前两天去一家制造厂做系统巡检,发现他们的数控机床还在用2015年的固件版本。问起原因,对方说‘能用就行,升级怕出问题’。这话挺耳熟,很多单位都这么想。可问题是,这些老旧固件里藏着的漏洞,早就被黑客盯上了。
固件不是铁盒子,它也会“生病”
很多人觉得工业设备摆在车间里,不联网就安全。但现在的PLC、HMI、工控机,哪个没接网络?哪怕只是内网,一旦某个节点固件有漏洞,攻击者顺着扫描一圈,就能拿下整个产线控制权。去年某地水厂曝出的事件,就是攻击者通过未更新固件的远程维护接口,篡改了加氯参数。
为什么没人愿意升级?
不是不想升,是不敢升。工厂最怕停机,一次停产可能损失几十万。加上有些设备厂商早就停止支持,官网连个补丁包都找不到。更麻烦的是,升级过程本身就有风险,万一刷到一半断电,设备变砖,维修成本更高。
但这不能成为长期裸奔的理由。你可以不马上升级,但得知道当前固件有没有已知漏洞。比如定期查CVE数据库,像下面这个命令可以快速检索相关漏洞:
curl -s https://cve.circl.lu/api/search/rockwell > rockwell_cves.json或者用OpenVAS这类工具对工控设备做被动扫描,识别出固件版本和对应风险。
别忽视物理访问的风险
有次看到一个工程师拿U盘直接插进HMI终端更新程序,U盘还是从外面电脑拷的文件。这种操作等于把外网威胁直接搬进内网。哪怕设备固件本身没问题,这种方式也极容易引入恶意代码。建议所有固件更新必须经过隔离区杀毒,且使用签名验证机制。
能做的几件实在事
第一,建立设备台账,记录每台工业设备的型号、当前固件版本、厂商支持状态。第二,划分工控网络区域,把关键设备隔离起来,限制外部访问。第三,启用日志审计,监控异常登录或配置变更行为。第四,如果厂商不再提供更新,考虑在前端加防火墙策略,封掉不必要的端口。
有家食品厂的做法值得参考:他们给每台设备做了“健康卡”,贴在机柜上,标明上次升级时间、下次检查日期。就像定期保养汽车一样,固件维护也该纳入日常巡检清单。
安全不是一锤子买卖。工业设备服役周期长,但网络威胁年年变。别等到出事才想起那句老话:省下的补丁钱,最后都变成了事故赔偿金。