这事儿我得从头说。上周去一家汽配厂做安全诊断,产线停摆了——不是设备故障,是被勒索了。车间主任老张一脸懵:“我们明明装了防火墙啊!” 我看了看拓扑图,差点没背过气去:办公网和工控网之间,用的是一台消费级路由器做“隔离”,管理密码还是 admin。这就像是给金库装了个纸糊的门,然后大摇大摆贴个标签:“内有宝藏”。工业网络安全这玩意儿,说起来玄乎,其实栽跟头的全是最基础的地方。
隔离?你隔离了个寂寞
先科普个小背景。传统IT安全讲究边界防御,纵深隔离,一层套一层。但工业网络,对不起,不姓“IT”,姓“OT”。操作技术网络里的设备压根儿就没把安全当回事——西门子S7-1200出厂的默认端口敞着,施耐德M580固件十年没更新过,横河DCS系统的工程师站还跑着Windows XP。你以为用个VLAN就隔离了?工业协议深度包检测一上,你会发现Modbus指令直接穿透了所谓的“隔离区”,因为工业防火墙根本不做应用层校验。真做过工业控制系统安全评估的人都懂:没有协议级白名单,隔离就是自欺欺人。
我记起去年帮一家化工厂做渗透测试,从访客WiFi跳板进办公网,再通过一个未划分VLAN的交换机端口直接摸到了丙烯腈反应釜的控制器。心跳加速度——那是真正的过程安全风险,一旦出事是要炸的。我当时就在想:多少人还在把“物理隔离”当免死金牌?醒醒吧,承包商插过的U盘、被遗忘的远程维护拨号线路、还有员工私接的4G路由器,全是洞。
问:小厂是不是没人攻击?
答:纯属幻觉。去年有家做金属冲压的小企业,年产值才三千万,被Phobos勒索团队搞了。黑客才不管你是不是五百强,扫描工具一撒网,谁弱抓谁。他们的工业数据采集服务器连着公网,3389端口大开,RDP暴力破解一打就穿。备份?备份也存在同一台NAS上,一块儿锁了。后来花了二十几个比特币赎回数据——老总后槽牙差点咬碎。所以别觉得“我这破系统不值钱”,在攻击者眼里,这叫工业物联网边缘节点,是最好用的肉鸡跳板。
有些锅,还得人背
技术问题只是表,根儿在管理上。我见过最离谱的:某钢铁厂IT部和OT部互相甩锅,IT说“工控系统不归我们管”,OT说“我们只管生产不断线”。结果呢?工业网络安全管理制度成了真空地带。直到LockerGoga打进轧钢区,全线停了一天,领导才拍桌子。可那时候,产线停一分钟就是几十万的损失。
还有一回,一个年轻的自动化工程师跟我抱怨说:“不让我用TeamViewer远程维护,活儿没法干。”他直接从家里电脑连了车间触摸屏,密码是123456。我说:“你知道这跟裸奔有啥区别吗?”他后来被通报批评,委屈得很。可这就是现实——远程运维安全不落实,等于请贼进门。VPN加多因子认证、行为审计、最小权限,这些IT玩烂的东西,到了OT就是稀罕物。唉。
问:那到底怎么防?总不能因噎废食吧
答:防肯定有办法,但别想一步登天。我给工厂做方案,从来不讲什么高大上的“零信任架构”,先老老实实做三件事:资产可视化、网络分段、补丁管理。你连自己有多少台PLC、每台开什么端口都不清楚,安全就是瞎扯。其次,得把工业防火墙策略从“黑名单模式”扭成“白名单模式”——只有授权指令能过,其他一律拦。这痛苦,因为你要把生产业务梳理一遍,但长痛不如短痛。最后,补丁不是说打就打,工控系统要跟着检修窗口来,但你必须有个工业漏洞预警与补丁计划,不能摆烂。
我还想强调安全培训。不是那种念PPT的走过场。要拿着真实的工控攻击案例,告诉操作工:“你插个不明U盘,可能引发硫化氢泄漏。”他们才会怕。人天生对物理伤害敏感,对数据损失钝感。得把网络安全翻译成他们听得懂的语言。
别信“永远安全”这种鬼话
最后泼盆冷水。就算你把IEC 62443标准全部吃透,把所有工业网络安全解决方案都堆上,还是可能被突破。因为攻击者只消找到一条路径,防守者却要堵住所有口子。真正的安全感来自于检测与响应——你发现得够不够快,恢复得够不够猛。我特别推崇在工业控制系统网络里安装被动监听探针,做流量基线异常分析。当某个控制器突然有外联行为、或者OPC服务器半夜疯狂读取点位,马上告警。这比买一堆绣花枕头强十倍。
前几天,老张又给我打电话,说车间网络改造后,终于不见了那些莫名其妙的停工。我笑:“你早十年这么搞,省下的钱够买条新产线。” 他苦笑,说现在看见电脑右下角弹出‘已阻止外部攻击’就心惊。我说,这是好事儿——说明你的工业网络态势感知起作用了。恐惧才是最好的防御。
行了,啰嗦这么多,也不知道有几个人真听进去。反正锅自己背,路自己选。只是下次再看到哪个厂因为弱口令瘫了,别怪我没提醒。