)一個自動的、最新的、被動和主動的最全面的資產(chǎn)清單，即增強對OT資產(chǎn)的全面可見性?！澳銦o法保護(hù)你看不到的東西”，資產(chǎn)清單應(yīng)該不只是一份資產(chǎn)清單。一個強大的資產(chǎn)庫管理解決方案是一個成功的漏洞管理程序的關(guān)鍵，需要掌握每個資產(chǎn)的詳細(xì)概要數(shù)據(jù)(如資產(chǎn)對操作的關(guān)鍵性、資產(chǎn)所在的層、是否遠(yuǎn)程可訪問等)。關(guān)于每個資產(chǎn)的關(guān)聯(lián)信息越多，脆弱性分析和優(yōu)先級劃分就越強。

4.2 及時標(biāo)識已知漏洞

優(yōu)先考慮漏洞，了解設(shè)備對網(wǎng)絡(luò)威脅的暴露程度，設(shè)備和漏洞的關(guān)鍵程度，以及補丁的有效性。漏洞掃描在OT中比在IT中面臨更大的挑戰(zhàn)，幾乎不可行。代替漏洞掃描，利用基于代理的OT系統(tǒng)管理方法是最好的選擇。實時覆蓋資產(chǎn)及其漏洞，保護(hù)最關(guān)鍵的OT資產(chǎn)才會多一份保障。

4.3 建立漏洞與資產(chǎn)的映射

漏洞關(guān)聯(lián)到資產(chǎn)，通過將漏洞披露源與資產(chǎn)清單匹配來將漏洞映射到資產(chǎn)。避免掃描漏洞，以防止因工業(yè)設(shè)備不穩(wěn)定而停機。為了優(yōu)先修復(fù)漏洞，組織需要進(jìn)行360度的風(fēng)險評估，包括超出CVE或CVSS的綜合風(fēng)險評分。不能僅停留在識別潛在的風(fēng)險和弱點的層次，應(yīng)以最有效的方式推動最大風(fēng)險因素的緩解行動。

4.4 有效的隔離/微隔離

隔離脆弱的設(shè)備，在發(fā)現(xiàn)哪些設(shè)備易受攻擊之后，考慮將它們放在防火墻后，將它們的接口限制在網(wǎng)絡(luò)上，以減少攻擊面。有效的物理或邏輯隔離措施/微隔離措施，可阻止可能的攻擊者橫向移動或攻擊成果最大化的態(tài)勢，從而遏制攻擊行動，為防御者贏得時間。

4.5 監(jiān)測已知漏洞的利用情況

由于漏洞披露、補丁開發(fā)、測試驗證、應(yīng)用補丁等幾個關(guān)鍵階段存在較大的時間差，預(yù)測和監(jiān)測漏洞后利用也是一項重大考驗[20]。檢測漏洞利用，有些設(shè)備將暫時或永久地保持未修補的狀態(tài)，需要部署技術(shù)手段方法來監(jiān)測網(wǎng)絡(luò)漏洞的利用，同時建立規(guī)則或策略來阻斷漏洞利用的入口和通道。通過威脅情報共享、網(wǎng)絡(luò)流量監(jiān)測分析等手段，監(jiān)測相關(guān)漏洞被利用的動態(tài)，及時調(diào)整和修正防范措施。

5 結(jié)論

工業(yè)控制系統(tǒng)的漏洞管理絕不是一個簡單的過程，或者一個標(biāo)準(zhǔn)、規(guī)范或指南可以解決的。核心的本質(zhì)問題——成本，無論是時間成本、空間成本、經(jīng)濟成本、聲譽成本，都需要一個權(quán)衡過程。這也是上述漏洞修復(fù)策略無法回避的一個問題。無論是SSVC方法、改進(jìn)的SSVC方法、基于IEC62443國際標(biāo)準(zhǔn)的方法，還是Scadafence的決策工具，均是提供一個可行的基線來改進(jìn)和完善一個ICS漏洞應(yīng)用補丁的優(yōu)先排序方法。每種決策方法也都有其優(yōu)勢和局限性。當(dāng)下，充分考量具體行業(yè)甚至業(yè)務(wù)應(yīng)用的特殊性，堅持工業(yè)控制系統(tǒng)的一些最佳安全實踐，不失為務(wù)實可行之策。未來關(guān)于ICS/OT漏洞補丁應(yīng)用策略的研究，仍需關(guān)注于進(jìn)一步的需求收集、決策過程可靠性的進(jìn)一步測試，以及擴展到補丁應(yīng)用程序和補丁開發(fā)人員之外的其他類型的利益相關(guān)者。特別是要借鑒長期以來OT側(cè)系統(tǒng)工程的技術(shù)和管理實踐，來推動網(wǎng)絡(luò)安全融合態(tài)勢下ICS漏洞的管理。