漏洞治理 | 美國工控安全漏洞管理政策研究與思考
文 | 國家工業(yè)信息安全發(fā)展研究中心 郭嫻 李瑩 朱麗娜
當(dāng)前�����,我國工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化���、智能化加速融合發(fā)展���,取得了顯著成效,但與此同時�,網(wǎng)絡(luò)風(fēng)險也不斷向工業(yè)領(lǐng)域滲透蔓延。近年來����,工控安全漏洞數(shù)量快速增長����,工業(yè)企業(yè)因漏洞利用而遭受攻擊的風(fēng)險不斷攀升��,新型攻擊威脅如勒索軟件等持續(xù)加劇�����。因此���,強化工控安全漏洞管理����,提升工業(yè)領(lǐng)域網(wǎng)絡(luò)安全防護(hù)水平已成為各國競相關(guān)注的重要議題��。
一����、工控安全漏洞現(xiàn)狀
工業(yè)控制系統(tǒng)廣泛應(yīng)用于我國關(guān)鍵制造、能源電力����、國防科工等重要行業(yè)領(lǐng)域的生產(chǎn)、管理等環(huán)節(jié)�,相關(guān)漏洞一旦遭利用�����,可能對網(wǎng)絡(luò)安全�����、數(shù)據(jù)安全�、生產(chǎn)安全乃至國家安全造成巨大影響����。近年來,隨著新一代信息技術(shù)的不斷發(fā)展�,工業(yè)控制系統(tǒng)內(nèi)部風(fēng)險和外部威脅呈不斷上升態(tài)勢�,亟需引起主管部門和相關(guān)企業(yè)的高度重視。
(一)工業(yè)控制產(chǎn)品隱患突出�����,安全風(fēng)險居高不下
漏洞數(shù)量方面��,據(jù)羅克韋爾工控安全公司(Verve Industrial)《2023 年 ICS 漏洞咨詢報告》顯示����,近年來���,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的工控安全漏洞數(shù)量持續(xù)增長,從 2020 至 2023 年�,CISA 共發(fā)布工控安全漏洞數(shù)量超過 4800 個,其中 2023 年漏洞數(shù)量漲幅超過 39%����,平均漏洞威脅評分增長 0.4%;可利用性方面����,據(jù)安全公司德格拉斯(Dragos)《2023 年 OT 網(wǎng)絡(luò)安全回顧》報告顯示,約 23% 工控安全漏洞的漏洞驗證代碼(PoC)在互聯(lián)網(wǎng)上公開�����,易被攻擊者利用實施網(wǎng)絡(luò)攻擊��;漏洞修復(fù)方面���,雖然大部分工控安全漏洞在公開時已附有補丁或緩解措施���,但仍有部分工業(yè)企業(yè)未及時處置,甚至在應(yīng)用產(chǎn)品、部署網(wǎng)絡(luò)時進(jìn)一步引入弱口令��、權(quán)限配置不當(dāng)?shù)蕊L(fēng)險��。據(jù)安全公司騰耐保(Tenable)2023 年發(fā)布的《OT 和 ICS 環(huán)境中的網(wǎng)絡(luò)威脅態(tài)勢》報告顯示���,70% 的受訪工業(yè)企業(yè)未定期開展漏洞自查��,更有 10% 的企業(yè)從未開展漏洞評估��,存在極大安全隱患��。
(二)工控安全攻擊事件頻發(fā)����,漏洞成為重要入口
2022 年 7 月�,一款名為 Sality 的惡意軟件曝光,該軟件利用可編程邏輯控制器(PLC)漏洞��,破解了歐姆龍���、西門子、ABB 等多個知名品牌 PLC 口令�,并將其控制為僵尸網(wǎng)絡(luò)節(jié)點,對設(shè)備所在企業(yè)實施勒索。2023 年 7 月����,日本公司康泰克(Contec)制造的太陽能監(jiān)控產(chǎn)品 SolarView Compact 遭攻擊者利用,全球數(shù)百家能源組織機構(gòu)的約 3 萬個發(fā)電站受到影響��。當(dāng)前�����,隨著國際局勢的風(fēng)云變幻�����,地緣沖突引起的針對關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊也不斷增多����。2023 年 12 月,攻擊者 CyberAv3ngers 利用 Unitronics 系列 PLC 漏洞���,對美國�����、以色列等多個水務(wù)系統(tǒng)發(fā)起攻擊�����,導(dǎo)致水泵關(guān)閉��、水位監(jiān)測器失靈等嚴(yán)重后果�。2024 年 4 月,烏克蘭黑客組織黑杰克(Blackjack)使用工業(yè)控制系統(tǒng)惡意軟件“Fuxnet”攻擊俄羅斯機場��、地鐵系統(tǒng)和天然氣管道等基礎(chǔ)設(shè)施�����,破壞上萬個傳感器���,產(chǎn)生惡劣影響��。
二�、美國工控安全漏洞管理政策機制分析
為降低關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全漏洞風(fēng)險�����,美國較早開展工控安全漏洞管理��,并從平臺標(biāo)準(zhǔn)�����、政策機制��、技術(shù)創(chuàng)新等方面不斷強化漏洞發(fā)現(xiàn)�����、收集�、分析、共享����、通報、修復(fù)等措施����,形成較為成熟的工控安全漏洞管理體系,為各國開展工控安全漏洞管理提供經(jīng)驗借鑒����。
(一)建設(shè)統(tǒng)一漏洞平臺,促進(jìn)漏洞交流共享
一是整合漏洞資源�,建立國家級漏洞平臺。1999 年�����,美國國土安全部(DHS)資助非營利組織麥特(MITRE)公司建立通用漏洞披露(CVE)平臺,為各類信息安全漏洞確定統(tǒng)一標(biāo)識(CVE-ID)和標(biāo)準(zhǔn)化的描述�����,成為漏洞溝通的“通用語言”�。為進(jìn)一步擴大在漏洞管理領(lǐng)域的影響力和掌控力,2005 年���,DHS 委托美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)在 CVE 基礎(chǔ)上建立了國家漏洞庫(NVD)����,進(jìn)一步豐富漏洞危害評分�、修復(fù)信息等內(nèi)容,目前已公開漏洞超過 20 萬條����。除了通用漏洞庫,美國前工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組(ICS-CERT)還建立了工業(yè)控制系統(tǒng)安全漏洞庫��,提供針對制造�、能源、交通等領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的工控安全漏洞分析與預(yù)警服務(wù)���。
二是制定漏洞標(biāo)準(zhǔn)����,建立漏洞交流統(tǒng)一語言��。NIST 聯(lián)合事件響應(yīng)與安全團隊論壇(FIRST)����、MITRE 等制定了一套漏洞管理標(biāo)準(zhǔn)體系——安全內(nèi)容自動化協(xié)議(SCAP),包括通用漏洞評分系統(tǒng)(CVSS)���、通用配置枚舉(CCE)����、通用缺陷枚舉(CWE)等多項標(biāo)準(zhǔn)���,并基于該體系開展漏洞自動化檢測等工作���。2019 年,CISA與卡內(nèi)基梅隆大學(xué)軟件工程研究所(SEI)合作����,創(chuàng)建利益相關(guān)者特定漏洞分類(SSVC)系統(tǒng)�����,從漏洞利用狀態(tài)����、受影響產(chǎn)品覆蓋情況�����、公共利益影響等五方面評估漏洞風(fēng)險��,以解決 CVSS 評分體系僅考慮漏洞自身技術(shù)影響的問題�����。2024 年 5 月�,CISA 發(fā)布“Vulnrichment”漏洞信息富化項目,為原本使用 SSVC 描述的漏洞增加 CVE 評價信息��,吸收兩種描述體系優(yōu)勢�����,進(jìn)一步提升漏洞管理效率�。
(二)完善漏洞披露政策�,促進(jìn)漏洞風(fēng)險發(fā)現(xiàn)
一是暢通漏洞報告渠道�����,促進(jìn)漏洞協(xié)調(diào)披露��。美國管理和預(yù)算辦公室(OMB)2020 年發(fā)布的《提升漏洞發(fā)現(xiàn)�����、管理和修復(fù)》備忘錄(M-20-32)�,明確各聯(lián)邦部門需建立漏洞披露政策(VDP)�����,并由 CISA 負(fù)責(zé)統(tǒng)籌協(xié)調(diào)���。對此�����,CISA 發(fā)布約束性操作指令《制定和公開漏洞披露政策》(BOD20-01)�,要求各聯(lián)邦機構(gòu)必須在六個月內(nèi)發(fā)布漏洞披露政策�����,內(nèi)容涵蓋漏洞披露范圍、允許的測試形態(tài)��、漏洞報告渠道�、設(shè)定回應(yīng)時間等。2021 年����,CISA 建立 VDP 平臺,鼓勵“白帽子”對聯(lián)邦政府網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施開展網(wǎng)絡(luò)安全漏洞挖掘和上報���。截至 2024 年 3 月�����,VDP 平臺已收到 5 萬余份漏洞報告�����。
二是舉辦眾測競賽活動�,鼓勵漏洞挖掘發(fā)現(xiàn)����。眾測方面����,2018 年���,美國參議院通過《國土安全部漏洞法案》����,要求 DHS 設(shè)立“漏洞賞金試點計劃”���,通過漏洞眾測形式和“白帽子”力量,識別 DHS 網(wǎng)絡(luò)中的潛在漏洞�����。2021 年��,美國國防部網(wǎng)絡(luò)犯罪中心(DC3)與國防反情報和安全局合作創(chuàng)建了為期 12 個月的“國防工業(yè)基礎(chǔ)-漏洞披露計劃”(DIB-VDP)試點項目�,發(fā)現(xiàn)并修復(fù)了 400 多個活躍漏洞,消減了國防工業(yè)基礎(chǔ)網(wǎng)絡(luò)和數(shù)據(jù)安全威脅�。競賽方面,2023 年��,美國國防高級研究計劃局(DARPA)牽頭發(fā)起為期兩年、賞金 2000 萬美元的“人工智能網(wǎng)絡(luò)挑戰(zhàn)賽”(AIxCC)��,匯聚業(yè)界力量開發(fā)新一代人工智能網(wǎng)絡(luò)安全解決方案���,識別和修復(fù)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域重要軟件的漏洞�����。
(三)縮緊通報處置要求��,加快漏洞治理進(jìn)程
一是聚焦重點領(lǐng)域����,強化漏洞通報處置�����。根據(jù) 2021 年修訂的《國土安全法》���,CISA 在發(fā)現(xiàn)聯(lián)網(wǎng)的關(guān)鍵基礎(chǔ)設(shè)施���,及操作技術(shù)(OT)系統(tǒng)、ICS��、分布式控制系統(tǒng)(DCS)、PLC 等設(shè)備或系統(tǒng)存在漏洞時��,可與司法部(DOJ)協(xié)調(diào)后��,向相關(guān)系統(tǒng)設(shè)備的服務(wù)提供商發(fā)送行政傳票����,以獲取系統(tǒng)設(shè)備運營者的聯(lián)系方式,并進(jìn)一步通知其有關(guān)安全漏洞與緩解措施�。
二是明確關(guān)鍵漏洞,提升應(yīng)急響應(yīng)效率��。根據(jù) 2017 年《加強聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》行政令�����,CISA 于 2020 年發(fā)布《聯(lián)網(wǎng)系統(tǒng)漏洞修復(fù)要求》(BOD 19-02)�,規(guī)定美國聯(lián)邦民事行政機構(gòu)須在 15 天內(nèi)修補發(fā)現(xiàn)的“嚴(yán)重”等級漏洞����,30 天內(nèi)修補“高危”等級漏洞。2021 年����,CISA 發(fā)布《降低已知被利用漏洞的重大風(fēng)險》(BOD 22-01),強制要求聯(lián)邦機構(gòu)在規(guī)定時限內(nèi)修復(fù)已知被利用的關(guān)鍵漏洞?���!?024-2026 財年網(wǎng)絡(luò)安全戰(zhàn)略計劃》提出進(jìn)一步縮短關(guān)鍵基礎(chǔ)設(shè)施和政府網(wǎng)絡(luò)已知漏洞的修復(fù)時間。
(四)支持漏洞技術(shù)研發(fā)���,提升安全服務(wù)能力
一是利用新技術(shù)開發(fā)工具�,降低漏洞利用風(fēng)險�����。DARPA 發(fā)起硬件和固件系統(tǒng)安全集成(SSITH)計劃��,以開發(fā)安全硬件架構(gòu)與設(shè)計工具���,實現(xiàn)從源頭上發(fā)現(xiàn)硬件漏洞�����。2021 年 9 月�,DARPA 啟動并長期推進(jìn)“強化開發(fā)工具鏈防御緊急執(zhí)行引擎”(HARDEN)項目����,探索使用形式驗證����、人工智能等新方法開發(fā)安全軟件工具�����,以實現(xiàn)預(yù)測�、隔離、緩解軟件突發(fā)行為��,限制攻擊者利用漏洞的能力���。
二是持續(xù)推進(jìn)實驗室建設(shè)�����,提升基礎(chǔ)研究能力���。CISA 負(fù)責(zé)運營位于愛達(dá)荷國家實驗室(INL)的工業(yè)控制系統(tǒng)高級分析實驗室���,實驗室對最新漏洞和新型惡意軟件進(jìn)行分析研究���,持續(xù)開展 ICS 產(chǎn)品漏洞和補丁驗證工作�����。2023 年���,美國能源部撥款 3900 萬美元,支持 9 個國家實驗室研究促進(jìn)分布式能源(DER)系統(tǒng)網(wǎng)絡(luò)安全����,其中包括開發(fā)基于仿真技術(shù)的 DER 系統(tǒng)分析框架,以更好地識別并緩解能源系統(tǒng)設(shè)計中的網(wǎng)絡(luò)漏洞�。
三是研發(fā)產(chǎn)品賦能產(chǎn)業(yè),強化安全防護(hù)效能��。已知漏洞檢測方面���,CISA 于 2022 年發(fā)布涵蓋近百項免費安全工具和服務(wù)產(chǎn)品的清單����,其中涉及數(shù) 10 項漏洞檢測工具����。此外,CISA 負(fù)責(zé)集成工具提供威脅狩獵服務(wù)����,包括漏洞掃描�����、遠(yuǎn)程滲透測試�����、網(wǎng)頁應(yīng)用掃描等�,可自動掃描聯(lián)網(wǎng)系統(tǒng)��,識別和評估已知漏洞��。2023 年以來����,CISA 已陸續(xù)面向水利、醫(yī)療保健等行業(yè)量身定制涵蓋漏洞掃描的免費工具包����。未知漏洞識別方面,美國于 2021 年明確要求聯(lián)邦政府機構(gòu)部署端點檢測和響應(yīng)(EDR)系統(tǒng)����,實現(xiàn)及時感知系統(tǒng)中特定用戶的異常行為,提高針對未知漏洞和事件的監(jiān)測能力���,構(gòu)建主動防御體系�。
(五)加強資源情報管控�,鞏固技術(shù)壟斷地位
一是加強零日漏洞管控。2008 年�����,美國首次提出建立“漏洞公平裁決程序”(VEP)�����,以明確判定特定零日漏洞是否披露的多部門協(xié)調(diào)流程�����。此后美國陸續(xù)發(fā)布相關(guān)文件�,強化零日漏洞管控。2017 年�,為應(yīng)對美國政府藏有大量未公開漏洞傳言,提高 VEP 章程的權(quán)威性和透明性�����,美國公開發(fā)布新版《漏洞公平裁決政策和程序》,詳細(xì)規(guī)定漏洞裁決程序����,首次公開裁決考量因素,即國家防御��、情報執(zhí)法��、商業(yè)風(fēng)險���、國際關(guān)系等���,為謀求合法獲取零日漏洞、便利執(zhí)法與情報活動奠定基礎(chǔ)����。2018 年,美國眾議院通過《網(wǎng)絡(luò)漏洞披露報告法案》�����,要求 DHS 對漏洞進(jìn)行國家安全評估���,再決定漏洞披露或利用方式�。
二是限制漏洞產(chǎn)品出口。2013 年�,美國在其主導(dǎo)的《瓦森納協(xié)定》中����,將漏洞納入網(wǎng)絡(luò)武器出口管控清單。隨后�����,為落實該協(xié)定�����,美國商務(wù)部工業(yè)與安全局(BIS)將漏洞及漏洞檢測產(chǎn)品納入《出口管制條例》管控范圍��。2021 年 10 月���,美國通過新規(guī)《信息安全控制:網(wǎng)絡(luò)安全項目》��,進(jìn)一步禁止出口攻擊性網(wǎng)絡(luò)工具�����。2022 年����,BIS 通過修訂《出口管制條例》,發(fā)布“網(wǎng)絡(luò)安全物項”出口限制策略���,以“國家安全”和“反恐”為出發(fā)點�,加強對漏洞披露的出口限制�。
三、推進(jìn)我國工控安全漏洞治理的思考
當(dāng)前�����,我國已制定發(fā)布《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》(以下簡稱《規(guī)定》)《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》等多項法律政策文件����,建成工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺——工業(yè)控制產(chǎn)品安全漏洞專業(yè)庫,即國家工業(yè)信息安全漏洞庫(CICSVD)��,初步建立了覆蓋漏洞接收��、報送�、收集、發(fā)布等環(huán)節(jié)的漏洞管理體系�,相關(guān)工作取得積極成效���。在新形勢下,應(yīng)進(jìn)一步推動漏洞管理體系的完善和落地���,調(diào)動多方力量推動漏洞協(xié)同共治��,持續(xù)提升重點領(lǐng)域和重要供應(yīng)鏈的風(fēng)險防范能力��,為推進(jìn)新型工業(yè)化保駕護(hù)航。
(一)建立漏洞治理體系�,推動法規(guī)政策落地見效
為加強漏洞治理,美國除了制定《網(wǎng)絡(luò)漏洞披露報告法案》《國土安全部漏洞法案》《改善國家網(wǎng)絡(luò)安全行政令》等多個頂層文件外�����,還通過發(fā)布備忘錄�、操作指令,開展試點�、比賽、技術(shù)研發(fā)等多種形式推動政策落實��。我國開展工控安全漏洞治理�����,不僅可以借鑒美國的相關(guān)經(jīng)驗,更要因地制宜���,探索形成符合中國特色的漏洞治理體系�����。在國家層面�,應(yīng)統(tǒng)籌推動工控安全漏洞治理工作��,細(xì)化和完善相關(guān)政策標(biāo)準(zhǔn)�,進(jìn)一步增強管理工作的規(guī)范性和可操作性,可以在重點省市���、重點企業(yè)先行開展治理試點�����,推動形成漏洞管理工作閉環(huán)�����,形成一批優(yōu)秀案例在全國范圍內(nèi)推廣���。在地方層面����,應(yīng)積極打通漏洞管理落地實施的“最后一公里”��,結(jié)合本地發(fā)展實際�,進(jìn)一步細(xì)化漏洞自查、上報���、修復(fù)����、處置�����、檢測等相關(guān)要求��。通過培訓(xùn)���、宣貫等方式,持續(xù)提升企業(yè)對漏洞風(fēng)險的防范意識�。
(二)完善漏洞通報機制,實現(xiàn)全流程管理閉環(huán)
為提升漏洞治理效能�,開展常態(tài)化漏洞通報����,并對部分重要工業(yè)控制系統(tǒng)嚴(yán)格規(guī)定了修復(fù)時限����,可在一定程度上解決重要系統(tǒng)設(shè)備“帶病運行”的問題。我國應(yīng)健全和完善現(xiàn)有漏洞通報機制����,進(jìn)一步細(xì)化通報接收渠道、響應(yīng)流程等規(guī)定��,并增加對重要供應(yīng)鏈企業(yè)和重要工業(yè)控制系統(tǒng)落實漏洞修復(fù)措施和時限的要求��。通過建立“國家—地方—企業(yè)”的快速漏洞通報體系�����,提高工作效率�,實現(xiàn)工業(yè)控制產(chǎn)品供給側(cè)、需求側(cè)漏洞管理閉環(huán)����。
(三)組織漏洞眾測活動,合力挖掘修復(fù)潛在隱患
漏洞眾測作為一種多方參與的漏洞檢測活動����,已成為各國政府及關(guān)鍵信息基礎(chǔ)設(shè)施運營者提升自身網(wǎng)絡(luò)安全水平的有效手段���。CICSVD 等專業(yè)漏洞管理平臺應(yīng)積極發(fā)揮產(chǎn)業(yè)引領(lǐng)作用,聚焦能源��、制造�、石化等行業(yè)典型場景,定期開展工業(yè)控制產(chǎn)品安全漏洞眾測活動���,匯集一批安全企業(yè)�、高校��、研究機構(gòu)等高水平安全技術(shù)人員�����,共同挖掘修復(fù)潛在漏洞隱患����,提升產(chǎn)品漏洞發(fā)現(xiàn)和修復(fù)效率���。同時�����,鼓勵工業(yè)控制產(chǎn)品的龍頭企業(yè)發(fā)揮引領(lǐng)作用�����,積極參與漏洞眾測活動�,有效提升產(chǎn)品的安全性和品牌競爭力。
(四)推動技術(shù)創(chuàng)新攻關(guān)���,賦能企業(yè)安全能力提升
當(dāng)前���,大數(shù)據(jù)、人工智能等新一代信息技術(shù)快速演進(jìn)�,對漏洞技術(shù)的發(fā)展具有巨大的推動作用。應(yīng)把握發(fā)展機遇��,加快科技突破�。一方面,以政府資金為引導(dǎo)�����,帶動市場投入,支持工控安全漏洞特征智能化提取���、智能模糊測試����、漏洞驗證環(huán)境自動化搭建等創(chuàng)新技術(shù)攻關(guān)�����,提高在野漏洞精準(zhǔn)識別���、未知漏洞高效挖掘和漏洞復(fù)現(xiàn)驗證等技術(shù)水平����。另一方面�,應(yīng)積極進(jìn)行產(chǎn)業(yè)賦能,推動漏洞數(shù)據(jù)的合法合規(guī)使用�����,支撐服務(wù)行業(yè)企業(yè)提升工控安全漏洞管理水平��。(本文刊登于《中國信息安全》雜志2024年第5期)
文章來源:中國信息安全
在線咨詢
在線咨詢
0371-63319761