常多注意力集中在更新操作技术软件上, 并将其作为制造设施良好网络安全实践的一部分固件更新同样重要
as Eric Byres技术主管adlus最近博客文章指出, IT常见固件更新实践对OT专业人员不那么简单PLC无法完全关闭补丁 当数吨日志从锯木厂赛跑时 依赖PLC安全引导PLC控制画过程也不能在汽车装配线仍在运行时停止并不像操作笔记本电脑 午夜重开 当他们需要最新的Windows更新
拜尔斯表示,“需要确保更新不会意外影响安全或生产势必延迟补丁多数OT补丁管理指南显示公司优先推补机需要时间例举AstraZeneca估计.安全补丁OT系统需要34个工作日从补丁首次发布到最关键任务OT设备补丁
拜尔斯认为,另一个可限制及时更新的考量是认证常需要SIL安全认证时 PLC控制危险过程获取认证费用昂贵,所以设备制造商往往不为每个固件版本获取认证资产所有者可能需要跳过部分补丁,表示OT设备补丁周期可持续数年对高可用性关键进程停止成本相当高,因此通常这些补丁按年或半量排列,作为正常维护周期的一部分或至少应该如此
Byres表示,他在审查微软客户PLC分发固件时震惊地看到,60%运行8个或8个以上可开发CVE的“奇型”固件版(常见漏洞和接触量)。更令人惊讶的是,本该安装的更新已经提供10多年了。
Byres指出:“OT中补丁约束比IT多并说保持OT系统更新问题比技术问题多
人民问题背后的一些原因如下:
- 求不破解别修复它
- 缺乏认识
- Procrastination.
OT固件更新的关键上下文是大幅降低网络攻击风险-随着更多产业公司成为黑客攻击目标,一个日益重要因素
Byres表示,基于研究aDolus与微软, “我们判定,如果运算符更新他们的固件最新版本,免用设备数将从4%增长到40%。换一种方式研究更新PLC最新版本的影响:资产所有者可以把八大可开发CVES的设备百分比降低到18%OT网络上仍然有很多脆弱PLCs,
对于那些仍难更新控制器固件的操作 Byres推荐加固配置设置或使用补偿控件byres仍然建议定期补丁更新, 因为,“在大多数情况下,部署和维护补偿控件比安装补丁花更多力气。”
