Virtuell patching: Beskytte uten å installere

Virtuell patching er en tilnarming der en sarbarhet beskyttes via nettverkskontroller (brannmurregler, IDS-signaturer, proxyer) uten a installere den faktiske patchen pa det sarbaret systemet. Dette muliggjor beskyttelse nar faktisk patching er uakseptabelt risikabelt eller teknisk umulig. (Trend Micro, 2024)

Eksempler pa virtuell patching i OT:

• Brannmurregler som blokkerer trafikk til en sarbaret port/protokoll fra alle unodvendige kildesystemer
• IDS/IPS-signaturer som oppdager og blokkerer kjente exploitattempts
• Nettverkssegmentering som isolerer det sarbaret systemet fra nett som kan bruke sarbarheten
• Application-layer proxy som sanitiserer innkommende trafikk til OT-systemer

Virtuell patching er en midlertidig losning, ikke en permanent erstatning for faktisk patching. Mal alltid mot a patche pa neste tilgjengelige vedlikeholdsvindu.

Planlagte vedlikeholdsvindu og patch-sykluser

OT-patching ma koordineres med produksjonens planlagte vedlikeholdsvindu. Disse vinduene er ofte kjent lang tid i forveien (planlagte fabrikkstopp, arlig vedlikehold), og OT-sikkerhetspatching bor vare en fast del av vedlikeholdsplanleggingen. En typisk OT-patch-syklus inkluderer: 6-8 uker forarbeid (identifisere patches, leverandorvurdering), 2-4 uker testing i testmiljo, og deployering i vedlikeholdsvindu. (ISA/IEC 62443, 2022)

[PERSONAL EXPERIENCE] I vart arbeid med norske industrivirksomheter er den vanligste utfordringen at OT-sikkerhet ikke er inkludert i vedlikeholdsplanlegging fra starten. Sikkerhetsteamet ber om patching, men vedlikeholdsvinduet er fullt. Losningen er a inkludere OT-sikkerhets-patchplanlegging i produksjonens arsplanlegging, pa linje med mekanisk og elektrisk vedlikehold.

Leverandørgodkjenning og testprosess

Mange OT-leverandorer krever at patches sertifiseres mot det spesifikke systemet for bruk. Siemens, Rockwell Automation og Schneider Electric publiserer alle leverandorgodkjente patchlister for sine produkter. Uten leverandorgodkjenning risikerer man a ugyldiggjore support-kontrakter og potensielt introdusere stabilitetsproblemer. Sjekk alltid leverandorens sikkerhetssider og security bulletins for patches pa dine OT-systemer. (CISA ICS-CERT, 2025)

Testprosessen for OT-patches bor gjennomfores i et testmiljo som reflekterer produksjonsmiljoet sa naert som mulig. Ideelt er dette et dedikert OT-lab-miljo; i praksis er det ofte bare mulig a teste pa avdelt produksjonsutstyr i dedikerte testmodus. Minimumstest er: (1) installasjon kjorer uten feil, (2) systemet starter og kjorer som normalt, (3) kommunikasjon med tilkoblede systemer fungerer som forventet.

End-of-Life OT-utstyr: Strategier for å håndtere det

28% av OT-enheter i industrielle miljoer er end-of-life (EOL) og mottar ingen sikkerhetsoppdateringer fra leverandor (Claroty, 2025). For EOL-utstyr er patchingen umulig; man er avhengig av andre beskyttelsesstrategier. De tre hovdstrategiene er: nettverksisolasjon (plasser EOL-enheter i eget, strengt isolert nettverkssegment), kompenserende kontroller (implementer virtuelle patches og overvaking rundt EOL-enheter), og utskiftingsplan (lag en dokumentert plan for utskifting med tidslinje og budsjett).

EOL-utstyr som er kritisk for produksjonen og ikke kan erstattes pa kort sikt, krever en formell risikoaksept fra ledelsen. Dette dokumenterer at ledelsen er informert om risikoen og har valgt a akseptere den med kompenserende tiltak pa plass, i stedet for blindt a ignorere sarbarhetsproblemet.

Løpende sårbarhetsoversikt og -overvåking

En OT-sarbarhetshardteringsprosess krever lopende sarbarhetsoversikt: systematisk identifikasjon av nye sarbarheter i dine OT-systemer ettersom de avdekkes. Abonner pa: CISA ICS-CERT alerts (gratis), leverandorenes security bulletins for dine spesifikke produkter, og Dragos eller Claroty-plattformens integrerte sarbarhetsfeed om du bruker disse. Interne passive overvakingsverktoy kan ogsa matche observerte OT-enheter mot CVE-databaser. (CISA ICS-CERT, 2025)

Malet er en levende sarbarhetsdatabase for alle OT-eiendeler som oppdateres automatisk nar nye CVE-er avdekkes, og gir sikkerhetsteamet umiddelbar varsling nar nye kritiske sarbarheter angår dine spesifikke systemer.

Ofte stilte spørsmål

Hva er CISA KEV og hvorfor er det viktig for OT?

CISA KEV (Known Exploited Vulnerabilities) er en katalog over sarbarheter med dokumentert aktiv utnyttelse i naturen. For OT-sarbarhetsprioritering er KEV en kritisk ressurs: sarbarheter pa KEV-listen bor behandles som urgent, uavhengig av CVSS-score, fordi de aktivt angripes. Abonner pa KEV-oppdateringer via CISA og verifiser regelmessig om noen av dine OT-systemer er rammet. (CISA KEV, 2025)

Kan vi patche OT-systemer mens de er i drift?

Sjelden og bare under strenge betingelser: leverandorgodkjent hot-patch, testet i testmiljo, med rollback-plan klar. De fleste OT-systemer krever omstart for patches og ma derfor patches i vedlikeholdsvindu. Noen SCADA-systemer kan oppdateres med failover-arkitektur der en node oppdateres mens den andre er aktiv. Koordiner alltid med driftsorganisasjonen og leverandor.

Hva er virtuell patching og hvor lenge kan vi bruke det?

Virtuell patching er nettverkstiltak (brannmurregler, IDS-signaturer) som blokkerer kjent utnyttelse av en sarbarhet uten a installere selve patchen. Det er en midlertidig losning, ikke en permanent erstatning. Bruk det til neste vedlikeholdsvindu nar faktisk patching kan gjennomfores. For EOL-systemer der patching er umulig, er virtuell patching del av en langsiktig risikostrategi. (SANS ICS, 2024)

Hva gjor vi med OT-utstyr som ikke mottar patches fra leverandor?

For EOL-utstyr uten leverandorsupport: (1) Streng nettverksisolasjon, (2) Implementer kompenserende tiltak (virtuell patching, overvaking), (3) Dokumenter risikoaksept fra ledelsen, (4) Lag en prioritert utskiftingsplan med tidslinje. Etterspor ogsa om leverandoren tilbyr utvidet support (Extended Security Updates) for eldre systemer, noe Microsoft gjor for Windows-plattformer.

Konklusjon

OT-sarbarhetshardtering krever en tilnarming som er fundamentalt annerledes enn IT-patch-management. Risikobasert prioritering, virtuell patching som kompenserende tiltak og planlagte vedlikeholdsvindu er de tre pilarene i effektiv OT-sarbarhetshardtering.

Det viktigste skrittet er a integrere OT-sikkerhets-patchplanlegging i produksjonens driftsplanlegging. Sa lenge OT-sikkerhet behandles som en separat IT-funksjon uten tilgang til vedlikeholdsvinduene, vil 40% av kritiske sarbarheter forbli upatchet.