近日，美国工业控制系统网络应急响应小组（ICS-CERT）就如何在工业环境中更新反病毒软件提出了一些建议。随后多位安全专家表示这些建议所推荐的方法并不是很实用，而且还警告说，工业企业和组织不应仅仅依靠反病毒软件来保护关键系统。让我们来还原一下这场论战：

一、ICS-CERT关于在工业网络中更新反病毒软件的建议

ICS-CERT是美国国土安全部（DHS）国家网络安全和通信集成中心（NCCIC）的一个组成部分，专门负责协调涉及控制系统的安全事件，并促进信息共享，来降低网络攻击的风险。该组织的最新监测通讯提供了一些关于工控组织如何在ICS环境中更新其反病毒软件的建议。

ICS-CERT表示：“反病毒软件需要正确部署并保持最新状态，因为防范恶意软件是纵深防御策略的重要组成部分。“这种软件广泛应用于信息技术（IT）和ICS基础设施。在商业IT环境中，通常的做法是将每个防病毒客户端配置为直接从反病毒供应商进行更新。然而，由于ICS和IT系统需要ICS非军事区（DMZ）隔离，所以ICS系统需要不同的反病毒软件更新方法。

ICS DMZ位于企业区和控制网络之间。DMZ除历史记录和远程访问服务器之外，还包含反病毒软件，Windows Server Update Services（WSUS）和修补程序服务器。由于ICS DMZ通常不允许直接与互联网通信，所以不能从供应商的服务器完成自动更新。因此更新反病毒软件的唯一方法就是手动下载，将其复制到移动硬盘，然后再将该硬盘连接到需要更新的计算机。

但实际上，这个过程并不像听起来那么简单。所以，ICS-CERT建议先验证更新的来源，然后将更新文件下载到专用主机。接下来通过扫描文件依次查找恶意软件，在此期间还需要验证其加密哈希值来确保其未被篡改。

一旦更新文件被复制，移动硬盘就会被扫描，然后查找恶意软件并锁定（即防止文件被写入）。所以，在生产系统部署更新前，应该尽可能（在模仿生产机器的测试环境中）进行测试和验证。

ICS-CERT说：“所幸的是它并不是很耗时间，但这个过程要比自动更新耗费更多的劳动力。这种“sneakernet ”的方法在air gapped网络中很常见。“ daisy chaining”会自动的进行更新，这与许多IT环境中使用的过程类似，虽然方便但不推荐。

二、专家观点：单靠反病毒软件远远不够，这个方法并不实用。

目前，我们已经与几位ICS安全专家联系，就ICS-CERT的建议发表评论。

卡巴斯基实验室的ICS安全专家Anton Shipulin指出，虽然这种“sneakernet ”方法确实适用于更新air gapped网络的保护软件，但在实践中，其系统更新方面确实存在困难。在评估过程中，卡巴斯基经常在ICS网络中发现过时的反恶意软件签名数据库。

“为了使这个过程运作起来，就需要有一个良好的规则以及技术先进的终端解决方案来定期执行，如此一来就可以从本地服务器获取更新。值得一提的是，所有操作系统，控制系统和设备软件的更新要求都是经ICS供应商和供应商同意的。”

工业网络安全公司Verve副总裁Rick Kaun指出，手动更新可能比ICS-CERT描述的过程复杂得多。

并非所有的反病毒软件更新都是一样的，如果您正在为反病毒软件功能提供特定供应商的保修支持，那么不仅需要下载反病毒软件文件，还需要从供应商那里获得支持(至少确认供应商是支持该文件的)。此外，由于每个组织可能有多个OEM供应商，而且每个供应商都有不同的反病毒软件解决方案，因此您需要在不同的目标系统上处理多个文件 。

Kaun补充说：

现在我们来统计反病毒软件文件生成的频率。如果需要每月更新一次，很明显这是可以管理的。但如果每周更新一次，这便会具有挑战性。当反病毒软件文件需要每天更新甚至更快时会发生什么？企业反病毒软件更新频率的立场是什么？这是决定最新和最好之间适当平衡需要考虑的一个重要因素。

ICS文章所描述的能够保持反病毒软件程序的严密性和频率的内容其实只有很少的组织能做到，所以说这虽然是一个很好的建议，但由于没有显著的人力和自动化工具，它并不适用于日常应用。

我们的专家都认为，反病毒软件不应该用来保护ICS（特别是不能自己使用）。虽然工业组织经常担心安全软件可能会对其运营产生负面影响，但专为ICS创建的现代化解决方案却能尽可能减少影响，同时又提供全面的保护。此外，反病毒软件不能直接安装在PLC和DCS等关键控制设备上。但是，现代产品不管目标设备的类型如何，都能被动地监控网络是否有可疑活动。