充分发挥运营补丁管理流程的效能

如果您不了解情况，修补将无从谈起

人们认识到建立资产库存不失为一种可行的方案，也许您已经在内部尝试了这一做法，甚至已经想到寻求一些外部帮助。但是要想面面俱到，对所有情况了如指掌绝非易事，很多公司仍然处在不断完善的过程中。

您可以通过两种方式对库存进行管理，同时为 ICS 网络安全计划的实施打下良好的基础，这两种方法都非常重要，缺一不可。

• 电子检查工具能够扫描网络并自动识别资产，从而为您的工作带来极大的便利。
• 手动识别则能够查缺补漏，但需要工作人员亲自巡视，打开面板确认并核实实际库存情况。

应确保对所有位置都同时运用这两种方法。如果您只对 10 个站点中的 9 个实施了完整方法，那么被忽略的那个站点无疑会成为漏洞所在。

制定全面的修补策略

完成库存盘点之后，您可能会列出一长串需要处理的资产。庆幸的是，并不是所有资产都具有同等重要的价值。您接下来要做的是执行风险分析，根据资产的重要性、风险暴露程度、寿命、预期风险等标准来确定需要优先修补的资产。有些资产甚至都不在网络中，风险自然无从谈起。

您需要处理两种修补程序：

1. 操作系统 (OS) 修补现已成为 IT 部门的一项常规工作，例如“Microsoft 周二补丁日”的存在时间已经超过了 15 年。您必须排定工厂基层的计划内停机时间，以完成 OS 修补，从而尽可能避免运营中断。在许多情况下，可通过积极的 IT/OT 协作解决这一问题。
2. 应用程序级修补是需要管理的另一项工作。有时，您可能需要管理来自不同供应商的数百个应用程序，而这些应用程序的修补程序也不尽相同。因此，您需要在供应商的网站上找到相应的修补程序，了解这些修补程序可以修补哪些漏洞，以及是否有使用的必要。

由于每个应用程序有着不同的配置，因此在应用程序层进行修补可以保证测试标准的稳妥性和一致性。在工厂基层实施之前，应首先在实验室环境中进行测试，避免可引发生产意外中断的风险。

一种系统化的补丁管理方法

“听天由命”的方法在整个食品饮料行业都很普遍。之所以会出现这一情况，不是因为所做的努力不够多，而是因为缺少正确的资源和专业知识。这个行业中的响应方式通常都十分被动。工厂只有在收到高优先级修补程序通知时才会做出响应，而且需要在周末停机状态下才能完成修补。

处理过程通常是：

• 运营部门需要 IT 来帮助管理 OT 修补程序。
• IT 于是参与其中，但由于缺少 ICS 专业知识或资源，无法管理独特的要求和约束。
• 于是，他们会寻求混合型 IT/OT 资源的帮助，或者外包给罗克韦尔自动化或其他公司，而后者是更为普遍的做法。

如果工作需经由第三方协助完成，则需要寻找熟谙运营之道的合作伙伴。一个明显的判定标准便是他们的服务级别协议 (SLA) 响应时间。传统 IT 提供商的响应时间通常需要以小时来衡量。在消费品生产中，数小时的停机时间可能意味着数百万美元的损失。以分钟作为衡量单位的 SLA 无疑对运营更为有利。

ICS 网络安全意义重大

补丁管理是启动和运行安全运营中心 (SOC) 的第一步。SOC 可以通过仪表板让您全面了解安全状况，提供灾难恢复策略，并确保互联工厂实现最佳运营状态。

此外，您还可以使用经过专门设计的解决方案来提供端点保护或“白名单”。尽管这些解决方案并不能完全消除对修补程序的需求，但它们能够在您制定修补策略时提供有效保护，为您争取时间。

我们必须认识到一个事实，那就是网络安全不可能一蹴而就，我们需要实现纵深防御。面对众多风险，您需要考虑的将不再只是底线问题（例如食物和员工安全），单凭被动响应已远远不够，抱有侥幸心理更是不可取。如果您在启动网络安全计划时需要帮助，或者希望将计划提升至更高水平，可随时与我们联系，我们将竭诚为您服务。