Ez a poszt eredetileg csak későbbre volt ütemezve, de látva, hogy egész érdekes beszélgetés kerekedett itt-ott a múlt heti, ICS/OT patch-elésről szóló posztról, úgy döntöttem, hogy érdemes előrébb hozni ez a mai írást. Főleg, mert szinte azonnal felmerült egy kérdés, ami persze várható volt: "Mégis mit tegyünk, ha valamilyen ok miatt nem patch-elhetünk?"

Ezzel kapcsolatban a Tripwire oldalán találtam egy cikket, ami persze magát a cég szolgáltatásait hivatott promózni, de ettől függetlenül is tartalmaz értékelhető gondolatokat a témában.

A bevezetőben a patch-elés előnyeit és kockázatait tekintik át, majd az IT és OT biztonsági szempontok közötti különbségeket (CIA kontra AIC háromszögek) mutatják be. A lényegi rész ezután következik, 6 kompenzáló intézkedést mutatnak be, mint a nem megvalósítható patch-elés alternatíváit:

- Eszköz-felderítés és menedzsment;
- Határvédelem;
- Hálózatszegmentálás;
- Naplómenedzsment;
- Sérülékenység-elemzés;
- Fájl-integritás monitoring;

Ezeknek az intézkedéseknek egy jelentős részét ma már a legalapvetőbb ICS/OT biztonsági program keretében a legtöbb ipari szervezet/kritikus infrastruktúra remélhetőleg már megvalósította és gyakorolja, ez a cikk inkább azt próbálja bemutatni, hogy milyen további előnyei lehetnek ezeknek a biztonsági kontroll-rendszereknek.