那天凌晨三点,我正梦见自己在海边度假——突然手机震得像要炸开。“张工,出大事了!整条焊装线全停!” 我一激灵爬起来,后背瞬间湿透。赶到现场,HMI上红光闪烁,PLC故障灯疯了一样跳。不是停电。不是机械卡死。是有人远程改掉了急停逻辑。
一次“教科书级”的攻击,但比教科书更蠢的是我们的疏忽
事后复盘,攻击手法并不高明:攻击者通过一台暴露在公网的工程师站——对,就是那台为了远程运维方便、常年开着TeamViewer的电脑——拿到了入口。这台机器连防火墙都没挂,直接内网可达。然后利用S7comm协议102端口,发包读取DB块,重写了关键的联锁变量。前后不到十分钟。
我盯着Wireshark抓包数据,手心出汗:TCP连接建立,S7读写请求,确认响应……一切看起来都像正常操作。因为我们根本没部署任何工业协议深度检测。你问日志?有。但全是“连接成功”之类的废话。
更让人窝火的是——上周安全厂商来做评估,还建议我们在PLC前端加装工业防火墙。我们嫌贵,领导说“生产优先”。现在好,停产八小时,损失够买一百台防火墙。❗教训直接刻在脑门:IT安全那套“边界防护”思维,在OT环境里就是纸糊的墙。因为攻击一旦进入控制网络,根本没有二次认证。
问:我们很多设备是10年前的,系统根本没法打补丁,这种“裸奔”情况怎么办?
答:怼回去:“没法打补丁”不是不防护的借口。老实说,这类问题我遇到过不下五十遍。对策分三步:✅网络微隔离——哪怕在同一产线,也把关键控制器和普通传感器划到不同VLAN,用防火墙做访问控制,只允许必要指令通过。✅行为基线——在交换机旁路部署看得懂Modbus、EtherNet/IP的流量传感器,学习正常通信模式,一旦出现非预期的写操作立刻告警。✅物理管控——给PLC柜上锁,强制U盘杀毒,工程师站断外网。别笑,很多攻击就是从U盘蹦进来的。所谓“零信任”,在老旧设备上就得靠这些笨办法堆出来。
问:现在大部分威胁情报都是针对IT网络的,OT环境怎么获取有效的威胁情报?
答:这是个好问题,也戳中了行业的痛处。坦白讲,直接照搬IT威胁情报到OT,轻则无效,重则误报警淹死自己。💡我们实践下来,比较靠谱的做法是定制化蜜罐+行业社群共享。在公网或DMZ区布置模仿真实PLC/SCADA的蜜罐,吸引攻击者,分析他们的工具和手法——这些第一手数据比通用情报有用十倍。另外,加入一些靠谱的ISAC(信息共享与分析中心),像针对制造业的MFG-ISAC,定期能拿到针对工业控制系统的IOC。不过话说回来,最关键的还是内部运维审计——大部分安全事故不是外部黑客多高明,而是内部人员误操作或权限滥用。定期审计工程师站的操作记录,比追着漏洞情报跑更实际。
5G、IIoT……便利的另一面
这几年,无线传感器、边缘计算节点铺得满厂区都是。感觉确实爽,数据大屏一亮,OEE蹭蹭涨。但每增加一个数字化的触角,攻击面就拓宽一寸。上个月,我们一个测试中的振动传感器,因为固件没更新,直接成了Mirai僵尸网络的一员。你敢信?一个振动传感器!它居然有公网IP,还跑着Telnet服务。所以现在上任何联网设备,我都坚持“出生证明”——默认口令必须改、能断外网就断、能走私有协议就别用标准协议。
工业网络安全这事儿,永远没有一劳永逸。它不是买个盒子插上就高枕无忧的买卖。你得时刻绷着弦,假设自己已经被突破,到处找证据。因为真正的危险,往往藏在你最信任的那个“老伙计”身上——比如那台用了十年、从不关机的控制器。从现在开始,别再把OT安全当成IT安全的附属品。那不一样。
免责声明:文章内容来自互联网,本站仅作为分享,不对其真实性负责,如有侵权等情况,请与本站联系删除。
转载请注明出处:工业网络安全:一次深夜告警后的“灵魂拷问” https://www.dachanpin.com/a/tg/55355.html
