更新工业控制系统中的反恶意软件解决方案

在工业自动化基础设施中,常见的气隙条件或有限的连接等情况使得更新变得复杂。我们该如何在不影响ICS环境的情况下,使这些系统保持最新状态呢?

众所周知,为了应对最新的网络威胁,反恶意软件解决方案需要不断更新。通常更新办公室端点不会有什么问题 – 因为这类端点有直接连接互联网,会自动执行更新。但是,在工业自动化基础设施中,常见的气隙条件或有限的连接等情况使得更新变得复杂。我们该如何在不影响ICS环境的情况下,使这些系统保持最新状态呢?

球鞋网络

最常用的策略之一是被称为”球鞋网络”的方法。也就是说,有专人从反恶意软件供应商服务器上把更新下载到专用主机,再将更新写入可插拔介质,随后通过该介质对ICS网络中的各个节点依次进行更新。这种方法避免了供应商更新服务器与工业设施内的节点之间进行直接通信。

“球鞋网络”方法的主要缺点在于,它需要现场管理员以正确的方法来实施 – 而且要定期执行。这项工作既费时又费力,这就是为什么许多ICS网络依赖于过时的反恶意软件签名数据库。让人遗憾的是,我们在进行ICS安全评估时,常常会发现这种情况。

这种方法需要有严格的纪律才有效,并且需要能够通过可插拔介质获得更新的端点解决方案。实施此方法意味着要重复访存所有操作系统、控制系统和设备软件的手动更新。这要求ICS提供商与供应商之间隐性的合作。

真正的网络安全

您真正需要的是技术上先进的端点解决方案,支持从集中式本地更新服务器接收更新;这要比把更新交付到单个端点简单、快捷得多。为此,我们推荐采用一款支持来自单一可信来源(如安装在工业网络中的本地管理服务器)更新的安全解决方案。

反病毒引擎本身不太可能做到充分保护ICS网络端点不受恶意软件和其他威胁的侵害。ICS网络端点需要的是多层次的方法,使所有端点都能得到全面保护,避免感染新的恶意软件。为此,它不能单单依赖于数据库更新,还必须包含基于非签名的保护措施,如可以应对新勒索软件攻击的专用反加密技术;应用程序白名单;设备使用控制(限制使用记忆棒和加密狗调制解调器)。这些措施将大大加强你的防御能力,即便很长一段时间不更新也能提供充分保护。

与此同时,ICS端点保护必须是轻量级的,可专门针对ICS环境中的应用而灵活调整:使用ICS软件进行测试、支持旧的操作系统和低资源消耗、具有可选监视(非阻塞)保护模式,并且可以本地更新。ICS环境要考虑的最后一个因素是,端点保护应该能够长时间运行而无需重新启动。

为了保护使用PLC和IED的工业网络,还必需采取其他方法,这不是可选项,而是必需项;要这类工业网络上安装端点保护软件是不可能的。所以,我们推荐使用支持网络安全监控以及配置或逻辑完整性监控的工具。

请务必注意,端点解决方案并不足以检测到高级工业攻击。只有工业网络异常检测解决方案和专业端点保护共同协作,才能确保有效地防御常见网络威胁,检测到高级攻击和欺诈行为。

最近,我们的同事在NCCIC/ICS-CERT(美国国家网络和通信集成中心/美国工业控制系统网络应急响应小组)发表了一篇题为《建议实践:在工业控制系统中更新反病毒软件》的文章,其中包含反病毒更新策略的全面指导原则,可帮助ICS公司管理自己的安全更新。

提示