Industry Security

为什么工厂车间是您网络中最薄弱的目标

我接触的大多数安全团队都具备合理的IT卫生:端点部署了EDR、SIEM接入Windows事件日志,有时Web应用前还有WAF。但当我问到工厂车间在运行什么时,答案通常是"西门子S7、三菱SCADA,说实话我们也不完全清楚还有什么"。

"我们有SOC"与"我们能看见OT环境"之间的差距——真正的风险就藏在那里。

从中国企业泰国工厂的角度看,这一差距具有更深远的合规含义。《网络安全法》、《数据安全法》及等保2.0(GB/T 22239-2019)均对工业控制系统提出明确的安全要求。工业控制系统安全专项要求(等保三级及以上)要求对工控网络实施安全监测。缺乏OT可见性不仅是安全风险,更可能直接影响等保评测结果。


架构问题

普渡模型(ISA-99)的设计初衷是将OT与IT隔离开来。理论上:Level 0-2是物理过程(PLC、传感器、执行器),Level 3是制造运营(MES、历史数据库),Level 4+是企业IT,3与4之间设有DMZ。互联网的任何东西都不应直接触及PLC。

然而实际上,这条边界在过去15年间被逐渐侵蚀,原因只有一个词:远程访问

工厂工程师需要从家里SSH登录历史数据库;供应商需要VPN访问来更新自己设备的固件;管理层想在ERP中看到实时OEE仪表板。每一个需求单独来看都合理,但累积起来却把普渡模型打得千疮百孔。

最终留下的是这样的工厂网络:

  • PLC运行2009年的固件,Modbus TCP上没有任何认证
  • 历史数据库运行Windows Server 2012 R2(已停止支持,未打补丁,同时存在于L3和L4)
  • 供应商VPN集中器直接部署在OT网段,使用供应商设置后从未轮换过的凭据
  • 操作员用同一台工作站查收邮件和操作HMI

这不是假设。这是我见过的几乎每家工厂的现状。


攻击者实际上做什么

OT攻击很少从工厂车间开始。它从IT攻击起点相同的地方开始——钓鱼邮件、暴露的RDP、被入侵的供应商账户——然后横向移动。

经典路径:

  1. 入侵IT端点(Windows工作站、邮件服务器)
  2. 横向移动到历史数据库或工程师工作站——这台桥接机
  3. 从那里枚举OT网段:扫描502端口的Modbus、44818端口的EtherNet/IP、DCOM上的OPC-DA
  4. 映射流程:这台PLC控制什么?改变设定点会发生什么?
  5. 部署勒索软件(加密历史数据库,索取赎金)或直接操控生产过程

Stuxnet是第5步。今天的大多数攻击者在第4步停下来转向勒索软件,因为风险更低、收益更快。但执行第5步的能力真实存在,其门槛远低于大多数工厂管理者的认知。


为什么标准IT安全工具会漏掉这些

EDR不能在PLC上运行。漏洞扫描器如果指向PLC会让它崩溃——主动扫描发送的探测报文是PLC的TCP栈无法处理的。

OT需要不同的方法:

仅被动监控。 通过镜像端口或网络TAP接入流量并观测,不产生任何流量。Zeek在这方面表现出色。一些商业工具(Claroty、Dragos、Nozomi)内置了OT协议解码器。

协议感知检测。 运行中的工厂里正常的Modbus流量高度重复——SCADA整天以相同间隔轮询相同的线圈。异常的形态是:凌晨2点一个新的源IP发送Modbus WRITE MULTIPLE REGISTERS,或者正常操作中从不出现的功能码(FC 8,诊断)突然出现。这不是基于签名的检测,而是行为基线。

以资产为中心的告警。 IT中你对用户告警,OT中你对资产告警——绑定到物理设备的特定IP/MAC组合。"PLC-04收到来自10.0.1.88的非请求连接"是可操作的。"检测到异常Modbus流量"则不是。


使用Wazuh的实用起点

如果您已经在IT中运行Wazuh,可以在不购买专用OT平台的情况下将其扩展到OT。覆盖深度不如Dragos,但对于目前的大多数工厂而言,差距不在于"我们需要企业级OT XDR",而在于"我们完全没有可见性"。

推荐的起始架构:

flowchart TD
  subgraph OT["OT Network (Level 2/3)"]
    PLC1["PLC (Modbus TCP)"]
    PLC2["PLC (EtherNet/IP)"]
    HMI["HMI Workstation"]
    SCADA["SCADA / Historian"]
    OT_SW["OT Switch (SPAN port)"]

    PLC1 --> OT_SW
    PLC2 --> OT_SW
    HMI --> OT_SW
    SCADA --> OT_SW
  end

  subgraph SENSOR["Passive Sensor (DMZ)"]
    TAP["Network TAP"]
    ZEEK["Zeek Sensor\n(modbus.log / conn.log)"]
    AGENT["Wazuh Agent"]

    TAP --> ZEEK
    ZEEK --> AGENT
  end

  subgraph SOC["SOC Backend (IT Network)"]
    WAZUH["Wazuh Manager\n(OT Detection Rules)"]
    OS["OpenSearch / Kibana\n(OT Dashboard)"]
    IRIS["DFIR-IRIS\n(Case Management)"]
    PD["PagerDuty\n(Alerting)"]

    WAZUH --> OS
    WAZUH --> IRIS
    WAZUH --> PD
  end

  OT_SW -->|"SPAN (read-only)"| TAP
  AGENT -->|"Encrypted log shipping"| WAZUH
  SCADA ---|"Bridge host\n(monitored)"| IT_FW

  IT_FW["Firewall / DMZ"]
  IT_FW --> WAZUH

优先编写的Wazuh规则:

  • 维护窗口之外出现Modbus FC 5(写单个线圈)或FC 15(写多个线圈)时告警
  • 有新的源IP与已知PLC地址通信时告警
  • 同时存在于OT和IT子网的历史数据库在非工作时间收到IT侧主机连接时告警
  • 出现EtherNet/IP List Identity广播(常见侦察步骤)时告警

Modbus的Wazuh规则集不在默认发行版中——需要编写自定义解码器。Modbus TCP负载从TCP流的第7个字节开始,功能码是PDU的第一个字节。Zeek的modbus.log已经将这些解析好了。


最难的部分:不停线的事件响应

OT事件响应受到IT IR没有的约束。您无法在生产运行中隔离PLC,无法在HMI运行进程时重装系统。在OT中,可用性优先于机密性和完整性——这与企业IT正好相反。

这意味着IR剧本必须在事件发生前编写完成,需要与运营部门协作,而不仅仅是安全团队。对于每项资产:隔离的影响范围是什么?谁有权授权受控停机?SCADA宕机时的手动回退方案是什么?

根据等保2.0对工业控制系统的要求,应急预案和响应能力是评测的重要组成部分。一份覆盖OT的完整IR剧本既是安全最佳实践,也是合规达标的具体体现。


从哪里开始

对于正在内部构建业务案例的IT/OT工程师,阻力最小的切入点是被动OT资产发现。无需代理、无需主动扫描、无需更改生产网络。只需在OT交换机上安装TAP并运行Zeek两周。

最终您将获得:

  • 完整的资产清单(设备类型、IP、MAC、协议、可识别时的供应商信息)
  • 通信矩阵(谁与谁通信、使用什么协议、频率如何)
  • 异常基线

仅凭这份输出,在大多数情况下就足以获得下一阶段的预算批准。大多数工厂管理者不知道自己的OT网络上有什么。通过可视化的网络地图展示出来,能够以威胁报告无法做到的方式将风险具体化。


结语

OT安全已不再是小众领域。工具已经足够成熟,无需大规模预算即可部署;威胁已经足够真实,"以后再做"不再是站得住脚的立场。未来24个月内遭受OT针对性勒索软件攻击的工厂,大多数将是那些知道存在差距却没有采取行动的工厂。

好消息是:起点很低。任何可见性都好过完全没有。不必一次解决所有问题——从被动TAP、Zeek传感器和几条精心编写的Wazuh规则开始。仅此就能让您领先东南亚80%的工业站点。


Simplico Co., Ltd. 为泰国及东南亚的制造业和关键基础设施客户构建OT/IT安全基础架构。如需评估您的OT环境,欢迎联系我们。支持中文、英语和泰语服务。