過程控制系統(tǒng)的虛擬補(bǔ)丁

　　今天的工業(yè)企業(yè)，都會定期為過程控制系統(tǒng)安裝補(bǔ)丁來移除安全隱患，而持續(xù)不斷的更新會帶來很多風(fēng)險。安裝軟件之后可能會引起軟件回歸之類的重要問題，同時，如果補(bǔ)丁未被應(yīng)用，也可能會導(dǎo)致系統(tǒng)受損。

　　是否安裝補(bǔ)丁取決于安裝防御性補(bǔ)丁的風(fēng)險和不安裝防御性補(bǔ)丁而受到入侵的風(fēng)險兩者之間的權(quán)衡，而這兩者又是根本上相對立的。給關(guān)鍵的系統(tǒng)安裝補(bǔ)丁可能會使其“受損”——但是放任補(bǔ)丁不管又可能產(chǎn)生安全漏洞。

　　除了安全風(fēng)險上的權(quán)衡，還涉及到更加務(wù)實的關(guān)于資源利用上的權(quán)衡。到底是自動安裝補(bǔ)丁還是手動安裝補(bǔ)丁，這兩種方式所消耗的資源不盡相同，必須根據(jù)所需安裝補(bǔ)丁的頻率從長計議其效用和成本。

　　虛擬補(bǔ)丁是一種創(chuàng)新的技術(shù)，工業(yè)企業(yè)可以一邊改進(jìn)安裝補(bǔ)丁的過程，一邊提升系統(tǒng)的安全性。例如漏洞過濾器之類的組件能夠確保未安裝補(bǔ)丁的系統(tǒng)的安全性，更好地按照生產(chǎn)需求安排安裝補(bǔ)丁的過程。

　　當(dāng)下的安全風(fēng)險

　　在生產(chǎn)制造企業(yè)的工廠和其他工業(yè)設(shè)施中，開放式的控制系統(tǒng)體系結(jié)構(gòu)和標(biāo)準(zhǔn)協(xié)議對于企業(yè)來說可為喜憂參半。一方面，從孤立的專用應(yīng)用程序向開放式技術(shù)的過渡擴(kuò)展了過程和商業(yè)信息的可用性。另一方面，開放式技術(shù)將生產(chǎn)制造企業(yè)暴露于各種安全隱患之下，隨著生產(chǎn)制造資產(chǎn)與企業(yè)資源規(guī)劃系統(tǒng)的整合，這種風(fēng)險將更加巨大。

　　漏洞過濾器的作用就像一個虛擬補(bǔ)丁，確保未安裝補(bǔ)丁的系統(tǒng)的安全性，更好地按照生產(chǎn)需求安排安裝補(bǔ)丁的過程。

　　開放式體系結(jié)構(gòu)給企業(yè)帶來的漏洞越來越多，加上惡意軟件攻擊的數(shù)量也越來越多，使得在全球范圍內(nèi)網(wǎng)絡(luò)安全問題都是生產(chǎn)制造企業(yè)考量的重點之一。意外的或者惡意的攻擊會給員工的健康和安全、生產(chǎn)和企業(yè)聲譽(yù)等等帶來巨大的風(fēng)險。

　　為了最小化工廠自動化和信息系統(tǒng)的風(fēng)險，安裝具有多個防護(hù)層級的深度防御策略是十分重要的。這樣的防護(hù)層級包括對服務(wù)器和工作站進(jìn)行補(bǔ)強(qiáng)。

　　在過程控制網(wǎng)絡(luò)中安裝補(bǔ)丁是一個十分耗時的過程，雖然補(bǔ)丁能夠恢復(fù)控制系統(tǒng)設(shè)備，使其能夠抵御惡意軟件的攻擊，但是它也會在補(bǔ)丁安裝的過程中提高失效的風(fēng)險，安裝一個軟件補(bǔ)丁通常要求：

　　■ 與過程操作人員協(xié)調(diào)以確定適當(dāng)?shù)臅r間段安裝補(bǔ)丁;

　　■ 切實安裝補(bǔ)丁;

　　■ 交換主服務(wù)器和備用服務(wù)器的功能，使補(bǔ)丁能夠裝在備用服務(wù)器上;

　　■ 重啟設(shè)備激活修改過的軟件。

　　總的來說，上述要求會導(dǎo)致對服務(wù)器或者工作站安裝一個補(bǔ)丁的平均時間在1個小時到2個小時之間。由于補(bǔ)丁通常是按月發(fā)布，而且不同供應(yīng)商發(fā)布補(bǔ)丁的周期也不同，所以就導(dǎo)致這個安裝補(bǔ)丁的過程成本高昂。如果等待每個部件的補(bǔ)丁都到位再同時安裝，就會導(dǎo)致漏洞已經(jīng)公布但是系統(tǒng)尚未安裝補(bǔ)丁的窘境，所以程序入侵的風(fēng)險反而會上升——大部分是感染網(wǎng)絡(luò)蠕蟲。

　　虛擬補(bǔ)丁技術(shù)

　　虛擬補(bǔ)丁技術(shù)，與傳統(tǒng)補(bǔ)丁不同，無需觸及應(yīng)用本身、庫文件或者操作系統(tǒng)就能夠?qū)ο到y(tǒng)進(jìn)行保護(hù)。而且，安裝虛擬補(bǔ)丁技術(shù)比安裝實際的軟件補(bǔ)丁更加迅速。在漏洞公開的幾天之后，虛擬補(bǔ)丁就能夠發(fā)揮作用，而應(yīng)用程序開發(fā)商可能需要數(shù)周或者數(shù)月進(jìn)行軟件的修改和測試。

　　使用虛擬補(bǔ)丁技術(shù)之后，考慮到微軟按月發(fā)布的安全補(bǔ)丁，負(fù)責(zé)維護(hù)的部門就可以降低DCS的修改頻率，同時仍舊實現(xiàn)對網(wǎng)絡(luò)攻擊進(jìn)行防護(hù)。

　　此過程的設(shè)計原理是在控制網(wǎng)絡(luò)周圍架設(shè)一個屏蔽層，檢查已知漏洞的活動，對所謂的“零日攻擊”實現(xiàn)良好的防護(hù)，而這種“零日攻擊”在殺毒軟件的保護(hù)機(jī)制中是未作定義的。漏洞過濾器并非以這種模式直接發(fā)揮效用，而是能夠濾除針對特定漏洞的入侵，而對于其他特征則不敏感。

在大多數(shù)情況下，工業(yè)網(wǎng)絡(luò)通訊的流量是可以預(yù)測的。流量上的變化可能預(yù)示著入侵。

　　此外，屏蔽層的好處還在于，不僅對網(wǎng)絡(luò)攻擊或者拒絕服務(wù)攻擊實現(xiàn)了防護(hù)，還阻止了惡意軟件在網(wǎng)絡(luò)上繁殖。惡意軟件、病毒和網(wǎng)絡(luò)蠕蟲，經(jīng)常從一個節(jié)點繁殖到另一個節(jié)點，頻繁地使用網(wǎng)絡(luò)。虛擬補(bǔ)丁技術(shù)能夠有效地阻止這種繁殖，而且無需對網(wǎng)絡(luò)實施物理切斷，因為物理切斷可能會造成更加嚴(yán)重的影響。

　　虛擬補(bǔ)丁技術(shù)的應(yīng)用

　　虛擬補(bǔ)丁技術(shù)能夠在兩個節(jié)點之間對通訊實施過濾作用，使用漏洞過濾器來檢測并阻止對應(yīng)用協(xié)議有害的通訊。這些漏洞過濾器的作用就如同一個基于網(wǎng)絡(luò)的虛擬軟件補(bǔ)丁，可以保護(hù)下游主機(jī)，使其未安裝補(bǔ)丁的漏洞不會受到來自網(wǎng)絡(luò)的攻擊。漏洞一旦公布，就可以創(chuàng)建漏洞過濾器，比攻擊提前一步發(fā)揮作用。而且，這種方法被用來將控制網(wǎng)絡(luò)與第三層級及以上層級的通訊或者與企業(yè)之間的通訊隔離開來。各種過濾器幫助重新發(fā)送通訊，確保網(wǎng)絡(luò)正常工作，同時還能夠確保安全性。其他過濾器監(jiān)控通訊層級，檢測可能帶來威脅的異常擾動。

　　特別重要的一點就是這種技術(shù)具有根據(jù)應(yīng)用類型、協(xié)議或者IP地址對通訊實時碼率整形的功能。協(xié)議異常過濾器與威脅抑制引擎同時作用，檢測超出限值的網(wǎng)絡(luò)流量。過濾器對攻擊發(fā)生必備條件進(jìn)行條件，并確保在正常通訊中這些條件永遠(yuǎn)不會出現(xiàn)。它們能夠檢測多種攻擊，不會出現(xiàn)誤判拒絕或者誤判通過的情況。

　　漏洞過濾器能夠?qū)⒖刂凭W(wǎng)絡(luò)與第三層級及以上層級的通訊或者與企業(yè)之間的通訊隔離開來。

　　限值過濾器能夠補(bǔ)強(qiáng)漏洞過濾器，前者在對網(wǎng)絡(luò)實施一定時間的監(jiān)控后，例如幾小時或者幾天，就能夠為正常通訊建立運(yùn)行區(qū)間，當(dāng)通訊超過或者低于限值的時候，這些過濾器就會采取特定動作。

　　例如Nachi蠕蟲能夠通過發(fā)送大量ICMP流量對路由器或者主機(jī)造成過量的負(fù)荷，并最終使網(wǎng)絡(luò)性能下降。虛擬補(bǔ)丁技術(shù)能夠限制第三級網(wǎng)絡(luò)向第二級網(wǎng)絡(luò)發(fā)送的通訊量，并且強(qiáng)制CPU工作在正常區(qū)間內(nèi)，防止系統(tǒng)停機(jī)。限值過濾器通過限制特定數(shù)據(jù)流的字節(jié)數(shù)來實現(xiàn)安全策略，還包括在用戶定義的時間窗口內(nèi)，例如每分鐘或者每月，特定主機(jī)的連接數(shù)量和發(fā)送數(shù)據(jù)包的量。

　　放眼未來

　　當(dāng)今的工廠面臨著各種各樣的威脅，這些威脅僅需要很少的資源就能夠?qū)崿F(xiàn)目的，因此對工廠實施防護(hù)使其不受外部攻擊是重中之重，需要在時間和精力上的巨大投入。何時以及如何安裝補(bǔ)丁是一個關(guān)鍵的決定，不要輕易而為之。

　　然而，有了虛擬補(bǔ)丁技術(shù)，工業(yè)運(yùn)營就能夠更好對零日攻擊實現(xiàn)防護(hù)，可以極大地降低惡意軟件感染的影響。降低對受保護(hù)控制網(wǎng)絡(luò)實施安全補(bǔ)丁更改的頻率，工廠可靠性得以提升，同時安全性也得以提高。而且，在安全補(bǔ)丁安裝的過程中可以實現(xiàn)更多的控制策略，實現(xiàn)更優(yōu)化的補(bǔ)丁管理過程，最終帶來顯著的成本節(jié)省。

（轉(zhuǎn)載）