Bahagian automasi, bekalan seluruh dunia
0
How to Harden PLCs Against Cyber Threats in Factories?

Bagaimana Memperkuat PLC Terhadap Ancaman Siber di Kilang?

Artikel teknikal ini mengkaji keselamatan PLC dan DCS dari perspektif jurutera, menerangkan kelemahan pada tahap protokol (Modbus, Profinet), prosedur pengukuhan langkah demi langkah, amalan pengaturcaraan selamat, dan data kes sebenar dari kemudahan automotif dan rawatan air. Ia menyediakan panduan praktikal untuk segmentasi rangkaian, konfigurasi firewall, aliran kerja kemas kini firmware, dan pengukuhan akses jauh.

Memahami Permukaan Serangan PLC dan DCS Moden

Pengawal logik boleh atur dan sistem kawalan diedarkan membentuk sistem saraf automasi industri. Berbeza dengan pelayan IT perusahaan, peranti ini mengutamakan masa deterministik dan ketersediaan tinggi berbanding ciri keselamatan. Akibatnya, kebanyakan pengawal tidak mempunyai perlindungan asas seperti komunikasi disulitkan, pemeriksaan integriti, atau kawalan akses berasaskan peranan. Apabila rangkaian pengeluaran disambungkan ke IT korporat atau platform awan, permukaan serangan berkembang dengan ketara. Satu port Ethernet tanpa perlindungan pada PLC boleh mendedahkan keseluruhan barisan pengilangan kepada kompromi jauh.

Analisis Mendalam: Kelemahan Tahap Protokol yang Perlu Diketahui Jurutera

Protokol industri direka beberapa dekad lalu untuk kesederhanaan dan kelajuan. Keselamatan tidak pernah menjadi matlamat reka bentuk. Memahami kelemahan teknikal ini membantu jurutera memilih kawalan pengimbang yang sesuai.

Modbus TCP: Tiada Pengesahan, Tiada Penyulitan

Modbus TCP menggunakan kod fungsi 01-06 untuk operasi baca dan tulis. Mana-mana peranti yang boleh mencapai port 502 boleh menghantar arahan tulis sewenang-wenangnya. Tiada konsep sesi, tiada identiti pengguna, dan tiada pemeriksaan integriti mesej. Penyerang yang mendapat akses rangkaian boleh menghentikan motor, membuka injap, atau mengubah setpoint tanpa meninggalkan log pengesahan. Satu-satunya perlindungan adalah pengasingan lapisan rangkaian atau pintu gerbang lapisan aplikasi yang menapis kod fungsi.

Profinet dan EtherNet/IP: Terdedah kepada Serangan Suntikan

Protokol masa nyata ini bergantung pada pertukaran data kitaran. Mereka tidak mengesahkan sumber data IO. Peranti berniat jahat yang menyamar sebagai pengawal IO boleh menyuntik bacaan sensor palsu. Sebaliknya, penyerang boleh meniru telegram keselamatan dan menyebabkan pemberhentian kecemasan. Tanpa segmentasi atau pemeriksaan paket mendalam, serangan ini tidak dikesan.

OPC Classic: Bergantung pada Kelemahan Keselamatan DCOM

Banyak sistem DCS warisan menggunakan OPC DA (Akses Data) yang bergantung pada Microsoft DCOM. DCOM mempunyai sejarah panjang kelemahan pelaksanaan kod jauh. Selain itu, OPC Classic tidak menyokong penyulitan secara asli. Penyerang yang mengkompromi pelayan OPC boleh membaca atau menulis mana-mana tag proses. Migrasi ke OPC UA dengan keselamatan diaktifkan adalah jalan yang disyorkan.

Panduan Pengukuhan Teknikal: Langkah demi Langkah untuk Jurutera Lapangan

Prosedur berikut mengandaikan anda mempunyai akses fizikal atau akses jauh yang selamat ke pengawal. Sentiasa lakukan perubahan ini semasa tetingkap penyelenggaraan yang dirancang dan sahkan operasi selepas itu.

Langkah 1: Lakukan Audit Asas Keselamatan

Sambungkan ke setiap PLC menggunakan perisian kejuruteraan. Rekodkan perkara berikut: versi firmware, protokol yang diaktifkan (HTTP, FTP, SNMP, Telnet), port TCP/UDP terbuka, akaun pengguna yang dikonfigurasikan, dan tarikh perubahan kata laluan terakhir. Gunakan hamparan untuk menjejaki penyimpangan dari piawaian keselamatan anda. Untuk pengawal Siemens S7, periksa tahap akses yang dikonfigurasikan dalam sifat perkakasan. Untuk pengawal Rockwell, semak tetapan perlindungan pengawal dalam Studio 5000.

Langkah 2: Kuatkan Konfigurasi Pengawal

Nyahaktifkan semua protokol yang tidak digunakan. Pada PLC biasa, matikan pelayan web, FTP, SNMP, dan mana-mana port penyelenggaraan proprietari. Untuk port Ethernet, nyahaktifkan rundingan automatik perkhidmatan yang tidak digunakan. Tukar alamat rak/slot lalai jika protokol membenarkan penomboran. Pada pengawal Rockwell Logix, tetapkan port yang tidak digunakan ke mod "Disable" dan aktifkan "Perlindungan Sistem" dengan kunci unik.

Langkah 3: Laksanakan Kawalan Akses yang Kukuh

Cipta akaun pengguna individu untuk setiap jurutera. Elakkan menggunakan akaun lalai "admin" atau "engineer". Untuk sistem yang menyokong akses berasaskan peranan, tentukan sekurang-kurangnya tiga peranan: operator (baca sahaja), juruteknik (baca dan arahan manual), dan jurutera (akses penuh program). Tetapkan peraturan kerumitan kata laluan: minimum 12 aksara, huruf besar, huruf kecil, nombor, dan simbol. Tukar kata laluan kilang lalai sebelum menyambungkan PLC ke mana-mana rangkaian.

Langkah 4: Terapkan Perlindungan Tahap Rangkaian

Letakkan setiap PLC di belakang firewall industri yang memeriksa kandungan protokol. Cipta peraturan firewall yang membenarkan hanya alamat IP sumber tertentu untuk setiap jenis trafik. Contohnya, benarkan trafik HMI ke PLC pada port protokol 44818 (EtherNet/IP) tetapi sekat trafik perisian pengaturcaraan (port 2222) kecuali dari satu stesen kerja kejuruteraan khusus. Gunakan VLAN untuk memisahkan PLC keselamatan daripada PLC kawalan standard. Laksanakan pengesahan port 802.1X pada port suis untuk menghalang sambungan peranti tidak sah.

Langkah 5: Wujudkan Aliran Kerja Kemas Kini Firmware yang Selamat

Jangan sekali-kali mengemas kini firmware terus dari laman web vendor melalui internet. Muat turun binari firmware pada komputer yang dipercayai dan luar talian. Sahkan tandatangan digital fail tersebut. Uji kemas kini pada pengawal yang sama dalam persekitaran makmal selama sekurang-kurangnya 40 jam operasi simulasi. Dokumentasikan prosedur pemulihan sekiranya kemas kini gagal. Terapkan kemas kini hanya semasa waktu henti yang dijadualkan, jangan semasa proses berjalan.

Langkah 6: Konfigurasikan Pencatatan dan Pemberitahuan

Aktifkan penghantaran syslog jika PLC menyokongnya. Untuk pengawal tanpa log asli, gunakan tap rangkaian untuk memantau trafik dan menjana amaran untuk acara tertentu: muat turun program, perubahan mod dari run ke program, IO paksa, atau percubaan log masuk gagal berulang. Hantar log ke SIEM pusat dengan peraturan korelasi khusus OT. Tetapkan tahap keterukan amaran supaya perubahan program semasa waktu luar operasi mencetuskan siasatan segera.

Panduan Teknikal Lanjutan: Amalan Pengaturcaraan PLC yang Selamat

Keselamatan harus meluas ke dalam logik itu sendiri. Teknik pengaturcaraan ini menambah pertahanan mendalam di dalam pengawal.

  • Melaksanakan pengesahan checksum: Kira pemeriksaan redundansi kitaran bagi blok logik kritikal semasa permulaan. Simpan nilai yang diketahui baik dalam memori tahan lama. Jika checksum tidak sepadan, picu keadaan selamat dan beri amaran kepada pengendali.
  • Gunakan pemasa pengawas untuk kehilangan komunikasi: Untuk sebarang komunikasi IO jauh atau HMI, tetapkan pemasa pengawas. Jika mesej kitaran yang dijangka tidak tiba dalam masa tamat, alihkan output ke posisi selamat yang telah ditetapkan. Ini menghalang data lapuk atau palsu daripada menyebabkan pergerakan berbahaya.
  • Sahkan semua input HMI dalam PLC: Jangan pernah percaya bahawa HMI menghantar nilai yang sah. Dalam logik PLC, periksa bahawa setpoint analog kekal dalam julat minimum dan maksimum yang selamat. Untuk arahan diskret, sahkan bahawa urutan adalah sah. Tolak sebarang arahan yang di luar julat atau urutan.
  • Pisahkan logik keselamatan daripada logik standard: Gunakan PLC keselamatan khusus atau IO berpenarafan keselamatan untuk fungsi henti kecemasan dan perlindungan. PLC standard tidak harus mempunyai akses tulis ke output keselamatan. Pengasingan ini memastikan walaupun PLC standard yang dikompromi sepenuhnya tidak dapat menggantikan fungsi keselamatan.

Kes Teknikal Dunia Sebenar: Kilang Automotif Melindungi 320 PLC

Sebuah kemudahan kuasa pemanduan automotif besar dengan 320 PLC (Siemens S7-1200 dan S7-1500) menghadapi cubaan akses tanpa kebenaran berulang dari komputer riba kontraktor yang dikompromi. Pasukan kejuruteraan kilang melaksanakan program keselamatan sistematik dengan langkah teknikal berikut.

  • Melakukan inventori dan menemui 47 PLC dengan kata laluan lalai masih aktif.
  • Menukar semua kelayakan lalai dan mengkonfigurasi penuaan kata laluan kepada 90 hari.
  • Melumpuhkan pelayan web dan FTP pada semua pengawal melalui operasi kumpulan TIA Portal.
  • Melaksanakan segmentasi rangkaian: lima zon OT dipisahkan oleh firewall Siemens Scalance.
  • Mewujudkan peraturan firewall yang ketat: benarkan hanya trafik Profinet IO (port 34962-34964) antara PLC dan IO jauh; benarkan hanya komunikasi S7 (port 102) dari HMI dan SCADA tertentu; blok semua trafik lain.
  • Mengemas kini firmware pada semua 320 PLC dari versi 2.6 ke 3.0 selepas ujian makmal.
  • Mengaktifkan penghantaran syslog ke SIEM berpusat dengan amaran untuk acara muat turun program.

Keputusan diukur selepas 90 hari: Cubaan log masuk tanpa kebenaran menurun daripada 487 kepada 39 sebulan (pengurangan 92%). Masa henti pengeluaran akibat insiden berkaitan siber turun daripada 6 kejadian kepada 0. Masa untuk mengesan muat turun program yang luar biasa berkurang daripada 14 jam kepada 12 minit. Jumlah kos projek adalah $180,000, yang menghalang serangan ransomware berpotensi yang dijangka menelan kos $4.2 juta bagi setiap minggu masa henti.

Kes Teknikal: Kemudahan Rawatan Air Mengurangkan Suntikan Modbus

Kemudahan rawatan air bandar mengendalikan 85 PLC menggunakan Modbus TCP pada rangkaian rata. Pengendali memerhati tindakan injap dan permulaan pam secara berselang tanpa arahan dari HMI. Siasatan mendedahkan peranti tanpa kebenaran dalam rangkaian menyuntik Kod Fungsi 05 (tulis gegelung tunggal) dan Kod Fungsi 16 (tulis berbilang daftar).

Pasukan kejuruteraan melaksanakan langkah-langkah balas teknikal berikut:

  • Memasang firewall industri (Tofino) dalam mod telus antara suis utama dan subnet PLC.
  • Mewujudkan senarai putih transaksi Modbus yang dibenarkan: hanya permintaan baca (Kod Fungsi 01,02,03,04) dari alamat IP HMI dan SCADA.
  • Membenarkan permintaan tulis (Kod Fungsi 05,06,15,16) hanya dari satu IP workstation kejuruteraan khusus, dan hanya semasa tetingkap penyelenggaraan yang ditetapkan menggunakan ACL berasaskan masa.
  • Mengaktifkan pemeriksaan paket mendalam untuk mengesahkan alamat daftar kekal dalam julat yang dikonfigurasikan.

Keputusan: Dalam bulan pertama, firewall menyekat 1,200 kod fungsi Modbus berniat jahat. Arahan tulis tanpa kebenaran ke PLC pam kritikal berhenti sepenuhnya. Pengendali kembali yakin sepenuhnya dengan integriti kawalan. Penyelesaian berharga $25,000, mengelakkan denda alam sekitar dan gangguan perkhidmatan.

Panduan Jurutera untuk Konfigurasi Akses Jauh Selamat

Sokongan jauh untuk PLC adalah perlu dari segi operasi tetapi berisiko dari segi teknikal. Ikuti corak konfigurasi tepat ini.

  • Pasang pemusat VPN OT khusus: Gunakan peranti firewall yang menyokong IPsec atau OpenVPN. Letakkan di DMZ antara IT dan OT. Jangan gunakan VPN IT korporat untuk akses OT.
  • Konfigurasikan MFA untuk setiap pengguna: Mewajibkan kedua-dua sijil atau token perkakasan serta kata laluan. Integrasi dengan direktori LDAP khusus OT.
  • Laksanakan sekatan berdasarkan masa dan sumber: Benarkan akses jauh hanya semasa waktu yang diluluskan dan dari alamat IP awam tertentu pejabat vendor.
  • Gunakan hos lompat dengan rakaman sesi: Mewajibkan pengguna jauh untuk terlebih dahulu berhubung ke mesin Windows yang dikunci dalam zon OT. Semua perisian pengaturcaraan PLC hanya dijalankan pada hos lompat itu. Rakam video penuh dan log kekunci.
  • Gunakan kelayakan sekali sahaja: Jana kata laluan VPN unik untuk setiap sesi. Batalkan secara automatik selepas 8 jam. Putar kelayakan admin tempatan hos lompat selepas setiap lawatan vendor.

Menyelesaikan Masalah Biasa Pelaksanaan Keselamatan PLC

Jurutera sering menghadapi masalah tertentu apabila melaksanakan kawalan keselamatan. Berikut adalah penyelesaian teknikal.

  • Isu: Selepas menukar kata laluan lalai, perisian kejuruteraan tidak dapat berhubung dalam talian.
    Penyelesaian: Kosongkan kelayakan yang disimpan dalam pendaftaran workstation kejuruteraan atau pengurus kelayakan. Sesetengah platform (Rockwell) memerlukan kuasa PLC dimatikan dan dihidupkan semula supaya kata laluan baru berkuat kuasa pada semua sesi.
  • Isu: Firewall menyekat trafik IO sah selepas segmentasi.
    Penyelesaian: Gunakan pencerminan port untuk menangkap trafik semasa pengeluaran. Analisis tangkapan paket untuk mengenal pasti semua pasangan sumber/destinasi dan port protokol yang diperlukan. Cipta peraturan benarkan berdasarkan trafik yang diperhatikan ini, kemudian tukar ke mod sekat.
  • Isu: Kemas kini firmware gagal dan PLC masuk ke mod berhenti.
    Penyelesaian: Sebelum sebarang kemas kini, sahkan bahawa versi firmware baru menyokong revisi perkakasan yang tepat. Gunakan alat pemulihan vendor (contohnya, Siemens SIMATIC Field PG) untuk kembali ke firmware sebelumnya. Sentiasa simpan sandaran binari firmware asal pada pemacu USB luar talian.

Soalan Lazim Dari Jurutera Lapangan

Bagaimana saya boleh mengesahkan jika PLC telah diubah suai?

Bandingkan logik berjalan semasa dengan sandaran yang diketahui baik yang disimpan secara luar talian. Gunakan alat perbandingan dalam perisian kejuruteraan (contohnya, "Compare Online/Offline" dalam TIA Portal atau "Compare Logic" dalam Studio 5000). Semak cap tarikh dan masa muat turun program terakhir. Semak log dalaman PLC jika ada. Untuk aplikasi kritikal, laksanakan pengesahan checksum masa nyata dalam logik.

Apakah cara paling selamat untuk menguji peraturan firewall tanpa mengganggu pengeluaran?

Pasang firewall dalam mod jambatan telus dengan log sahaja untuk minggu pertama. Rekod semua trafik yang akan disekat. Semak log untuk mengenal pasti positif palsu. Kemudian tukar ke mod sekatan semasa tetingkap penyelenggaraan. Gunakan sepasang firewall dalam mod failover supaya satu boleh dipintas jika laluan komunikasi kritikal tersilap disekat.

Bolehkah saya menggunakan pengimbas kerentanan IT standard pada rangkaian PLC?

No. Pengimbas aktif yang menghantar paket yang rosak atau cuba log masuk lalai boleh menyebabkan PLC lama terhenti. Gunakan alat pemantauan OT pasif yang menganalisis trafik sedia ada tanpa menghasilkan probe. Jika pengimbasan aktif diperlukan, gunakan alat khusus vendor (contohnya, Rockwell Safety Assurance Tool atau Siemens Sinema Remote Connect) yang memahami had protokol industri.

Cadangan Teknikal Akhir untuk Jurutera Kawalan

Keselamatan untuk PLC dan DCS bukan pilihan dalam automasi industri moden. Mulakan dengan satu sel pengeluaran sebagai projek perintis. Laksanakan pengukuhan kata laluan, penguncian port, dan segmentasi rangkaian. Ukur pengurangan dalam kejadian anomali. Kembangkan ke seluruh fasiliti secara berperingkat. Dokumentasikan setiap perubahan konfigurasi dalam asas keselamatan yang dikawal versi. Tetapkan pemilikan untuk setiap pengawal kepada jurutera tertentu. Anggap keselamatan sebagai disiplin kejuruteraan berterusan, bukan latihan pematuhan sekali sahaja. Kilang yang mengintegrasikan amalan teknikal ini mengurangkan risiko siber dan masa henti yang tidak dirancang.

Allen-Bradley PLCs Boost Smart Manufacturing Sebelumnya

PLC Allen-Bradley Meningkatkan Pembuatan Pintar

Seterusnya

Apakah Langkah Teknikal untuk Melaksanakan Edge dengan PLC?

What Are the Technical Steps to Deploy Edge with PLCs?
Kembali ke Blog