Záplatování softwarových problémů

-- 25.06.12

Stejně jako byste si záplatovali díru v kalhotách, můžete najít díry ve vašem softwaru, které vám mohou vytvářet závažná zranitelná místa kyberprostorového zabezpečení. Záplatujte tato slabá místa dříve, než se celá látka roztrhne.

Počet kyberprostorových útoků na průmyslové řídicí systémy se zvyšuje a tuto aktivitu můžeme pozorovat v globálním měřítku v závislosti na lokalitě, výrobci a dokonce i specifických parametrech daného řídicího systému. K mnoha těmto útokům dochází jen kvůli zranitelným místům v operačních systémech a aplikacích, které je nutno opravovat pomocí softwarových záplat. Dobrá správa záplat sníží vaše riziko a učiní z vás odolnější cíl. To zní dobře, co to ale znamená v praxi? V terminologii řídicího systému záplatování napravuje známé slabiny v platformě aplikací nového programového kódu jako softwarové opravy. Těmito platformami mohou být operátorská rozhraní, rozhraní člověk-stroj (HMI), počítače, síťová zařízení a související software nahraný na těchto platformách.

Záplatami jsou obvykle elektronické soubory s aktualizovanými konfiguračními údaji nebo spustitelné procesy, které opravují příslušná slabá místa. Záplaty mají zásadní význam pro ochranu a zabezpečení systému a měly by se z mnoha důvodů aplikovat co nejdříve. Jak již bylo řečeno, záplaty řeší známé slabiny v systému. To by vás, jakožto odborníka na průmyslový řídicí systém, mělo znepokojovat, protože nechcete, aby vaše slabá místa někdo znal. Nicméně záplatování již z podstaty vyžaduje, aby výrobci softwaru a hardwaru nejprve upozornili veřejnost, že v jejich systému nebo softwaru existuje problém a následně informovali, jak tuto lze slabinu řešit nebo opravit.

Protože je veřejnost informována různými prostředky, včetně aktualizací operačního systému společnosti Microsoft a aktualizací definic antivirové ochrany, záškodníci mají k dispozici metody, jak se o vašich slabinách dozvědět. Bez osvědčeného a řiditelného procesu validace a aplikace záplat do vašich systémů v častých intervalech jste vystaveni riziku, že vaše slabá místa zneužijí hackeři, nespokojení zaměstnanci či dokonce teroristé. Správa záplat je metodický proces zahrnující dokumentaci, validaci, zálohování a obnovu a víceúrovňový krokový postup aplikace změn do vašich kriticky významných systémů. Jádrem efektivní správy záplat je vlastní validace změny pro zajištění, že aktualizované záplaty nebo rozšíření zabezpečení nenaruší funkčnost vašeho systému.

Validace by se měla provádět v laboratoři nebo v nevýrobním prostředí a na zařízení a softwaru, které reprezentuje vaše výrobní prostředí. Příslušnou záplatu může validovat také OEM výrobce vašeho řídicího systému, nicméně to vyžaduje určitý čas. Bez validace můžete aplikovat záplaty, které změní parametry zabezpečení vašeho systému, což by mohlo zastavit komunikaci mezi vašimi zařízeními. Po účinné validaci a před aplikací záplat na vlastní výrobní zařízení by se mělo provádět kvalitní zálohování, nebo by měl být zaveden plán pro obnovu po nehodě, který by zálohoval informace a konfiguraci vašich zařízení. Záplaty ve skutečnosti mění váš systém nebo software, takže pokud způsobí problémy, budete chtít okamžitě obnovit váš předchozí stav, abyste obnovili výrobu.

Je nezbytné určit strategii definující pořadí aplikace záplat do vašeho výrobního systému a je nutno dokumentovat dodržování této strategie při vydávání nových záplat. Ze svých systémů vyberte „pokusného králíka“, neboli první jednotku, kterou můžete odstavit z provozu po dobu, kterou vyžaduje aplikace záplaty. Následně ji po určitou dobu monitorujte, než zavedete záplaty do zbývajících zařízení. Tímto postupným přístupem (validace v laboratoři, pokusná jednotka a zbývající zařízení) výrazně snižujete riziko, že by změna nebo záplata narušila celý váš systém.

Jakékoli problémy lze před aplikací záplat identifikovat dobře kontrolovaným, dokumentovaným a opakovatelným způsobem. Záplatování průmyslových řídicích systémů zahrnuje shromažďování známých opravných prostředků neboli záplat, validaci těchto změn před jejich aplikací a následně metodickou aplikaci záplat kontrolovaným způsobem. Čím častěji tento proces opakujete, tím bude váš systém aktuálnější a méně zranitelný vůči útoku. Společnost FoxGuard Solutions a další podobné firmy mohou s vaším týmem spolupracovat na definování strategie splňující vaše potřeby a zajišťující menší zranitelnost vašeho systému vůči útoku.

ce

Mark Trump je manažerem programu zabezpečení společnosti FoxGuard Solutions.

Autor: Mark Trump, FoxGuard Solutions