9.2遗留软件风险

同样，正如我们之前所讨论的，这些软件中的很多都非常陈旧 在验证传统产品时也会遇到类似的挑战。OT 系统的一个主要特点是需要有弹性。著名的 ICS 安全专家丹尼尔-艾伦瑞克（Daniel Ehrenreich）所说的那样，这些环境都是有关安全性、可靠性和生产率，而不是保密性、完整性和可用性。
那么，我们如何实现这些目标呢？我们主要通过详尽的工程设计与极强的安全工程文化相匹配、 在这种情况下，系统特性会根据安全影响进行威胁建模。一些安全标准标准如 ISA84 (www.isa.org/technical-topics/safety) 等标准在这些环境中得到了广泛应用，作为设计驱动力，安全比网络安全更为普遍。对于关键基础设施公司来说，每次会议都从进行“安全时刻”练习开始，以引导员工思考安全问题，戴安全帽和防护装备是常规操作，没有其他选择的余地。此外，这些环境往往是静态的，因为变化意味着风险。一旦工程师进行了工厂验收测试（FAT）以确保系统按设计运行，并进行了现场验收测试（SAT）以对安全性和控制进行评估，系统基本上就被认为是 "锁定更改 "的，这意味着不应再进行任何更改。通常会发生一些常规变更，比如对可编程逻辑控制器（PLC）进行轻微的调整，一些非关键或冗余系统可能会进行补丁更新，新的作业可能会排队等待处理，但通常不会发生重大变更。
虽然这限制了引入安全控制的能力，但也降低了通过计划变更而导致供应链受损的可能性。缺乏变更的组合，以及可能并非真正隔离或“空气隔离”的环境感知，有时可能会导致一种虚假的安全感。但是，在有计划的变更之前，减少变更事件确实可以降低依赖性混淆攻击对 OT 系统造成影响的可能性。另一个复杂因素是，对于真正的空中封闭系统或没有互联网接入的站点，验证软件的真实性和安全性可能具有挑战性。普遍情况是，软件是通过工程师的笔记本电脑进入设备的，而不是从可信网站下载的。在一些情况下，如核设施，常常需要基于亭式终端的反恶意软件扫描能力，但正如我们在Stuxnet案例中看到的，这可能不是一种有效的方法。
尽管缺乏变更，但早在2000年代初期，传统思维认为OT系统如此复杂和专有，外界无人知晓其工作原理，攻击工具寥寥无几，文档资料几乎不存在，无法帮助对手攻击可能存在的数千种 的潜在 ICS 协议。随着 OT 协议栈日益数字化和标准化，以及互联网社区内的信息共享互联网社区内的信息共享降低了这种 "隐蔽安全 "的价值。例如在Metasploit等框架中存在稳定的漏洞利用和攻击工具，或是定期举办针对ICS的黑客竞赛，如在迈阿密海滩举行的年度S4 ICS安全会议的Pwn2Own比赛，以及许多其他类似的活动。
形势正在发生变化，保护软件安全的新方法 在很大程度上忽略了传统软件领域。大多数软件供应链安全解决方案都应用于软件即服务（SaaS）、容器和现代软件开发框架，但在解决遗留软件问题上，除了专注于ICS固件漏洞发现的逆向工程工具外，很少有人对解决遗留软件问题感兴趣。因此，我们面临的挑战就变成了如何为终止支持的产品--即供应商已不再经营的产品，解决这些问题？通常的选择要么是花大笔资金进行翻新和替换，要么是应用虚拟补丁或缓解控制措施，并希望我们已经在所有正确的地方减少了攻击面。