隨著技術(shù)的進(jìn)步和網(wǎng)絡(luò)互聯(lián),您的數(shù)字資產(chǎn)和設(shè)備可能會(huì)有意無意的連接到公共互聯(lián)網(wǎng),不知不覺中面臨到更高的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。美國國家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)建議在緊張局勢加劇之際,關(guān)鍵基礎(chǔ)設(shè)施的資產(chǎn)所有者和運(yùn)營商必須立即采取措施,確保其OT(Operational Technology)資產(chǎn)的安全。
近幾個(gè)月來,工業(yè)自動(dòng)化巨頭羅克韋爾(Rockwell Automation)自動(dòng)化產(chǎn)品接連曝出多個(gè)嚴(yán)重漏洞,緊急向其全球客戶發(fā)布了指導(dǎo)意見,要求他們立即采取行動(dòng)切斷所有未設(shè)計(jì)用于連接互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)(ICS)與互聯(lián)網(wǎng)的連接,原因是全球地緣政治局勢緊張,針對(duì)羅克韋爾設(shè)備的網(wǎng)絡(luò)攻擊活動(dòng)日益猖獗。
羅克韋爾官網(wǎng)消息:https://www.rockwellautomation.com/en-us/trust-center/security-advisories/advisory.SD1672.html
羅克韋爾表示,網(wǎng)絡(luò)安全人員絕不應(yīng)將此類工控系統(tǒng)設(shè)備配置為允許來自本地網(wǎng)絡(luò)以外的系統(tǒng)遠(yuǎn)程連接。通過斷開互聯(lián)網(wǎng)連接作為積極防御措施,企業(yè)可以大幅減少自身遭受攻擊的風(fēng)險(xiǎn)面,確保惡意人員無法直接訪問尚未修復(fù)安全漏洞的羅克韋爾工控系統(tǒng),從而阻止攻擊者獲取目標(biāo)內(nèi)部網(wǎng)絡(luò)的訪問權(quán)限。
羅克韋爾還提醒客戶采取必要的緩解措施,以保護(hù)其設(shè)備免受以下影響Rockwell ICS設(shè)備的安全漏洞的攻擊(其中包括五月份最新披露的多個(gè)嚴(yán)重漏洞):
現(xiàn)有設(shè)備保護(hù)措施
目前,對(duì)類似曝出有高危漏洞的工控設(shè)備,羅克韋爾一般采取以下措施:
1、將受影響設(shè)備升級(jí)到廠家最新版本的固件,以便不再受到這些漏洞的影響。
2、在工控設(shè)備前部署安全防護(hù)設(shè)施,以防止工控設(shè)備被攻擊。
由于工業(yè)現(xiàn)場的特殊性,一般工控設(shè)備部署完成后,基本是處于長期穩(wěn)定運(yùn)行狀態(tài),一年僅會(huì)有半個(gè)月到一個(gè)月左右的檢修停機(jī)時(shí)間,即使利用檢修時(shí)間去對(duì)工控設(shè)備進(jìn)行固件升級(jí),也可能存在內(nèi)部程序被刷新或者被清空的風(fēng)險(xiǎn),一旦生產(chǎn)控制程序被清空,那么其造成的損失和恢復(fù)成本都是極大的,所以在現(xiàn)場進(jìn)行固件升級(jí)的可行性比較小。
那么第2種方案,在工控設(shè)備前部署安全防護(hù)設(shè)施是目前比較可行的防護(hù)方案。通過在PLC前部署工業(yè)防火墻,來對(duì)PLC設(shè)備進(jìn)行安全防護(hù)的功能,如下圖所示:
該方案也滿足《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》和《GB/T22239-2008 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》。
