คู่มือความปลอดภัยไซเบอร์สำหรับระบบฟีดเดอร์: ปกป้องอุปกรณ์ป้อนวัสดุอุตสาหกรรม

ฟีดเดอร์ที่เชื่อมต่อเครือข่ายคือพื้นผิวการโจมตี

สิบปีก่อน โบว์ฟีดเดอร์แบบสั่นเป็นเพียงอุปกรณ์ไฟฟ้าเครื่องกลที่มีสายไฟและสวิตช์เปิดปิด วันนี้ ฟีดเดอร์หลายรุ่นมีคอนโทรลเลอร์ที่รองรับอีเทอร์เน็ต อินเทอร์เฟซ Modbus TCP หรือ Profinet แดชบอร์ดติดตามระยะไกล และเฟิร์มแวร์ที่สามารถอัปเดตผ่านเครือข่าย คุณสมบัติเหล่านี้ช่วยปรับปรุงการมองเห็นการดำเนินงานและลดเวลาติดตั้ง แต่ก็ยังสร้างพื้นผิวการโจมตีทางไซเบอร์ที่ไม่เคยมีมาก่อน

ภัยคุกคามนี้ไม่ใช่แค่ทฤษฎี ในปี 2023 โรงงานผลิตแห่งหนึ่งในเยอรมนีสูญเสียการผลิตไป 72 ชั่วโมงหลังจากการโจมตีแรนซัมแวร์แพร่กระจายจากเครือข่าย IT ผ่านสวิตช์อีเทอร์เน็ตร่วมไปยังเครือข่าย OT ทำให้ PLC และคอนโทรลเลอร์ฟีดเดอร์ในสามไลน์ประกอบไม่ทำงาน ฟีดเดอร์เองไม่ใช่เป้าหมาย — พวกมันเป็นความเสียหายต่อพวงจากการแบ่งเครือข่ายที่ไม่เพียงพอ แต่ผลกระทบก็เหมือนกัน: ไลน์หยุดทำงาน และค่าเสียหายวัดเป็นหลักแสนยูโร

คู่มือนี้ครอบคลุมข้อควรพิจารณาด้านความปลอดภัยไซเบอร์เฉพาะสำหรับอุปกรณ์ป้อนวัสดุอุตสาหกรรม: ภูมิทัศน์ภัยคุกคาม กลยุทธ์การแบ่งเครือข่าย การเสริมความแข็งแกร่งของคอนโทรลเลอร์ การปฏิบัติตาม IEC 62443 และขั้นตอนปฏิบัติสำหรับผู้ผลิตขนาดกลางและขนาดย่อมที่อาจไม่มีทีมรักษาความปลอดภัย OT เฉพาะทาง คู่มือนี้สร้างบนพื้นฐานของ คู่มือการเชื่อมต่อ PLC และ คู่มือการออกแบบ HMI และระบบแจ้งเตือนฟีดเดอร์ ของเรา ซึ่งครอบคลุมด้านการทำงานของระบบฟีดเดอร์ที่เชื่อมต่อเครือข่าย

ภูมิทัศน์ภัยคุกคามสำหรับอุปกรณ์ป้อนวัสดุอุตสาหกรรม

ระบบฟีดเดอร์ไม่ใช่เป้าหมายที่มีค่าสูงสำหรับผู้โจมตีระดับรัฐ แต่เป็นเป้าหมายที่มีค่าต่ำที่สามารถถูกใช้ประโยชน์เป็นจุดเข้า หรือได้รับความเสียหายจากผลกระทบของการโจมตีที่กว้างขึ้น ภัยคุกคามที่เกี่ยวข้องแบ่งออกเป็นสี่ประเภท:

ความเสียหายต่อพวงจากการละเมิดเครือข่าย IT นี่เป็นสถานการณ์ที่พบบ่อยที่สุด ผู้โจมตีเข้าถึงเครือข่าย IT ขององค์กรผ่านฟิชชิ่งหรือช่องโหว่ในเซิร์ฟเวอร์ที่เปิดเผยต่อสาธารณะ จากนั้นเคลื่อนย้ายในแนวราบไปยังเครือข่าย OT เนื่องจากเครือข่ายทั้งสองไม่ได้แบ่งแยกอย่างเหมาะสม คอนโทรลเลอร์ฟีดเดอร์ไม่ใช่เป้าหมาย แต่ถูกรบกวนเมื่อผู้โจมตีเข้ารหัสไฟล์แชร์ ปิดใช้งาน PLC หรือท่วมเครือข่ายด้วยปริมาณข้อมูล

การโจมตีห่วงโซ่อุปทานบนเฟิร์มแวร์คอนโทรลเลอร์ คอนโทรลเลอร์ฟีดเดอร์ทำงานด้วยเฟิร์มแวร์แบบฝังตัว มักบนฐาน Linux หรือ RTOS หากกลไกอัปเดตเฟิร์มแวร์ไม่ปลอดภัย (ไม่มีการลงนามโค้ด ไม่มีการเข้ารหัสการส่งข้อมูล) ผู้โจมตีที่สามารถเข้าถึงคอนโทรลเลอร์ได้อาจฉีดเฟิร์มแวร์ที่เป็นอันตราย นี่เป็นสถานการณ์ที่มีโอกาสต่ำแต่มีผลกระทบสูง — คอนโทรลเลอร์ที่ถูกละเมิดอาจป้อนชิ้นส่วนผิด ละเลยอินเตอร์ล็อกความปลอดภัย หรือให้ประตูหลังถาวรเข้าสู่เครือข่าย OT

การใช้ประโยชน์จากการเข้าถึงระยะไกล ซัพพลายเออร์ฟีดเดอร์หลายรายเสนอการติดตามและแก้ไขปัญหาระยะไกลผ่าน VPN, TeamViewer หรือแดชบอร์ดบนคลาวด์ หากช่องทางเข้าถึงระยะไกลเหล่านี้ไม่ปลอดภัยอย่างเหมาะสม (ข้อมูลรับรองร่วมกัน ไม่มี MFA การเชื่อมต่อที่เปิดอยู่ตลอดเวลา) พวกมันจะเป็นเส้นทางตรงจากอินเทอร์เน็ตไปยังคอนโทรลเลอร์ฟีดเดอร์

ภัยคุกคามจากภายในและการตั้งค่าผิดโดยไม่ตั้งใจ ผู้ปฏิบัติการหรือช่างซ่อมบำรุงเปลี่ยนพารามิเตอร์คอนโทรลเลอร์ เปิดพอร์ตเพื่อความสะดวก หรือเชื่อมต่ออุปกรณ์ส่วนตัวกับเครือข่าย OT การกระทำเหล่านี้ไม่ได้เป็นอันตรายโดยเจตนา แต่สร้างช่องโหว่ที่ผู้โจมตีภายนอกสามารถใช้ประโยชน์ได้หรือก่อให้เกิดการรบกวนการดำเนินงาน

• ความเสียหายต่อพวงเป็นสถานการณ์ที่น่าจะเกิดขึ้นมากที่สุด: ปกป้องฟีดเดอร์โดยแยก OT ออกจาก IT ไม่ใช่โดยการเสริมความแข็งแกร่งให้แต่ละฟีดเดอร์
• การเข้าถึงระยะไกลเป็นเส้นทางที่ถูกใช้ประโยชน์ได้ง่ายที่สุด: ข้อมูลรับรอง VPN ร่วมกันและการเชื่อมต่อที่เปิดอยู่ตลอดเวลาเป็นจุดอ่อนที่สุด
• ความสมบูรณ์ของเฟิร์มแวร์มีความสำคัญ: เรียกร้องการอัปเดตเฟิร์มแวร์ที่ลงนามโค้ดจากซัพพลายเออร์ฟีดเดอร์ของคุณ

กลยุทธ์การแบ่งเครือข่าย

การแบ่งเครือข่ายเป็นมาตรการความปลอดภัยไซเบอร์ที่มีประสิทธิภาพมากที่สุดสำหรับสภาพแวดล้อม OT เป้าหมายคือการทำให้แน่ใจว่าการละเมิดเครือข่าย IT ไม่สามารถเข้าถึงเครือข่าย OT ได้ และการละเมิดโซน OT หนึ่งไม่สามารถแพร่กระจายไปยังโซนอื่นได้

โมเดล Purdue ซึ่งใช้กันอย่างแพร่หลายในอุตสาหกรรมกระบวนการ กำหนดโซนเครือข่ายแบบลำดับชั้น สำหรับการผลิตแบบไม่ต่อเนื่องที่มีระบบฟีดเดอร์ โมเดลสามโซนแบบง่ายเป็นที่ใช้ได้จริง:

กฎสำคัญคือ: ไม่มีการเชื่อมต่อโดยตรงระหว่างโซน 3 (IT) และโซน 1 (OT) การรับส่งข้อมูลทั้งหมดระหว่างกันต้องผ่าน DMZ (โซน 2) ซึ่งสามารถตรวจสอบ บันทึก และควบคุมได้ คอนโทรลเลอร์ฟีดเดอร์ในโซน 1 ไม่ควรสามารถเข้าถึงอินเทอร์เน็ตได้ และเวิร์กสเตชันในโซน 3 ไม่ควรสามารถเข้าถึงคอนโทรลเลอร์ฟีดเดอร์โดยตรง

สำหรับผู้ผลิตขนาดเล็กที่มีเครือข่ายแบบแบน (ทุกอย่างบนสวิตช์เดียวกัน) การนำโมเดล Purdue แบบเต็มไปใช้ไม่สามารถทำได้จริง แนวทางที่ทำได้มากกว่าคือเริ่มจากการแยก VLAN: วางอุปกรณ์ OT ทั้งหมดบน VLAN แยกต่างหากพร้อมกฎไฟร์วอลล์ที่บล็อกการรับส่งข้อมูลเข้าทั้งหมดจาก VLAN ของ IT ยกเว้นข้อยกเว้นเฉพาะที่มีการบันทึกไว้ (เช่น เซิร์ฟเวอร์ historian ดึงข้อมูล PLC บนพอร์ต 502 สำหรับ Modbus TCP)

• เริ่มจากการแยก VLAN: แม้แค่การแบ่ง VLAN พื้นฐานระหว่าง IT และ OT ก็ป้องกันการเคลื่อนย้ายในแนวราบที่พบบ่อยที่สุด
• บล็อกการรับส่งข้อมูล OT เข้าทั้งหมดโดยค่าเริ่มต้น: อนุญาตเฉพาะข้อยกเว้นเฉพาะที่มีการบันทึกไว้ผ่านไฟร์วอลล์
• ไม่มีการเข้าถึงอินเทอร์เน็ตจาก OT: คอนโทรลเลอร์ฟีดเดอร์ไม่ควรต้องเข้าถึงอินเทอร์เน็ตด้วยเหตุผลใดๆ

การเสริมความแข็งแกร่งของคอนโทรลเลอร์

คอนโทรลเลอร์ฟีดเดอร์เป็นอุปกรณ์ฝังตัวที่มีกำลังประมวลผลและหน่วยความจำจำกัด ไม่สามารถรันซอฟต์แวร์ป้องกันปลายทางได้ และระบบปฏิบัติการอาจไม่ได้รับแพตช์ความปลอดภัยอย่างสม่ำเสมอ การเสริมความแข็งแกร่งหมายถึงการลดพื้นผิวการโจมตีให้เหลือน้อยที่สุดที่จำเป็นสำหรับการทำงาน

นโยบายรหัสผ่าน

รหัสผ่านเริ่มต้นบนคอนโทรลเลอร์ฟีดเดอร์หลายตัวคือ "admin," "1234," หรือเว้นว่าง นี่คือสิ่งแรกที่ต้องเปลี่ยนระหว่างการติดตั้ง และเป็นขั้นตอนที่ถูกข้ามบ่อยที่สุด คอนโทรลเลอร์ทุกตัวควรมีรหัสผ่านที่แข็งแกร่งเฉพาะตัว (12+ ตัวอักษร, ตัวพิมพ์เล็กใหญ่ผสม, ตัวเลข, สัญลักษณ์) บันทึกรหัสผ่านในตัวจัดการรหัสผ่านที่ปลอดภัย — ไม่ใช่ในสเปรดชีตบนไดรฟ์ร่วม และไม่ติดไว้ข้างคอนโทรลเลอร์

หากคอนโทรลเลอร์รองรับบัญชีผู้ใช้หลายบัญชี ให้สร้างบัญชีแยกสำหรับผู้ปฏิบัติการ (อ่านอย่างเดียวหรือควบคุมจำกัด) วิศวกร (ควบคุมเต็มรูปแบบ) และผู้ดูแลระบบ (เปลี่ยนการกำหนดค่า) ซึ่งจำกัดขอบเขตความเสียหายหากข้อมูลรับรองผู้ปฏิบัติการถูกละเมิด

การอัปเดตเฟิร์มแวร์

เฟิร์มแวร์คอนโทรลเลอร์ควรอัปเดตเป็นเวอร์ชันเสถียรล่าสุดระหว่างการติดตั้ง และตามกำหนด (รายไตรมาสหรือรายครึ่งปี) ก่อนใช้การอัปเดตใดๆ ให้ตรวจสอบความสมบูรณ์ของเฟิร์มแวร์โดยใช้ checksum หรือลายเซ็นดิจิทัลที่ผู้ผลิตจัดหา หากผู้ผลิตไม่จัดหาเฟิร์มแวร์ที่ลงนามโค้ด ให้ถามว่าทำไม — และพิจารณาเป็นปัจจัยเสี่ยงในการประเมินซัพพลายเออร์

การอัปเดตเฟิร์มแวร์ควรดำเนินการจาก USB drive ที่น่าเชื่อถือหรือเวิร์กสเตชันวิศวกรรมเฉพาะบนเครือข่าย OT ไม่ใช่จากอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตหรือเครือข่าย IT ด้วย กระบวนการอัปเดตควรบันทึกใน SOP การบำรุงรักษา รวมถึงขั้นตอนการย้อนกลับหากการอัปเดตทำให้เกิดปัญหา

การจัดการพอร์ตและบริการ

ปิดใช้งานบริการเครือข่ายทุกรายการที่ไม่จำเป็นสำหรับการทำงานของฟีดเดอร์ บริการที่ไม่จำเป็นทั่วไปบนคอนโทรลเลอร์แบบฝังตัว ได้แก่: Telnet (พอร์ต 23), FTP (พอร์ต 21), อินเทอร์เฟซผู้ดูแล HTTP (พอร์ต 80/443 หากไม่ได้ใช้สำหรับ HMI) และ UPnP พอร์ตที่เปิดอยู่แต่ละพอร์ตเป็นจุดเข้าที่เป็นไปได้ หากฟีดเดอร์สื่อสารกับ PLC ผ่าน Modbus TCP บนพอร์ต 502 พอร์ต 502 เท่านั้นที่ควรเปิด และควรเข้าถึงได้เฉพาะจาก IP address ของ PLC

หากคอนโทรลเลอร์มีอินเทอร์เฟซการจัดการบนเว็บ ให้จำกัดการเข้าถึงเฉพาะ IP address ของเวิร์กสเตชันวิศวกรรมผ่านกฎไฟร์วอลล์ อย่าเปิดเผยอินเทอร์เฟซการจัดการให้ VLAN ของ OT ทั้งหมด — เฉพาะอุปกรณ์เฉพาะที่ต้องการ

• เปลี่ยนรหัสผ่านเริ่มต้นทันที: "admin/1234" บนคอนโทรลเลอร์ที่เชื่อมต่อเครือข่ายคือประตูที่เปิดอยู่
• เรียกร้องเฟิร์มแวร์ที่ลงนามโค้ด: หากซัพพลายเออร์ไม่สามารถจัดหาได้ ให้บันทึกความเสี่ยงและวางแผนการบรรเทา
• ปิดพอร์ตทุกพอร์ตที่ไม่จำเป็น: บริการที่เปิดอยู่แต่ละรายการคือพื้นผิวการโจมตีที่ต้องปกป้อง

ภาพรวม IEC 62443 สำหรับระบบฟีดเดอร์

IEC 62443 เป็นมาตรฐานสากลสำหรับความปลอดภัยของระบบอัตโนมัติอุตสาหกรรมและระบบควบคุม (IACS) กำหนดกรอบการประเมินความเสี่ยง การสร้างโซนความปลอดภัย และข้อกำหนดความปลอดภัยสำหรับส่วนประกอบและระบบ แม้ว่าการปฏิบัติตาม IEC 62443 แบบเต็มมักขับเคลื่อนโดยนโยบายความปลอดภัยขององค์กรผู้ใช้ปลายทาง แต่ซัพพลายเออร์ฟีดเดอร์ควรเข้าใจข้อกำหนดที่ส่งผลต่อผลิตภัณฑ์ของตน

มาตรฐานจัดเป็นสี่ส่วน:

• IEC 62443-1 (ทั่วไป): คำนิยาม แนวคิด และวงจรความปลอดภัยโดยรวม
• IEC 62443-2 (เจ้าของสินทรัพย์): การประเมินความเสี่ยง นโยบายความปลอดภัย และโมเดลโซน/ท่อนำ — ความรับผิดชอบของเจ้าของสินทรัพย์
• 62443-3 (ระบบ): ข้อกำหนดความปลอดภัยระบบและเป้าหมายระดับความปลอดภัย (SL) สำหรับโซนและท่อนำ
• 62443-4 (ส่วนประกอบ): ข้อกำหนดความปลอดภัยสำหรับส่วนประกอบแต่ละรายการ (คอนโทรลเลอร์, HMI, เซ็นเซอร์) — ความรับผิดชอบของซัพพลายเออร์

สำหรับระบบฟีดเดอร์ ส่วนที่เกี่ยวข้องมากที่สุดคือ IEC 62443-4-2 ซึ่งกำหนด Security Level 1 ถึง 4 สำหรับส่วนประกอบ คอนโทรลเลอร์ฟีดเดอร์ส่วนใหญ่มุ่งเป้าไปที่ SL 1 (การละเมิดโดยบังเอิญ) หรือ SL 2 (วิธีการง่าย ทรัพยากรต่ำ แรงจูงใจต่ำ) SL 3 และ SL 4 (การโจมตีที่ซับซ้อนโดยเจตนา) มักต้องการเฉพาะในโครงสร้างพื้นฐานสำคัญ ไม่ใช่ในการผลิตแบบไม่ต่อเนื่อง

ข้อกำหนดหลักของ IEC 62443-4-2 ที่ส่งผลต่อการออกแบบคอนโทรลเลอร์ฟีดเดอร์ ได้แก่: การควบคุมการระบุตัวตนและการยืนยันตัวตน (บัญชีผู้ใช้เฉพาะ ความซับซ้อนของรหัสผ่าน) การควบคุมการใช้งาน (การเข้าถึงตามบทบาท) ความสมบูรณ์ของข้อมูล (การตรวจสอบเฟิร์มแวร์ การบันทึกการเปลี่ยนแปลงการกำหนดค่า) และเอาต์พุตที่กำหนดได้ (คอนโทรลเลอร์ต้องล้มเหลวอย่างปลอดภัยหากถูกละเมิด) หากซัพพลายเออร์ฟีดเดอร์ของคุณอ้างว่าปฏิบัติตาม IEC 62443 ให้ถามว่าส่วนใดและระดับความปลอดภัยใด — "ปฏิบัติตาม IEC 62443" โดยไม่ระบุรายละเอียดไม่มีความหมาย

ความปลอดภัยการเข้าถึงระยะไกล

การเข้าถึงคอนโทรลเลอร์ฟีดเดอร์ระยะไกลเป็นความต้องการด้านการดำเนินงานที่สมเหตุสมผล — ซัพพลายเออร์ต้องการสำหรับการแก้ไขปัญหา และวิศวกรโรงงานต้องการสำหรับการติดตาม แต่มันยังเป็นเส้นทางการโจมตีที่ถูกใช้ประโยชน์บ่อยที่สุด การรักษาความปลอดภัยการเข้าถึงระยะไกลต้องใช้แนวทางแบบหลายชั้น:

1. ใช้เกตเวย์เข้าถึงระยะไกลเฉพาะใน DMZ อย่าอนุญาตการเชื่อมต่อ VPN โดยตรงจากอินเทอร์เน็ตไปยังเครือข่าย OT แทนที่ วางเกตเวย์เข้าถึงระยะไกล (เช่น bastion host หรือแพลตฟอร์มเข้าถึงระยะไกล OT เชิงพาณิชย์) ใน DMZ เกตเวย์ยืนยันตัวตนผู้ใช้ระยะไกล บันทึกเซสชัน และพร็อกซีการเชื่อมต่อไปยังอุปกรณ์ OT

2. กำหนดการยืนยันตัวตนแบบหลายปัจจัย ทุกเซสชันเข้าถึงระยะไกลต้องกำหนด MFA — ไม่ใช่แค่รหัสผ่าน โทเค็นฮาร์ดแวร์ การแจ้งเตือนแบบพุชไปยังอุปกรณ์มือถือที่ลงทะเบียน หรือรหัสแบบใช้ครั้งเดียวจากแอปยืนยันตัวตน ล้วนเป็นวิธีการที่ยอมรับได้ ข้อมูลรับรอง VPN ร่วมกันโดยไม่มี MFA เป็นช่องโหว่ร้ายแรง

3. เชื่อมต่อตามความจำเป็น ไม่ใช่เปิดตลอดเวลา อุโมงค์ VPN หรือเซสชันเข้าถึงระยะไกลควรสร้างเฉพาะเมื่อต้องการและตัดการเชื่อมต่อเมื่อเซสชันสิ้นสุด การเชื่อมต่อ VPN ที่เปิดอยู่ตลอดเวลาจากสำนักงานซัพพลายเออร์ไปยังเครือข่าย OT ของคุณเป็นพื้นผิวการโจมตีถาวรที่ไม่เป็นประโยชน์เมื่อไม่มีเซสชันแก้ไขปัญหาที่ใช้งานอยู่

4. บันทึกและติดตามเซสชันระยะไกลทั้งหมด บันทึกว่าใครเชื่อมต่อ เมื่อไร ไปยังอุปกรณ์ใด และดำเนินการอะไร บันทึกนี้จำเป็นสำหรับการสืบสวนเหตุการณ์และการแสดงการปฏิบัติตามระหว่างการตรวจสอบ แพลตฟอร์มเข้าถึงระยะไกล OT เชิงพาณิชย์หลายแห่งจัดหาการบันทึกเซสชันเป็นคุณสมบัติในตัว

ขั้นตอนปฏิบัติสำหรับผู้ผลิตขนาดกลางและขนาดย่อม

ไม่ใช่ผู้ผลิตทุกรายจะมีทีมรักษาความปลอดภัย OT เฉพาะทาง แพลตฟอร์ม SIEM หรือสถาปัตยกรรมเครือข่ายโมเดล Purdue แบบเต็ม สำหรับโรงงานที่มีทรัพยากรจำกัด ขั้นตอนต่อไปนี้ให้ผลตอบแทนด้านความปลอดภัยสูงสุดสำหรับการลงทุนน้อยที่สุด:

ขั้นตอนที่ 1: จัดทำรายการคอนโทรลเลอร์ฟีดเดอร์ที่เชื่อมต่อเครือข่ายทุกตัว คุณไม่สามารถปกป้องสิ่งที่คุณไม่รู้จัก เดินตรวจสอบพื้นที่ผลิต บันทึก IP address เวอร์ชันเฟิร์มแวร์ และสถานะข้อมูลรับรองเริ่มต้นของคอนโทรลเลอร์ทุกตัว การจัดทำรายการนี้ใช้เวลาไม่กี่ชั่วโมงและเป็นรากฐานสำหรับทุกสิ่งอื่น

ขั้นตอนที่ 2: เปลี่ยนรหัสผ่านเริ่มต้นทั้งหมด นี่เป็นการดำเนินการที่มีผลกระทบสูงที่สุด ทำวันนี้ ใช้รหัสผ่านเฉพาะตัวสำหรับแต่ละคอนโทรลเลอร์ เก็บในตัวจัดการรหัสผ่าน

ขั้นตอนที่ 3: วางอุปกรณ์ OT บน VLAN แยกต่างหาก สวิตช์แบบ managed ส่วนใหญ่รองรับ VLAN สร้าง VLAN หนึ่งสำหรับอุปกรณ์ IT และหนึ่งสำหรับอุปกรณ์ OT เพิ่มกฎไฟร์วอลล์ง่ายๆ: VLAN ของ OT ไม่สามารถเข้าถึงอินเทอร์เน็ต VLAN ของ IT ไม่สามารถเข้าถึง VLAN ของ OT ยกเว้นผ่านข้อยกเว้นที่บันทึกไว้

ขั้นตอนที่ 4: ปิดใช้งานบริการที่ไม่จำเป็นบนคอนโทรลเลอร์แต่ละตัว Telnet, FTP, อินเทอร์เฟซผู้ดูแล HTTP — หากคุณไม่ได้ใช้ ให้ปิด ใช้เวลา 10 นาทีต่อคอนโทรลเลอร์

ขั้นตอนที่ 5: รักษาความปลอดภัยการเข้าถึงระยะไกล เปลี่ยนข้อมูลรับรอง VPN ร่วมกันเป็นบัญชีส่วนบุคคลและ MFA หากระบบเข้าถึงระยะไกลปัจจุบันของคุณไม่รองรับ MFA ให้เปลี่ยนไปใช้แพลตฟอร์มที่รองรับ ค่าใช้จ่ายของโซลูชันเข้าถึงระยะไกล OT เชิงพาณิชย์ (2,000-5,000 ดอลลาร์สหรัฐ/ปี) น้อยมากเมื่อเทียบกับค่าใช้จ่ายของเหตุการณ์แรนซัมแวร์เพียงครั้งเดียว

ขั้นตอนที่ 6: กำหนดตารางอัปเดตเฟิร์มแวร์ ตรวจสอบการอัปเดตเฟิร์มแวร์คอนโทรลเลอร์รายไตรมาส ดำเนินการจากเวิร์กสเตชันวิศวกรรมที่น่าเชื่อถือ ตรวจสอบ checksum และบันทึกการอัปเดตในบันทึกการบำรุงรักษา

• จัดทำรายการก่อน: คุณไม่สามารถปกป้องอุปกรณ์ที่คุณไม่รู้จัก
• รหัสผ่านเริ่มต้นคือผลไม้ที่เก็บง่ายที่สุด: เปลี่ยนก่อนทำอย่างอื่น
• การแยก VLAN เป็นการเปลี่ยนแปลงเครือข่ายที่ให้ผลตอบแทนสูงสุด: บล็อกการเคลื่อนย้ายในแนวราบ 80% ด้วยความพยายามเพียง 5%
• MFA การเข้าถึงระยะไกลเป็นสิ่งที่ต้องมี: ข้อมูลรับรอง VPN ร่วมกันเป็นช่องโหว่ร้ายแรง

คำถามที่พบบ่อย

ฟีดเดอร์แบบสแตนด์อโลนที่ไม่มีการเชื่อมต่อเครือข่ายมีความเสี่ยงหรือไม่?

ไม่มีความเสี่ยงจากการโจมตีระยะไกล ฟีดเดอร์ที่ไม่มีพอร์ตอีเทอร์เน็ต ไม่มี Wi-Fi และไม่มีพอร์ต USB ที่ผู้ปฏิบัติการเข้าถึงได้ ถือว่ามี air gap อย่างมีประสิทธิภาพ ความเสี่ยงด้านความปลอดภัยไซเบอร์เพียงอย่างเดียวคือการเข้าถึงทางกายภาพ — ใครบางคนอาจเชื่อมต่อแล็ปท็อปกับพอร์ตอนุญาตให้ใครบางคนเชื่อมต่อแล็ปท็อปกับพอร์ตอนุกรมของคอนโทรลเลอร์หรือเปลี่ยนเฟิร์มแวร์ผ่านอินเทอร์เฟซบริการ สำหรับการใช้งานส่วนใหญ่ ความเสี่ยงนี้ำรุงรักษา สำหรับการใช้งานส่วนใหญ่ ความเสี่ยงนี้น้อยมาก ข้อกังวลด้านความปลอดภัยไซเบอร์ในคู่มือนี้ใช้เฉพาะกับฟีดเดอร์ที่มีการเชื่อมต่อเครือข่าย (อีเทอร์เน็ต, Wi-Fi หรือคอนโทรลเลอร์ที่เชื่อมต่อคลาวด์)

จะทำอย่างไรหากซัพพลายเออร์ฟีดเดอร์ยืนยันที่จะเข้าถึงระยะไกลเพื่อสนับสนุน?

การเข้าถึงระยะไกลเป็นเรื่องสมเหตุสมผล แต่ต้องปลอดภัย กำหนดให้ซัพพลายเออร์ใช้โครงสร้างพื้นฐานเข้าถึงระยะไกลของคุณ (เกตเวย์ DMZ ของคุณ, MFA ของคุณ, การบันทึกของคุณ) ไม่ใช่ของพวกเขาเอง หากซัพพลายเออร์ยืนยันที่จะใช้ TeamViewer หรือ VPN ของตนเอง ให้กำหนดว่าการเชื่อมต่อจะสร้างเฉพาะระหว่างเซสชันแก้ไขปัญหาที่ใช้งานอยู่ โดยมีเวลาเริ่มต้นและสิ้นสุดที่กำหนด และคุณมีสิทธิ์ตัดการเชื่อมต่อเซสชันได้ตลอดเวลา อย่าอนุญาตการเข้าถึงระยะไกลที่เปิดอยู่ตลอดเวลาจากเครือข่ายซัพพลายเออร์ไปยังเครือข่าย OT ของคุณ

IEC 62443 ใช้กับระบบฟีดเดอร์หรือไม่?

IEC 62443 ใช้กับระบบอัตโนมัติอุตสาหกรรมและระบบควบคุมทุกระบบ รวมถึงระบบฟีดเดอร์ หากนโยบายความปลอดภัยของเจ้าของสินทรัพย์กำหนด ในทางปฏิบัติ ระบบฟีดเดอร์ส่วนใหญ่ในการผลิตแบบไม่ต่อเนื่องอยู่ภายใต้โปรแกรมการปฏิบัติตาม IEC 62443 ของโรงงานทั้งโรง มากกว่าการรับรองแต่ละระบบ ความรับผิดชอบของซัพพลายเออร์ฟีดเดอร์คือจัดหาส่วนประกอบที่ตรงตามข้อกำหนดความปลอดภัยที่เจ้าของสินทรัพย์กำหนด — โดยทั่วไปคือ SL 1 หรือ SL 2 ภายใต้ IEC 62443-4-2 หากโรงงานของคุณกำลังดำเนินการปฏิบัติตาม IEC 62443 ให้ระบุระดับความปลอดภัยที่เกี่ยวข้องใน RFQ ฟีดเดอร์

จะรักษาความปลอดภัยฟีดเดอร์รุ่นเก่าที่ไม่สามารถอัปเดตได้อย่างไร?

ฟีดเดอร์รุ่นเก่าที่มีเฟิร์มแวร์ล้าสมัย ไม่มีการป้องกันด้วยรหัสผ่าน และไม่มีความสามารถในการแบ่งเครือข่าย ควรแยกออกที่ระดับเครือข่าย วางบน VLAN เฉพาะที่ไม่มีการเชื่อมต่อกับโซนเครือข่ายอื่นใด หากต้องสื่อสารกับ PLC ให้ใช้ตัวแปลงโปรโตคอลหรือไฟร์วอลล์ที่อนุญาตเฉพาะการรับส่งข้อมูล Modbus หรือ digital I/O เฉพาะที่จำเป็น บล็อกทุกอย่างอื่น หากคอนโทรลเลอร์รุ่นเก่ามีเว็บอินเทอร์เฟซหรือ Telnet ให้ปิดใช้งานหรือบล็อกการเข้าถึงที่ไฟร์วอลล์ เป้าหมายคือทำให้ฟีดเดอร์รุ่นเก่าไม่สามารถเข้าถึงได้จากเครือข่ายใดๆ ที่ผู้โจมตีอาจละเมิดได้

ควรระบุอะไรใน RFQ สำหรับความปลอดภัยไซเบอร์?

ระบุสิ่งต่อไปนี้ใน RFQ: ข้อกำหนดการเชื่อมต่อเครือข่าย (โปรโตคอลใด พอร์ตใด) ความสามารถในการจัดการรหัสผ่าน (บัญชีเฉพาะ ความซับซ้อนของรหัสผ่าน การล็อกบัญชี) กระบวนการอัปเดตเฟิร์มแวร์ (การลงนามโค้ด การตรวจสอบ checksum ความสามารถในการย้อนกลับ) ข้อกำหนดการเข้าถึงระยะไกล (โครงสร้างพื้นฐานของคุณ, MFA, การบันทึกเซสชัน) และระดับการปฏิบัติตาม IEC 62443 หากเกี่ยวข้อง นอกจากนี้ให้กำหนดให้ซัพพลายเออร์จัดหา datasheet ความปลอดภัยหรือ SBOM (Software Bill of Materials) สำหรับคอนโทรลเลอร์ โดยระบุส่วนประกอบซอฟต์แวร์ทั้งหมดและช่องโหว่ที่ทราบ นี่กำลังกลายเป็นแนวปฏิบัติมาตรฐานในการจัดซื้อ OT

บทสรุป

ความปลอดภัยไซเบอร์สำหรับระบบฟีดเดอร์ไม่ใช่เรื่องเกี่ยวกับการปกป้องฟีดเดอร์เอง — แต่เป็นเรื่องเกี่ยวกับการป้องกันไม่ให้ฟีดเดอร์กลายเป็นเวกเตอร์สำหรับการโจมตีเครือข่าย OT ที่กว้างขึ้น มาตรการที่สำคัญที่สุดคือการแบ่งเครือข่าย (แยก IT ออกจาก OT) การเสริมความแข็งแกร่งของคอนโทรลเลอร์ (เปลี่ยนรหัสผ่านเริ่มต้น ปิดพอร์ตที่ไม่จำเป็น อัปเดตเฟิร์มแวร์) และการเข้าถึงระยะไกลที่ปลอดภัย (MFA, การเชื่อมต่อตามความจำเป็น, การบันทึกเซสชัน) ขั้นตอนเหล่านี้ไม่แพงหรือซับซ้อนทางเทคนิค แต่ต้องการวินัยและความสม่ำเสมอ เริ่มจากการจัดทำรายการและเปลี่ยนรหัสผ่านเริ่มต้น — ใช้เวลาชั่วโมง ไม่ใช่สัปดาห์ — แล้วสร้างต่อจากนั้น หากคุณต้องการความช่วยเหลือในการระบุข้อกำหนดความปลอดภัยไซเบอร์สำหรับการติดตั้งฟีดเดอร์ใหม่หรือประเมินสถานะความปลอดภัยของอุปกรณ์ป้อนวัสดุที่มีอยู่ ติดต่อทีมวิศวกรของเรา