如果您不了解情况,修补将无从谈起
人们认识到建立资产库存不失为一种可行的方案,也许您已经在内部尝试了这一做法,甚至已经想到寻求一些外部帮助。但是要想面面俱到,对所有情况了如指掌绝非易事,很多公司仍然处在不断完善的过程中。
您可以通过两种方式对库存进行管理,同时为 ICS 网络安全计划的实施打下良好的基础,这两种方法都非常重要,缺一不可。
- 电子检查工具能够扫描网络并自动识别资产,从而为您的工作带来极大的便利。
- 手动识别则能够查缺补漏,但需要工作人员亲自巡视,打开面板确认并核实实际库存情况。
应确保对所有位置都同时运用这两种方法。如果您只对 10 个站点中的 9 个实施了完整方法,那么被忽略的那个站点无疑会成为漏洞所在。
制定全面的修补策略
完成库存盘点之后,您可能会列出一长串需要处理的资产。庆幸的是,并不是所有资产都具有同等重要的价值。您接下来要做的是执行风险分析,根据资产的重要性、风险暴露程度、寿命、预期风险等标准来确定需要优先修补的资产。有些资产甚至都不在网络中,风险自然无从谈起。
您需要处理两种修补程序:
- 操作系统 (OS) 修补现已成为 IT 部门的一项常规工作,例如“Microsoft 周二补丁日”的存在时间已经超过了 15 年。您必须排定工厂基层的计划内停机时间,以完成 OS 修补,从而尽可能避免运营中断。在许多情况下,可通过积极的 IT/OT 协作解决这一问题。
- 应用程序级修补是需要管理的另一项工作。有时,您可能需要管理来自不同供应商的数百个应用程序,而这些应用程序的修补程序也不尽相同。因此,您需要在供应商的网站上找到相应的修补程序,了解这些修补程序可以修补哪些漏洞,以及是否有使用的必要。
由于每个应用程序有着不同的配置,因此在应用程序层进行修补可以保证测试标准的稳妥性和一致性。在工厂基层实施之前,应首先在实验室环境中进行测试,避免可引发生产意外中断的风险。