2025年12月下旬,波兰的关键能源基础设施——包括风电场、太阳能发电场、热电联产厂以及工业系统——遭到疑似国家支持的黑客发起的协同网络攻击。
以下是攻击者所作所为的简要概述:
- 他们利用未受保护的VPN/防火墙设备(例如Fortinet硬件),通过默认凭据且未启用多因素认证,获得了初始访问权限
- 一旦入侵成功,他们便攻入了OT系统和ICS系统,部署了具有破坏性的“Wiper”恶意软件,该软件旨在删除或破坏控制器和人机界面(HMI)上的文件
- 此次攻击导致设施与电网运营商之间的通信和监控中断,固件遭到破坏,甚至造成部分工业控制系统设备永久性损坏——但并未引发大面积停电。
数据二极管本可以如何发挥作用
数据二极管是一种网络安全硬件设备,它强制实现单向数据流,这意味着数据在物理层面上只能单向传输——从一个网络流向另一个网络——且绝无回流可能。让我们来探讨一下数据二极管本可以如何阻止此次攻击。
1. 阻止对运营网络的未经授权访问
由于外围设备(如VPN网关)连接到了这些环境,因此可以通过网络访问OT和ICS设备。如果使用了数据二极管,它们本可以部署在以下位置之间:
- 面向互联网的网络和企业IT部分
- 企业IT领域与OT/ICS领域
只要安装了二极管,即使攻击者攻破了VPN服务,他们也绝不可能将网络双向流量引入OT域。
这意味着,即使凭证被盗,攻击者也无法向二极管后方的系统发送命令或有效载荷,因为二极管在物理上阻止了流量进入该区域。
2. 保护监控/控制信道
某些系统(例如电网监控仪表盘或历史数据服务器)通常需要获取来自工业控制系统的数据,但无需向其发送任何命令。借助数据二极管,运营技术(OT)数据可以安全地传输至监控系统,同时确保任何外部或企业域内的系统都无法向运营技术设备发起流量。
这是工业环境中防御架构的关键组成部分,在该环境中,流量必须是单向的。
3. 防止侧向位移的加固措施
在此次攻击中,攻击者一旦进入网络,便开始横向移动——从入侵点向后端 Windows 域和 OT 控制器渗透。如果部署了数据二极管,网络分段就会得到物理层面的强制执行。此外,数据二极管还能通过单向数据流确保物理隔离得到安全管控。
即使攻击者设法闯入了一个分段,如果其他分段受到单向屏障的保护,他们也将无法到达这些分段。
多层次网络安全
必须记住,部署数据二极管是整体运营技术(OT)网络安全战略的重要组成部分,但并非全部。
- 实施强认证
- 及时了解软件漏洞或配置错误
- 请记住,二极管是网络设计中的控制元件,而非监控工具
换句话说,二极管最有效的作用是作为深度防御策略的一部分,该策略需要与以下措施相结合:
- 扎实的资历和艺术硕士学位
- 正确的补丁更新与固件验证
- 网络分段与最小权限访问
- 异常和入侵检测系统
做还是二极管
数据二极管通过提供强制性的物理单向数据流来保障关键环境的安全,即使攻击者突破了外围设备,也使其更难接触和控制工业系统。以波兰为例——当时黑客利用了暴露在互联网上的系统,并横向移动至控制硬件——若能战略性地部署数据二极管,本可:
- 阻断通往OT分段的攻击路径
- 阻止了针对工业控制系统(ICS)的恶意命令和恶意软件传播
- 限制破坏性行为的范围
OPSWATMetaDefender Optical Diode 产品系列提供多种外形尺寸和配置,专为满足您的外围安全防护需求而设计。立即联系专家,了解我们的二极管或单向网关解决方案如何为您的关键环境提供安全保障。
