拆解修補程式管理流程以進行營運

您無法修補您看不見的東西

資產清點的想法並不新鮮，而且您可能已經在內部嘗試過這個作法，甚至已經尋求過外部的協助。但要記錄每樣東西並不容易，很多公司仍在努力進行中。

有兩種方法可進行盤點，並為您的ICS網路安全計畫奠定正確的基礎，這兩者您都需要。

• 電子詢問工具可掃描您的網路，並自動辨識資產，幫您完成大部分的工作。
• 人工辨識會記錄剩下來的部分，但需要有人實際走來走去、打開面板，並對裡面的狀況進行實質上的調查。

需要注意的是在每個地點都要採取這兩種方法。若只在您的10個站點中的9個完成這兩種方式，我保證被忽略的站點就會出現缺口。

制定全面的修補策略

在盤點後，您可能會留下成千上萬的資產清單，讓您費心理解。所幸並非所有資產的創建目的都是一樣的。下一步是進行風險分析，以根據嚴重性、曝光程度、年限、預期風險等，確定要進行修補的高優先順序資產。有些資產甚至不在網路上，所以真的有風險嗎？

有兩種類型的修補需要進行：

1. 作業系統(OS)的修補對IT來說司空見慣，以至於微軟的例行安全修補日已推行了超過15年。您將不得不排定停機時間，對工廠的作業系統進行修補，以盡量減少中斷時間。有些主動的IT/OT協作可使用多種方法解决這個問題。
2. 應用程式層次的修補又是另一回事。實際上，可能有數百個來自不同供應商的應用程式，各自有著不同的修補程式。因此，您有責任在供應商網站上尋找修補程式，了解它們可以保護的漏洞，以及是否需要它們。

因為每個應用程式的設置都不一樣，所以應用程式層次的修補需要非常嚴謹、一致的測試標準。在工廠實行之前，應於實驗室環境中進行測試，否則可能會導致意外停止生產的風險。

修補程式管理的系統方法

在整個食品飲料業中，「祈禱好運」的方法很普遍。不是因為缺乏嘗試，而是因為缺乏合適的資源及專業知識。一般來說，我目前在現場看到的效果都十分被動。回應高優先順序的修補程式通知，並視需求於週末停止生產。

常見的進展如下：

• 營運部門使用IT來幫助管理OT修補。
• IT可以滿足需求，但沒有ICS的專業知識或資源來管理獨特的需求及限制。
• 因此，他們僱用混合的IT/OT資源，或者更常是外包給像洛克威爾自動化或其他這類的公司。

如果要走協力廠商路線，要找一個以營運為基礎的合作伙伴。一個明顯的指標是他們服務等級協議(SLA)的回應時間。傳統的IT供應商以小時為單位估算回應速度。但消費品生產中的這類停機時間可能意味著數百萬美元的損失。以分鐘為單位估算的SLA是一種易於操作的方法。

ICS網路安全的最終階段

修補程式管理是啟動及運作資安監控中心(SOC)的其中一步。SOC可以提供安全形態的全面儀表板檢視，包括了災難復元策略，並確保連線工廠的最佳運作狀態。

此外，現在有一些解決方案是為端點保護或「白名單」而設計的。雖然這些解決方案並不能完全消除修補的必要性，但仍是有效的解決方案，可在制定修補策略時，為您提供保護，並為您爭取時間。

事實是有效的網路安全沒有靈丹妙方。這就是深度防禦的意義所在。但由於面臨不只盈虧的風險(考量食品及員工的安全)，被動行事及僥倖不再是可行的方法。若您在展開計畫或提升到下個層次時需要協助，我們將不吝為您提供幫助。