隨著技術的進步和網絡互聯,您的數字資產和設備可能會有意無意的連接到公共互聯網,不知不覺中面臨到更高的網絡攻擊風險。美國國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)建議在緊張局勢加劇之際,關鍵基礎設施的資產所有者和運營商必須立即采取措施,確保其OT(Operational Technology)資產的安全。
近幾個月來,工業自動化巨頭羅克韋爾(Rockwell Automation)自動化產品接連曝出多個嚴重漏洞,緊急向其全球客戶發布了指導意見,要求他們立即采取行動切斷所有未設計用于連接互聯網的工業控制系統(ICS)與互聯網的連接,原因是全球地緣政治局勢緊張,針對羅克韋爾設備的網絡攻擊活動日益猖獗。
羅克韋爾官網消息:https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1672.html
羅克韋爾表示,網絡安全人員絕不應將此類工控系統設備配置為允許來自本地網絡以外的系統遠程連接。通過斷開互聯網連接作為積極防御措施,企業可以大幅減少自身遭受攻擊的風險面,確保惡意人員無法直接訪問尚未修復安全漏洞的羅克韋爾工控系統,從而阻止攻擊者獲取目標內部網絡的訪問權限。
羅克韋爾還提醒客戶采取必要的緩解措施,以保護其設備免受以下影響Rockwell ICS設備的安全漏洞的攻擊(其中包括五月份最新披露的多個嚴重漏洞):
現有設備保護措施
目前,對類似曝出有高危漏洞的工控設備,羅克韋爾一般采取以下措施:
1、將受影響設備升級到廠家最新版本的固件,以便不再受到這些漏洞的影響。
2、在工控設備前部署安全防護設施,以防止工控設備被攻擊。
由于工業現場的特殊性,一般工控設備部署完成后,基本是處于長期穩定運行狀態,一年僅會有半個月到一個月左右的檢修停機時間,即使利用檢修時間去對工控設備進行固件升級,也可能存在內部程序被刷新或者被清空的風險,一旦生產控制程序被清空,那么其造成的損失和恢復成本都是極大的,所以在現場進行固件升級的可行性比較小。
那么第2種方案,在工控設備前部署安全防護設施是目前比較可行的防護方案。通過在PLC前部署工業防火墻,來對PLC設備進行安全防護的功能,如下圖所示:
該方案也滿足《工業控制系統信息安全防護指南》和《GB/T22239-2008 信息系統安全等級保護基本要求》。
