我接触的大多数安全团队都具备合理的IT卫生:端点部署了EDR、SIEM接入Windows事件日志,有时Web应用前还有WAF。但当我问到工厂车间在运行什么时,答案通常是"西门子S7、三菱SCADA,说实话我们也不完全清楚还有什么"。
"我们有SOC"与"我们能看见OT环境"之间的差距——真正的风险就藏在那里。
从中国企业泰国工厂的角度看,这一差距具有更深远的合规含义。《网络安全法》、《数据安全法》及等保2.0(GB/T 22239-2019)均对工业控制系统提出明确的安全要求。工业控制系统安全专项要求(等保三级及以上)要求对工控网络实施安全监测。缺乏OT可见性不仅是安全风险,更可能直接影响等保评测结果。
架构问题
普渡模型(ISA-99)的设计初衷是将OT与IT隔离开来。理论上:Level 0-2是物理过程(PLC、传感器、执行器),Level 3是制造运营(MES、历史数据库),Level 4+是企业IT,3与4之间设有DMZ。互联网的任何东西都不应直接触及PLC。
然而实际上,这条边界在过去15年间被逐渐侵蚀,原因只有一个词:远程访问。
工厂工程师需要从家里SSH登录历史数据库;供应商需要VPN访问来更新自己设备的固件;管理层想在ERP中看到实时OEE仪表板。每一个需求单独来看都合理,但累积起来却把普渡模型打得千疮百孔。
最终留下的是这样的工厂网络:
- PLC运行2009年的固件,Modbus TCP上没有任何认证
- 历史数据库运行Windows Server 2012 R2(已停止支持,未打补丁,同时存在于L3和L4)
- 供应商VPN集中器直接部署在OT网段,使用供应商设置后从未轮换过的凭据
- 操作员用同一台工作站查收邮件和操作HMI
这不是假设。这是我见过的几乎每家工厂的现状。
攻击者实际上做什么
OT攻击很少从工厂车间开始。它从IT攻击起点相同的地方开始——钓鱼邮件、暴露的RDP、被入侵的供应商账户——然后横向移动。
经典路径:
- 入侵IT端点(Windows工作站、邮件服务器)
- 横向移动到历史数据库或工程师工作站——这台桥接机
- 从那里枚举OT网段:扫描502端口的Modbus、44818端口的EtherNet/IP、DCOM上的OPC-DA
- 映射流程:这台PLC控制什么?改变设定点会发生什么?
- 部署勒索软件(加密历史数据库,索取赎金)或直接操控生产过程
Stuxnet是第5步。今天的大多数攻击者在第4步停下来转向勒索软件,因为风险更低、收益更快。但执行第5步的能力真实存在,其门槛远低于大多数工厂管理者的认知。
为什么标准IT安全工具会漏掉这些
EDR不能在PLC上运行。漏洞扫描器如果指向PLC会让它崩溃——主动扫描发送的探测报文是PLC的TCP栈无法处理的。
OT需要不同的方法:
仅被动监控。 通过镜像端口或网络TAP接入流量并观测,不产生任何流量。Zeek在这方面表现出色。一些商业工具(Claroty、Dragos、Nozomi)内置了OT协议解码器。
协议感知检测。 运行中的工厂里正常的Modbus流量高度重复——SCADA整天以相同间隔轮询相同的线圈。异常的形态是:凌晨2点一个新的源IP发送Modbus WRITE MULTIPLE REGISTERS,或者正常操作中从不出现的功能码(FC 8,诊断)突然出现。这不是基于签名的检测,而是行为基线。
以资产为中心的告警。 IT中你对用户告警,OT中你对资产告警——绑定到物理设备的特定IP/MAC组合。"PLC-04收到来自10.0.1.88的非请求连接"是可操作的。"检测到异常Modbus流量"则不是。
使用Wazuh的实用起点
如果您已经在IT中运行Wazuh,可以在不购买专用OT平台的情况下将其扩展到OT。覆盖深度不如Dragos,但对于目前的大多数工厂而言,差距不在于"我们需要企业级OT XDR",而在于"我们完全没有可见性"。
推荐的起始架构:
flowchart TD
subgraph OT["OT Network (Level 2/3)"]
PLC1["PLC (Modbus TCP)"]
PLC2["PLC (EtherNet/IP)"]
HMI["HMI Workstation"]
SCADA["SCADA / Historian"]
OT_SW["OT Switch (SPAN port)"]
PLC1 --> OT_SW
PLC2 --> OT_SW
HMI --> OT_SW
SCADA --> OT_SW
end
subgraph SENSOR["Passive Sensor (DMZ)"]
TAP["Network TAP"]
ZEEK["Zeek Sensor\n(modbus.log / conn.log)"]
AGENT["Wazuh Agent"]
TAP --> ZEEK
ZEEK --> AGENT
end
subgraph SOC["SOC Backend (IT Network)"]
WAZUH["Wazuh Manager\n(OT Detection Rules)"]
OS["OpenSearch / Kibana\n(OT Dashboard)"]
IRIS["DFIR-IRIS\n(Case Management)"]
PD["PagerDuty\n(Alerting)"]
WAZUH --> OS
WAZUH --> IRIS
WAZUH --> PD
end
OT_SW -->|"SPAN (read-only)"| TAP
AGENT -->|"Encrypted log shipping"| WAZUH
SCADA ---|"Bridge host\n(monitored)"| IT_FW
IT_FW["Firewall / DMZ"]
IT_FW --> WAZUH
优先编写的Wazuh规则:
- 维护窗口之外出现Modbus FC 5(写单个线圈)或FC 15(写多个线圈)时告警
- 有新的源IP与已知PLC地址通信时告警
- 同时存在于OT和IT子网的历史数据库在非工作时间收到IT侧主机连接时告警
- 出现EtherNet/IP List Identity广播(常见侦察步骤)时告警
Modbus的Wazuh规则集不在默认发行版中——需要编写自定义解码器。Modbus TCP负载从TCP流的第7个字节开始,功能码是PDU的第一个字节。Zeek的modbus.log已经将这些解析好了。
最难的部分:不停线的事件响应
OT事件响应受到IT IR没有的约束。您无法在生产运行中隔离PLC,无法在HMI运行进程时重装系统。在OT中,可用性优先于机密性和完整性——这与企业IT正好相反。
这意味着IR剧本必须在事件发生前编写完成,需要与运营部门协作,而不仅仅是安全团队。对于每项资产:隔离的影响范围是什么?谁有权授权受控停机?SCADA宕机时的手动回退方案是什么?
根据等保2.0对工业控制系统的要求,应急预案和响应能力是评测的重要组成部分。一份覆盖OT的完整IR剧本既是安全最佳实践,也是合规达标的具体体现。
从哪里开始
对于正在内部构建业务案例的IT/OT工程师,阻力最小的切入点是被动OT资产发现。无需代理、无需主动扫描、无需更改生产网络。只需在OT交换机上安装TAP并运行Zeek两周。
最终您将获得:
- 完整的资产清单(设备类型、IP、MAC、协议、可识别时的供应商信息)
- 通信矩阵(谁与谁通信、使用什么协议、频率如何)
- 异常基线
仅凭这份输出,在大多数情况下就足以获得下一阶段的预算批准。大多数工厂管理者不知道自己的OT网络上有什么。通过可视化的网络地图展示出来,能够以威胁报告无法做到的方式将风险具体化。
结语
OT安全已不再是小众领域。工具已经足够成熟,无需大规模预算即可部署;威胁已经足够真实,"以后再做"不再是站得住脚的立场。未来24个月内遭受OT针对性勒索软件攻击的工厂,大多数将是那些知道存在差距却没有采取行动的工厂。
好消息是:起点很低。任何可见性都好过完全没有。不必一次解决所有问题——从被动TAP、Zeek传感器和几条精心编写的Wazuh规则开始。仅此就能让您领先东南亚80%的工业站点。
Simplico Co., Ltd. 为泰国及东南亚的制造业和关键基础设施客户构建OT/IT安全基础架构。如需评估您的OT环境,欢迎联系我们。支持中文、英语和泰语服务。
最新文章
- 不用自己开发的EV充电App:基于OCPP ID标签的二维码充电方案 July 2, 2026
- 企业本地化部署LLM:硬件、模型与TCO(2026年) July 1, 2026
- 6步搭建您的EV充电网络 — 无需昂贵的专有平台 June 29, 2026
- 企业本地大模型(Local LLM)部署准备度评估 June 26, 2026
- 为什么东南亚和日本的企业正在将大模型部署迁移至防火墙内部 June 26, 2026
- 如何在东南亚选择技术合作伙伴:企业团队实用评估指南 June 24, 2026
