w tym artykule napisanym przez dostawcę rozwiązania do monitorowania bezpieczeństwa głównym argumentem (często powtarzanym w innych publikacjach i różnych targach) było to, że łatanie systemów OT jest trudne. Autor twierdzi, że ponieważ jest to trudne, powinniśmy zwrócić się do innych metod poprawy bezpieczeństwa. Jego teoria polega na włączeniu technologii ostrzegania, takiej jak jego i połączeniu oczekujących alarmów z zespołem reagowania na incydenty bezpieczeństwa. Innymi słowy, po prostu zaakceptowanie łatania jest trudne, poddanie się i przelanie więcej pieniędzy na naukę wcześniej (może?) i bardziej energicznie reagować.
jednak ten wniosek (łatanie jest trudne, więc nie przejmuj się) jest wadliwy z kilku powodów. Nie wspominając już o tym, że omawia również bardzo duży czynnik, który znacznie komplikuje każdą reakcję lub naprawę, które należy wziąć pod uwagę.
pierwszym powodem, dla którego jest to niebezpieczna rada, jest to, że po prostu nie można ignorować łatania. Musisz robić, co możesz, kiedy możesz, A gdy łatanie nie wchodzi w grę, przechodzisz do planu B, C i D. Nic nie robić oznacza, że wszelkie incydenty cybernetyczne, które przedostają się do Twojego środowiska, spowodują maksymalne szkody. To brzmi jak obrona m& m sprzed 20 lat. Jest to pomysł, że Twoje rozwiązanie bezpieczeństwa powinno być twarde i chrupiące na zewnątrz, ale miękkie i żujące w środku.
drugim powodem, dla którego ta rada jest błędna, jest założenie, że pracownicy ochrony OT (w przypadku reagowania na incydenty lub łatania) są łatwo znaleźć i wdrożyć! Nie jest to prawda-w rzeczywistości, jeden z incydentów bezpieczeństwa ICS, o których mowa w artykule, wskazuje, że chociaż łatka była dostępna i gotowa do instalacji, nie było dostępnych ekspertów ICS, którzy nadzorowaliby instalację łatki! Jeśli nie możemy uwolnić naszych ekspertów ds. bezpieczeństwa, aby wdrożyli znaną ochronę przed zdarzeniami w ramach proaktywnego programu zarządzania poprawkami, dlaczego uważamy, że możemy znaleźć budżet dla pełnego zespołu reagowania na incydenty po fakcie, gdy jest za późno?
wreszcie brakujący fragment tego argumentu polega na tym, że wyzwania związane z zarządzaniem łatkami OT/ICS są dodatkowo zaostrzone przez ilość i złożoność zasobów i architektury w sieci OT. Aby było jasne, kiedy pojawi się nowa łatka lub luka w zabezpieczeniach, zdolność większości organizacji do zrozumienia, ile zasobów jest w zasięgu i gdzie SIĘ ZNAJDUJĄ, jest wyzwaniem. Jednak taki sam poziom wiedzy i profili zasobów będzie wymagany od każdego zespołu reagowania na incydenty, aby był skuteczny. Nawet jego rada, aby zignorować praktykę patchowania, nie pozwala uniknąć konieczności budowania solidnego, kontekstowego spisu (podstawa do patchowania!) jako fundament Twojego programu cyberbezpieczeństwa OT.
więc co powinniśmy zrobić? Przede wszystkim musimy spróbować łatać. Istnieją trzy rzeczy, które dojrzały program do zarządzania łatkami ICS musi zawierać, aby odnieść sukces:
- inwentaryzacja kontekstowa w czasie rzeczywistym
- Automatyzacja remediacji (zarówno pliki poprawek, jak i zabezpieczenia ad-hoc)
- identyfikacja i zastosowanie kontroli kompensacyjnych
inwentaryzacja kontekstowa w czasie rzeczywistym do zarządzania łatami
większość środowisk OT używa narzędzi do łatania opartych na skanowaniu, takich jak WSUS/SCCM, które są dość standardowy, ale nie zbyt wnikliwy, aby pokazać nam, jakie mamy aktywa i jak są one skonfigurowane. Naprawdę potrzebne są solidne profile zasobów wraz z ich kontekstem operacyjnym. Co mam przez to na myśli? Adres IP, model, SYSTEM OPERACYJNY itp. jest bardzo pobieżną listą tego, co może być w zasięgu najnowszego patcha. Bardziej wartościowy jest kontekst operacyjny, taki jak krytyczność aktywów dla bezpiecznych operacji, lokalizacja aktywów, właściciel aktywów itp. aby odpowiednio kontekstualizować nasze pojawiające się ryzyko, ponieważ nie wszystkie aktywa OT są sobie równe. Dlaczego więc najpierw Nie zabezpieczyć krytycznych systemów lub zidentyfikować odpowiednich systemów testowych (które odzwierciedlają krytyczne systemy polowe) i strategicznie zmniejszyć ryzyko?
podczas tworzenia tych profili zasobów musimy uwzględnić jak najwięcej informacji o zasobach poza adresem IP, adresem Mac i wersją systemu operacyjnego. Informacje takie jak zainstalowane oprogramowanie, użytkownicy/konto, porty, usługi, ustawienia rejestru, Kontrola najmniejszych uprawnień, AV, biała lista i status kopii zapasowej itp. Tego rodzaju źródła informacji znacznie zwiększają naszą zdolność do dokładnego ustalania priorytetów i strategii naszych działań w przypadku pojawienia się nowego ryzyka. Chcesz dowodu? Zapoznaj się ze zwykłym przepływem analiz oferowanym poniżej. Skąd zdobędziesz dane, aby odpowiedzieć na pytania na różnych etapach? Wiedza plemienna? Instynkt? Dlaczego nie data?
Automatyzacja działań naprawczych w przypadku łatania oprogramowania
kolejnym wyzwaniem związanym z łataniem oprogramowania jest wdrożenie i przygotowanie do wdrożenia łatek (lub kontrolek kompensacyjnych) w punktach końcowych. Jednym z najbardziej czasochłonnych zadań w zarządzaniu łatkami OT jest praca przygotowawcza. Zazwyczaj obejmuje to identyfikację systemów docelowych, konfigurację wdrażania poprawek, rozwiązywanie problemów w przypadku awarii lub skanowanie jako pierwsze, popychanie poprawki i ponowne skanowanie w celu ustalenia sukcesu.
ale co, jeśli na przykład następnym razem, gdy pojawi się takie ryzyko, jak BlueKeep, możesz wstępnie załadować pliki na systemy docelowe, aby przygotować się do kolejnych kroków? Ty i twój mniejszy, bardziej zwinny zespół ds. bezpieczeństwa OT możecie strategicznie zaplanować, które systemy przemysłowe wprowadziliście do aktualizacji w pierwszej, drugiej i trzeciej kolejności w oparciu o dowolną liczbę czynników w Twoich solidnych profilach zasobów, takich jak lokalizacja zasobów lub krytyczność.
idąc o krok dalej, wyobraź sobie, że technologia zarządzania poprawkami nie wymaga najpierw skanowania, ale raczej zmapowała już łatkę do zasobów wewnętrznych i podczas instalowania ich (zdalnie dla niskiego ryzyka lub osobiście dla wysokiego ryzyka) zadania te zweryfikowały swój sukces i odzwierciedlały ten postęp w globalnym pulpicie nawigacyjnym?
dla wszystkich aktywów wysokiego ryzyka, których nie możesz lub nie chcesz teraz łatać, możesz zamiast tego utworzyć zmianę portu, usługi lub użytkownika/konta jako kontrolę kompensacyjną ad-hoc. W przypadku luki w zabezpieczeniach, takiej jak BlueKeep, możesz wyłączyć Pulpit zdalny lub konto gościa. Takie podejście natychmiast i znacznie zmniejsza obecne ryzyko, a także pozwala na więcej czasu na przygotowanie się do ewentualnej poprawki. To sprowadza mnie do działań „wycofywania się”, co robić, gdy łatanie nie jest opcją – kompensowanie kontroli.
czym są regulatory kompensacyjne?
kompensowanie kontroli to po prostu działania i ustawienia zabezpieczeń, które możesz i powinieneś wdrożyć zamiast (a raczej również) łatania. Zazwyczaj są one wdrażane proaktywnie (jeśli to możliwe), ale mogą być wdrażane w przypadku lub jako tymczasowe środki ochrony, takie jak wyłączanie pulpitu zdalnego podczas patcha dla BlueKeep, który rozwijam w studium przypadku na końcu tego bloga.
Zidentyfikuj i zastosuj kontrolki kompensacyjne w OT security
kontrolki kompensacyjne przybierają różne formy, począwszy od białej listy aplikacji i aktualizacji oprogramowania antywirusowego. Ale w tym przypadku, chcę skupić się na ICS endpoint management jako kluczowym komponencie wspierającym OT patch management.
sterowanie kompensacyjne może i powinno być stosowane zarówno proaktywnie, jak i sytuacyjnie. Nie byłoby zaskoczeniem dla nikogo w OT cyber security odkryć nieaktywne konta administratora i niepotrzebne lub nieużywane oprogramowanie zainstalowane na punktach końcowych. Nie jest również tajemnicą, że zasady utwardzania systemu najlepszych praktyk nie są tak uniwersalne, jak byśmy chcieli.
aby naprawdę chronić nasze systemy OT, musimy również utwardzić nasz cenny dobytek. Solidny profil zasobów w czasie rzeczywistym pozwala organizacjom przemysłowym precyzyjnie i skutecznie usuwać nisko wiszące owoce (tj. uśpionych użytkowników, niepotrzebne oprogramowanie i parametry utwardzania systemu), aby znacznie zmniejszyć powierzchnię ataku.
w niefortunnym przypadku mamy pojawiające się zagrożenie (jak BlueKeep) dodanie tymczasowych kontroli kompensacyjnych jest wykonalne. Szybkie studium przypadku, aby podkreślić mój punkt:
- Luka BlueKeep została zwolniona.
- zespół centralny natychmiast wyłącza Pulpit zdalny na wszystkich zasobach pól i wysyła e-maile do zespołu terenowego, które wymagają konkretnych żądań system po systemie, aby usługa pulpitu zdalnego była włączona w okresie ryzyka.
- zespół Centralny wstępnie ładuje pliki poprawek na wszystkich zasobach znajdujących się w zasięgu-nie ma żadnych działań, wystarczy się przygotować.
- zespół centralny zbiera się, aby zdecydować o najbardziej rozsądnym planie działania na podstawie krytyczności aktywów, lokalizacji, obecności lub braku kontroli kompensacyjnych (tj. krytyczne ryzyko dla aktywów o wysokim wpływie, które nie powiodło się ostatniej kopii zapasowej, trafia na górę listy. Zasób o niskim wpływie z białą listą i niedawna dobra pełna kopia zapasowa mogą prawdopodobnie poczekać).
- rozpoczyna się wprowadzanie poprawek, a postępy są aktualizowane na żywo w raportach globalnych.
- tam, gdzie jest to konieczne, technicy OT są przy konsoli, nadzorując wdrażanie łatek.
- harmonogram i komunikacja tej potrzeby są w pełni zaplanowane i priorytetowe przez dane wykorzystywane przez zespół centralny.
w ten sposób należy postępować z zarządzaniem poprawkami OT. Coraz więcej organizacji zaczyna wdrażać tego typu programy.
bądź proaktywny dzięki kontrolkom kompensacyjnym
zarządzanie poprawkami ICS jest trudne, tak, ale samo zrezygnowanie z prób nie jest dobrą odpowiedzią. Przy odrobinie przewidywania łatwo jest zapewnić trzy najpotężniejsze narzędzia do łatwiejszego i skuteczniejszego łatania i / lub kompensowania kontroli. Aplikacja Insight pokazuje, co masz, jak jest skonfigurowana i jak ważne jest dla ciebie. Kontekst pozwala ustalić priorytety (pierwsza próba łatania-druga pozwala wiedzieć, jak i gdzie zastosować kontrolki kompensacyjne). Akcja pozwala korygować, chronić, odbijać itp. Poleganie tylko na monitorowaniu oznacza przyznanie, że spodziewasz się pożaru, a kupowanie większej liczby czujników dymu może zminimalizować szkody. Jak myślisz, które podejście preferuje Twoja organizacja?