深圳电子展
2025.10.28-30
深圳国际会展中心(宝安)

ICS漏洞管理简要流程

工业控制系统的漏洞修复却因其自身的特点,而变得比较复杂和困难。先是ICS资产存在天然的安全缺陷。许多ICS网络资产的设计是不安全的。资产的特性和功能均在文档中说明,这为攻击者提供了他们类似在企业网络资产上的所需的所有信息。不需要漏洞就可以实施攻击并造成影响,因此应用安全补丁通常会降低风险。其次,ICS资产处于严格隔离的网络。ICS是用于监视和控制物理过程的特殊应用程序。它不使用或允许接收电子邮件、浏览网站或使用各种各样的应用程序。对于攻击者来说,ICS网络资产通常比企业上的网络资产更难访问。第三,ICS的攻击可能导致非常严重的物理影响。许多ICS控制的物理过程有可能对人类生命造成伤害或损失。安全控制已经到位,以便将人员安全的风险降低到可接受的水平。对ICS的网络攻击可能会危及安全控制,因此它们将无法正常执行。第四,ICS资产的生命周期相对较长。大多数ICS网络资产和ICS本身都有静态的特点,与典型的企业网络资产和企业网络相比,很少发生变化。

然后,数字化转型的加速,网络连接泛在化、工业设备数字化、生产流程智能化、大容量、低时延、高速率等等数字时代的新兴技术特征,正在变革传统的漏洞管理态势。

在信息系统漏洞成为战略资源的当下,对漏洞的全生命周期管理,也成为化解信息系统网络安全风险的重要手段。目前以国际标准化组织、各国网络安全主管部门、各大研究机构大学和大型网络安全企业,均出台了相应漏洞管理的标准和指南。如ISO的《ISO/IEC 30111:2019信息技术-安全技术-漏洞处理流程》标准;美国NIST的《NIST SP 800-40第2版 创建补丁和漏洞管理程序》;英国国家网络安全中心《NCSC漏洞管理指南》;中国的《GB/T 30276-2020 信息安全技术网络安全漏洞管理规范》标准;卡耐基梅隆大学《漏洞管理-V1.1》;Gartner发布的开发和实施漏洞管理的指导框架等等。这些标准规范对漏洞披露到漏洞修复补丁后的活动以及相关利益方给予了指导,具有正能量的意义。但对于工业控制系统而言,这些漏洞管理的过程似乎并不适用。美国国土安全部下属CISA发布的漏洞管理流程,更加适合工业控制系统的漏洞管理。该流程分为四个阶段,漏洞修复是其重要一环。

1.漏洞挖掘阶段: 恶意的黑客(坏小子)、漏洞赏金猎人(私营机构的研究者)、官方的研究者(DHS研究人员)和设备厂商自己的研究人员,分别进行的漏洞找寻活动;

2.漏洞初始披露阶段: 各种形式的披露(赏金计划者、会议演讲、邮件列表、产品安全响应团队、安全事件响应组织、CISA等官方机构),CVE编号组织分配编号等;

3.分析和协调阶段: 分配漏洞编号后,归类验证、正式披露或发布、严重性评估(CVSS评分)等;

4.修复阶段: 补丁或更新的发布、定位受影响系统、检测是否有在野利用、其它缓解措施公布等。

即使这个规范,对ICS漏洞的修复也不具有可操作性的指导。

来源:网络