这事发生在上个月。朋友老张负责的注塑车间突然全线停机,不是停电,不是模具故障,而是——勒索病毒。他们IT部门的人还在排查,老张已经在生产现场急得跳脚。“不是有防火墙吗?!”他吼。可那防火墙只护着办公网,车间里几十台PLC、HMI全都直接暴露着。
说实话,这场景在中小型制造企业里,常见得令人心惊。
曾经的信条:物理隔离就是金钟罩
过去二十年,工程师们坚信只要工控网络不接互联网,就能高枕无忧。震网病毒(Stuxnet)打了所有人的脸——你还记得吗?那玩意儿通过U盘跳进了伊朗核设施,把离心机玩得团团转。但很多人直到今天还抱着老黄历。❗
现在呢?工业物联网(IIoT)推着你联网,MES要数据、远程运维要通道、老板想在手机看产能……一来二去,那道“隔离墙”早千疮百孔了。更扎心的是,很多工程师根本不知道车间里哪台设备开着Telnet端口,密码还是厂商默认的admin/admin。💡
问:我们厂用的西门子S7-1200,从来不打补丁,反正又不连外网,风险应该不大吧?
答:风险不大?去年有个案例,一家汽车零部件厂因为一台未打补丁的S7-1200被攻击,导致焊装线停摆了整整三天。攻击者用的就是著名的“PLC-Blaster”蠕虫,它只需要一个内网入口。旧设备漏洞百出,而且往往没有厂家支持,简直就是给黑客留的后门。打补丁确实麻烦,但总比停产强。你现在就可以检查一下PLC的CPU型号,去CVE漏洞库搜搜,结果可能会让你冒冷汗。✅
IT那一套,放到OT环境里怎么就不灵了?
IT安全高手到了车间,常常碰一鼻子灰。因为工业网络讲究的是可用性第一,完整性第二,机密性第三——跟IT正好反着。你不可能在PLC前突然拔网线因为主机上扫出个风险,那意味着产线停了,损失直接按分钟算。而且那些工业协议——Modbus、Profinet、EtherNet/IP——设计时根本没考虑过加密认证。说句不好听的,协议里发个stop指令,根本不需要你是谁。😱
我见过最荒谬的场景:一家精细化工企业的IT团队坚持给DCS打补丁、装杀毒软件,结果直接导致反应釜温度读数延迟了两秒,差点出事故。OT的实时性,IT的人根本理解不了。反过来,OT工程师又觉得安全是矫情,“咱这系统都有二十年了,谁能攻进来?”
不过话说回来,双方现在不得不握手了。ISA/IEC 62443标准慢慢在推,但落地效果嘛……至少2024年,我见到的多数工厂只是把办公网和生产网中间加了个工业级防火墙,配置都还是默认的。
问:上了网络分段防火墙,是不是就不用管终端安全了?
答:你想得美。防火墙只能管横向移动,可要是某个工程师的笔记本先感染了病毒,插上线直接调试PLC呢?或者供应商远程进来维护,开的VPN早已被攻陷?我亲身经历过一次,某注塑机厂家工程师来调试,随身U盘带毒,一插上HMI,整个车间网络都沦陷了。终端管控、USB端口禁用、远程访问审计,这些一个都不能少。而最根本的,还是得让每个人有安全意识。💡
2024年了,我们能做点啥实在的?
别被高大上的解决方案吓到。先从几个基本动作开始,就已经能挡住80%的攻击了。
第一,资产可视化。很多工厂连自己有多少台联网的设备都不清楚。用Nmap一扫,能吓你一跳——那些遗忘了的旧HMI、闲置的PLC,都可能成为跳板。画张拓扑图,标出每个资产、固件版本、开放的端口。这事很枯燥,但值得。
第二,网络分段,不是分着玩。至少把现场层、控制层、监控层、管理层隔开,用白名单策略——只允许必要的通信。别用IT那种“先全封再逐步开”的思路,在OT里你得先允许生产必需的流量,其余默认拒绝,否则一不留神就停了生产线。👉
第三,别迷信银弹。什么AI威胁检测、统一安全平台,听起来花哨,可基础没做好都是浮云。先把默认密码改了!先停掉不用的服务!这些小事比任何产品都重要。我曾经帮一家小厂做评估,仅仅改掉了十几个设备的默认密码,就堵上了最危险的漏洞,老板还以为要花一百万呢。😤
第四,人,还是人。工程师们别嫌麻烦,安全培训不是听PPT,而是实打实的情景演练。比如模拟一次钓鱼邮件导致产线停机的桌面推演,保证比说教有用一百倍。而且,以后招人,最好问一嘴:“OT和IT的安全区别是啥?” 答不上来的,哼,你懂的。
最后一件事:出了事别想着瞒。上报、复盘、改进,这才是现代企业该有的样子。我见过太多“悄悄处理”最终酿成大祸的例子了。工业网络安全没有终点,它像是设备维护,你得持续投入。但至少,从今天开始,别让你的PLC裸奔了。
免责声明:文章内容来自互联网,本站仅作为分享,不对其真实性负责,如有侵权等情况,请与本站联系删除。
转载请注明出处:工业网络安全:黑客盯上你的PLC之前,没人告诉你的事 https://www.dachanpin.com/a/tg/55913.html
