保護工控安全:為SCADA和ICS系統打補丁
本文,我們來探討一下用打補丁的方法為SCADA 和 ICS系統提供安全保障的好處、弊端及其不為人知的內幕。首先,我們假設不需要關閉進程也可以安裝補丁(比如說,為冗余控制器分階段打補丁)……
“你可能要面臨風險了,我的朋友……”圖片來源:pictureshowpundits.com
為SCADA 和 ICS安全而打補丁的影響
在一篇針對OS軟件發布后公開披露的漏洞補丁的重要研究中,Yin等指出所有補丁中有14.8%到24.4%是錯誤的并會直接危害到最終用戶。更糟糕的情況是,這些錯誤的“解決方案”中有43%會導致系統崩潰,癱瘓,資料損壞或其他安全問題。
此外,補丁并不總能依照其所設計的那樣解決對應的安全問題。如工業控制系統-計算機應急響應小組(ICS-CERT)成員Kevin Hemsley所言,在2011年ICS-CERT發現,通過打補丁來修復發布的控制系統產品漏洞出現了60%的失敗率。
即使是好的信息安全補丁也可能引起問題
大多數的補丁需要關閉或重啟正在運行的操作。有些可能也會中斷或解除掉之前依靠控制系統運行的功能。例如,Stuxnet蠕蟲病毒攻擊的其中一個漏洞是西門子 WinCC 系統SQL 數據庫的硬編碼密碼。
與此同時,西門子也因未能及時發布解除密碼的補丁而廣受指責。而那些通過自己人為修改密碼的客戶則很快就會發現,許多關鍵的控制功能都需要這個密碼才能進入。在這種情況下,所用的“解決方案”要比原來的“疾病”后果更加嚴重。
打補丁通常需要專家在場
關于打補丁還需要警惕的一點是打補丁的過程需要那些有專門技能的人在場。
舉例來說,2003年1月Slammer病毒攻擊的漏洞其實原本有一個在2002年發布的補丁(MS02-039)。不幸的是,這并沒有幫助一家在墨西哥海灣擁有大量采油平臺的公司逃過一劫。這家公司在2002年夏天開始打了補丁運行,但服務器還是重新出現了問題,需要windows專家在場打補丁。由于這些專家中只有極少人具有進入采油平臺的安全認證,因而在六個月后受到Slammer病毒攻擊時還有許多平臺尚未打補丁。
若沒有補丁會怎樣
當然,你只有在供應商提供補丁時才能使用補丁修復漏洞。但不幸的是,并非所有漏洞都有對應的補丁。在2012年1月的SCADA信息安全技術研討會(S4)上,Sean McBride表示在ICS-CERT記錄的364個公開漏洞中只有不到一半在當時有可用補丁。
有些人指責供應商無動于衷和懶惰,但其實有很多因素阻礙了補丁的及時發布。
2010年,ICS的一家重要供應商告訴我在產品的關鍵任務內部測試中已經發現了安全隱患。但不幸的是,這些漏洞是嵌入在由第三方提供的OS軟件中。現在OS提供商拒絕解決這些漏洞問題,因此ICS供應商(及其客戶)就將面臨無可用補丁的情況。
2011年的案例涉及另一家ICS供應商, 一名獨立的信息安全研究人員發現了PLC中的漏洞,并公開披露了他們。該供應商開發了補丁準備撤除這些后門),但隨即他們發現這些后門被那些為用戶提供檢修服務的團隊所廣泛使用。而讓這個問題更加棘手的是,這家公司產品變更的質量保證(QA)程序需要4個月才能完成。這意味著即使用戶愿意為信息安全而放棄檢修服務,他們仍需要接受四個月開放的空窗期等待正規的補丁測試流程結束。
當用打補丁解決SCADA和ICS系統信息安全時,“解藥”可能會比疾病本身后果更嚴重
許多SCADA/ICS使用者選擇不打補丁
我的上一個例子突出了為保障關鍵系統安全而打補丁一個重要問題。那就是許多用戶不想承擔降低服務質量和增加停機故障的風險。而上上個例子提到的供應商私底下向我反映他們發布的漏洞只有10%的下載率。
我自己關于ICS安全產品的經驗也證實了補丁在這個領域的接受程度較低。
按計劃發布的補丁是有效補丁,應對性的補丁是無效補丁,緊急發布的補丁是危險補丁
我們明確一點,對任何控制系統而言,修補漏洞都是一項重要的進程。 而且對良好的信息安全而言修補漏洞很關鍵。但是從IT應對策略角度來說,每個月或每個周不間斷地打補丁對SCADA和ICS系統來說并不可行。匆忙地打補丁更加危險。
SCADA/ICS供應商在嘗試開發“緊急”補丁時會面臨多個問題——他們需要考慮安全因素和質保(QA)要求,這通常會延遲補丁的發布。還在有些情況下,一個合理且安全的補丁也不起作用。
SCADA/ICS的用戶有類似的顧慮。而且很坦白地講,誰能因為他們不想增加系統故障或不想讓他們的關鍵控制器或服務器系統面臨安全威脅而責怪他們呢?
對合法產品的補丁支持也有問題——許多人希望一個控制產品能夠運行20年,把它運行的比典型的IT支持窗口還好。最后,正如我們在Slammer病毒攻擊例子中提到的,打補丁可能需要重要的人員幫助才能做到安全安裝。
所以開始制定一個對你的運行環境有效的補丁計劃吧。確保它包含恰當檢測和變更管理控制的流程。
不要指望補丁能夠迅速解決你的控制系統安全問題。如果你的確是這樣想的,你會發現新出現的問題將比修補的漏洞更糟糕。
其實,我一點兒也不反對打補丁的。實際上,我認為應用補丁是一個完整的安全系統的關鍵部分。據US-CERT(美國計算機應急響應小組)統計,大約95%的網絡入侵可以通過為系統更新適當的補丁來避免。而如果你從來不打補丁,你將讓你的系統完全暴露在幾十年的惡意軟件前。
我所反對的是將打補丁當成一個對安全漏洞不由自主的迅速反應 。你認為你若無法控制打補丁的過程,便無法期望控制系統可靠地運行。
引用陶氏化學的Richard Brown(市場開發部副總監——譯者注)所言:
“補丁管理就是對變動的風險管理”。
補丁是對你的系統的改變。而對系統的這些改變都需要管理。一個人不能盲目地對進程控制環境配置新的補丁而不面臨操作紊亂的風險。因此就需要精心的用政策措施和實踐經驗來平衡我們對系統的可靠性和安全性兩方面的需求。
一個成功的補丁策略可以平衡系統可靠性與安全性。
優先化你的安全補丁
在補丁管理方面有很多推薦措施,其中我個人比較看好的一個來自于愛迪生電器協會(EEI)。他們的建議是按優先次序為機器更新補丁程序。而優先次序的判斷基于兩個因素:被修補的系統的危急程度和補丁本身的危急程度。
愛迪生電器協會(EEI)的程序需要啟動兩個子系統。第一個子系統包含一個列示了所有優先化機器的詳單,并分組界定了他們打補丁的時間和方法。
有些機器屬于“及早采納型”,他們一有可用的補丁就安裝,就好像他們是測試機或是有質量保證的機器。通常而言,都是針對實驗或培訓用的計算機。“關鍵業務型”機器就是那種在及早采納型機器穩定操作一段時間后會自動打補丁(根據補丁的危急程度),并且認可那些從控制系統供應商處獲得的補丁的機器。這種機器后來升級成為“禁止接觸型”機器,這類機器使用時就需要在應用補丁之前人工干預并且/或者詳細咨詢供應商。
下圖是Astra-Zeneca(A-Z)制藥公司的一個例子,顯示了他們系統的補丁循環。
Astra-Zeneca 圖解,取自“SCADA和ICS補丁:在進退維谷之境”的演講
來源:Joakim Moby, Astra-Zeneca,2006年工業標準年會博覽會
第二個子系統是記錄了新發布的補丁及其對進程操作的重要性水平的程序。當公布一個新漏洞和/或者一個可用的補丁方案,此程序就可以追蹤記錄它的潛在影響——對公司的控制系統是好還是壞。然后該補丁就會被評估,其風險評估的結果將被用于確定補丁被采納的優先級。
例如,風險評估可以追蹤一系列問題的處理進程以判定補丁的緊迫性和需要進行測試的級別。這些問題可能包括以下關注點,如“補丁還處于研發期嗎?”或者“供應商所指定的安全級別是什么?”或者“它是否受到過供應商的測試?”
此風險評估可以確定整個的補丁實施層次。做這個評估的重要指導可以從供應商網站處獲得,如霍尼韋爾的微軟安全修補資格矩陣(需要登錄許可才能訪問),它就報告了新近發布的補丁的測試狀態。
執行補丁應對計劃
補丁實施層次是預先與應對計劃綁定在一起的。下面的表格列舉了幾種不同的應對計劃。這些計劃是依照不使用補丁的風險高低而區分的。
比如,如果一個給定的補丁所針對的漏洞風險低,那么其采納和測試循環的工作都可以暫緩。若風險高,那么該補丁就需要盡快配置。若需要比下面列示的三種更多(更少)的應對計劃,也可按需創建。
任何補丁計劃的制定都需要與所有軟件和系統供應商的密切合作。許多供應商已經有一個系統,用于優先化補丁并批準其應用程序與內部補丁管理系統綁定。如前所述,霍尼韋爾有一個補丁批準程序,用于在微軟補丁發布的5天內為他們的新版軟件批準可用補丁——且對這些重要補丁的批準通常幾小時內就可完成。
為系統打補丁的計劃一經決定,用安全的手段分置補丁就非常關鍵。直接從業務系統分置不是一個好辦法。如霍尼韋爾安全指南所述:
“直接從業務系統將微軟修補程序、補丁和病毒定義文件更新分置到過程控制網絡的節點不是最優的操作辦法,因為它與‘最小化這些網絡節點間的直接通訊’的目標相悖。”
大多數供應商建議在控制系統和IT網絡間的緩沖區(DMZ)安置一個專用的補丁管理器和反病毒服務器。這樣單一服務器便可一身多職了。
最后,有許多自動操作的工具和服務能夠幫助公司完成補丁管理的工作。通常包括清點計算機,識別相關補丁和工作區,測試補丁,以及向各級管理層報告網絡狀態信息等功能。
用這種類型的工具可以極大地提高配置關鍵補丁時的響應時間,同時減少負責過程控制和安全防護的員工的工作量。比如,一家食品加工類的大公司報道稱一旦公司配置了一個補丁管理工具,那么只一名員工就可以成功地在超過6家大公司網站管理所有的PCN補丁工作。
計劃性地打補丁是正確的,應對性地打補丁是錯誤的
別誤解我的意思,我不是說不要打補丁!恰恰相反——給漏洞打補丁對良好的安全性非常重要。然而,正如我在上一篇博客提到的,像IT策略那樣定期迅速地、應對性地、不間斷地打補丁并不適用于SCADA和ICS系統。
若要一個補丁策略成功,必須要適當的計劃,并配合以測試和改變管理控制工具。如果沒有這些程序做保障,你將使控制系統處于高風險當中。
