今天的工業(yè)企業(yè)，都會定期為過程控制系統(tǒng)安裝補丁來移除安全隱患，而持續(xù)不斷的更新會帶來很多風險。安裝軟件之后可能會引起軟件回歸之類的重要問題，同時，如果補丁未被應用，也可能會導致系統(tǒng)受損。

　　是否安裝補丁取決于安裝防御性補丁的風險和不安裝防御性補丁而受到入侵的風險兩者之間的權衡，而這兩者又是根本上相對立的。給關鍵的系統(tǒng)安裝補丁可能會使其“受損”——但是放任補丁不管又可能產(chǎn)生安全漏洞。

　　除了安全風險上的權衡，還涉及到更加務實的關于資源利用上的權衡。到底是自動安裝補丁還是手動安裝補丁，這兩種方式所消耗的資源不盡相同，必須根據(jù)所需安裝補丁的頻率從長計議其效用和成本。

　　虛擬補丁是一種創(chuàng)新的技術，工業(yè)企業(yè)可以一邊改進安裝補丁的過程，一邊提升系統(tǒng)的安全性。例如漏洞過濾器之類的組件能夠確保未安裝補丁的系統(tǒng)的安全性，更好地按照生產(chǎn)需求安排安裝補丁的過程。

　　當下的安全風險

　　在生產(chǎn)制造企業(yè)的工廠和其他工業(yè)設施中，開放式的控制系統(tǒng)體系結構和標準協(xié)議對于企業(yè)來說可為喜憂參半。一方面，從孤立的專用應用程序向開放式技術的過渡擴展了過程和商業(yè)信息的可用性。另一方面，開放式技術將生產(chǎn)制造企業(yè)暴露于各種安全隱患之下，隨著生產(chǎn)制造資產(chǎn)與企業(yè)資源規(guī)劃系統(tǒng)的整合，這種風險將更加巨大。

　　漏洞過濾器的作用就像一個虛擬補丁，確保未安裝補丁的系統(tǒng)的安全性，更好地按照生產(chǎn)需求安排安裝補丁的過程。

　　開放式體系結構給企業(yè)帶來的漏洞越來越多，加上惡意軟件攻擊的數(shù)量也越來越多，使得在全球范圍內(nèi)網(wǎng)絡安全問題都是生產(chǎn)制造企業(yè)考量的重點之一。意外的或者惡意的攻擊會給員工的健康和安全、生產(chǎn)和企業(yè)聲譽等等帶來巨大的風險。

　　為了最小化工廠自動化和信息系統(tǒng)的風險，安裝具有多個防護層級的深度防御策略是十分重要的。這樣的防護層級包括對服務器和工作站進行補強。

　　在過程控制網(wǎng)絡中安裝補丁是一個十分耗時的過程，雖然補丁能夠恢復控制系統(tǒng)設備，使其能夠抵御惡意軟件的攻擊，但是它也會在補丁安裝的過程中提高失效的風險，安裝一個軟件補丁通常要求：

　　■ 與過程操作人員協(xié)調以確定適當?shù)臅r間段安裝補丁;

　　■ 切實安裝補丁;

　　■ 交換主服務器和備用服務器的功能，使補丁能夠裝在備用服務器上;

　　■ 重啟設備激活修改過的軟件。

　　總的來說，上述要求會導致對服務器或者工作站安裝一個補丁的平均時間在1個小時到2個小時之間。由于補丁通常是按月發(fā)布，而且不同供應商發(fā)布補丁的周期也不同，所以就導致這個安裝補丁的過程成本高昂。如果等待每個部件的補丁都到位再同時安裝，就會導致漏洞已經(jīng)公布但是系統(tǒng)尚未安裝補丁的窘境，所以程序入侵的風險反而會上升——大部分是感染網(wǎng)絡蠕蟲。

　　虛擬補丁技術

　　虛擬補丁技術，與傳統(tǒng)補丁不同，無需觸及應用本身、庫文件或者操作系統(tǒng)就能夠對系統(tǒng)進行保護。而且，安裝虛擬補丁技術比安裝實際的軟件補丁更加迅速。在漏洞公開的幾天之后，虛擬補丁就能夠發(fā)揮作用，而應用程序開發(fā)商可能需要數(shù)周或者數(shù)月進行軟件的修改和測試。

　　使用虛擬補丁技術之后，考慮到微軟按月發(fā)布的安全補丁，負責維護的部門就可以降低DCS的修改頻率，同時仍舊實現(xiàn)對網(wǎng)絡攻擊進行防護。

　　此過程的設計原理是在控制網(wǎng)絡周圍架設一個屏蔽層，檢查已知漏洞的活動，對所謂的“零日攻擊”實現(xiàn)良好的防護，而這種“零日攻擊”在殺毒軟件的保護機制中是未作定義的。漏洞過濾器并非以這種模式直接發(fā)揮效用，而是能夠濾除針對特定漏洞的入侵，而對于其他特征則不敏感。

在大多數(shù)情況下，工業(yè)網(wǎng)絡通訊的流量是可以預測的。流量上的變化可能預示著入侵。

　　此外，屏蔽層的好處還在于，不僅對網(wǎng)絡攻擊或者拒絕服務攻擊實現(xiàn)了防護，還阻止了惡意軟件在網(wǎng)絡上繁殖。惡意軟件、病毒和網(wǎng)絡蠕蟲，經(jīng)常從一個節(jié)點繁殖到另一個節(jié)點，頻繁地使用網(wǎng)絡。虛擬補丁技術能夠有效地阻止這種繁殖，而且無需對網(wǎng)絡實施物理切斷，因為物理切斷可能會造成更加嚴重的影響。

　　虛擬補丁技術的應用

　　虛擬補丁技術能夠在兩個節(jié)點之間對通訊實施過濾作用，使用漏洞過濾器來檢測并阻止對應用協(xié)議有害的通訊。這些漏洞過濾器的作用就如同一個基于網(wǎng)絡的虛擬軟件補丁，可以保護下游主機，使其未安裝補丁的漏洞不會受到來自網(wǎng)絡的攻擊。漏洞一旦公布，就可以創(chuàng)建漏洞過濾器，比攻擊提前一步發(fā)揮作用。而且，這種方法被用來將控制網(wǎng)絡與第三層級及以上層級的通訊或者與企業(yè)之間的通訊隔離開來。各種過濾器幫助重新發(fā)送通訊，確保網(wǎng)絡正常工作，同時還能夠確保安全性。其他過濾器監(jiān)控通訊層級，檢測可能帶來威脅的異常擾動。

　　特別重要的一點就是這種技術具有根據(jù)應用類型、協(xié)議或者IP地址對通訊實時碼率整形的功能。協(xié)議異常過濾器與威脅抑制引擎同時作用，檢測超出限值的網(wǎng)絡流量。過濾器對攻擊發(fā)生必備條件進行條件，并確保在正常通訊中這些條件永遠不會出現(xiàn)。它們能夠檢測多種攻擊，不會出現(xiàn)誤判拒絕或者誤判通過的情況。

　　漏洞過濾器能夠將控制網(wǎng)絡與第三層級及以上層級的通訊或者與企業(yè)之間的通訊隔離開來。

　　限值過濾器能夠補強漏洞過濾器，前者在對網(wǎng)絡實施一定時間的監(jiān)控后，例如幾小時或者幾天，就能夠為正常通訊建立運行區(qū)間，當通訊超過或者低于限值的時候，這些過濾器就會采取特定動作。

　　例如Nachi蠕蟲能夠通過發(fā)送大量ICMP流量對路由器或者主機造成過量的負荷，并最終使網(wǎng)絡性能下降。虛擬補丁技術能夠限制第三級網(wǎng)絡向第二級網(wǎng)絡發(fā)送的通訊量，并且強制CPU工作在正常區(qū)間內(nèi)，防止系統(tǒng)停機。限值過濾器通過限制特定數(shù)據(jù)流的字節(jié)數(shù)來實現(xiàn)安全策略，還包括在用戶定義的時間窗口內(nèi)，例如每分鐘或者每月，特定主機的連接數(shù)量和發(fā)送數(shù)據(jù)包的量。

　　放眼未來

　　當今的工廠面臨著各種各樣的威脅，這些威脅僅需要很少的資源就能夠實現(xiàn)目的，因此對工廠實施防護使其不受外部攻擊是重中之重，需要在時間和精力上的巨大投入。何時以及如何安裝補丁是一個關鍵的決定，不要輕易而為之。

　　然而，有了虛擬補丁技術，工業(yè)運營就能夠更好對零日攻擊實現(xiàn)防護，可以極大地降低惡意軟件感染的影響。降低對受保護控制網(wǎng)絡實施安全補丁更改的頻率，工廠可靠性得以提升，同時安全性也得以提高。而且，在安全補丁安裝的過程中可以實現(xiàn)更多的控制策略，實現(xiàn)更優(yōu)化的補丁管理過程，最終帶來顯著的成本節(jié)省。

（轉載）