因面临网络威胁，罗克韦尔建议工控设备断网

罗克韦尔指出，发布该公告的原因是“全球地理政治紧张局势以及敌对网络活动增强”。为此，该公司要求客户立即采取措施查看设备是否可通过互联网访问，如是，则断开不应被暴露的设备连接。该公司提到，“用户永远都不应该将资产直接配置为连接到公开互联网。删除该连接是主动减少攻击面的方法，并可立即减少暴露到源自外部威胁行动者的越权和恶意网络活动。”

更重要的是，该公司要求组织机构确保已采取必要的缓解措施和布丁，确保产品不受如下缺陷影响：

CISA除了提醒外还建议用户和管理员按照指南所列出的适当措施减少暴露。2020年，CISA和NSA联合发布公告提醒恶意人员正在利用互联网可访问的运营技术资产开展网络活动，为关键的基础设施带来严重威胁。

NSA在2022年9月表示，“网络行动者，包括APT组织近年来瞄准 OT/ICS 系统实现政治和经济利益，而且很可能造成破坏性后果。”攻击者被指连接到公开暴露的可编程逻辑控制器 (PLC) 并修改控制逻辑，触发不必要的行为。实际上，佐治亚理工学院在2024年3月发现可通过攻陷PLC内部嵌入式 web 服务器的方式实施类似震网的攻击。攻击者可利用 PLC 旨在实施监控、编程和配置的web 接口获得初始访问权限，之后利用合法 API 操纵底层真实机器。研究人员提到，“这类攻击包括伪造传感器读书、禁用安全警报并操纵物理驱动器。工控环境中出现的 web 技术引入新的安全问题，而这些问题并不存在于消费者物联网设备的IT领域。”

这种新型的PLC 恶意软件要比现有的PLC恶意软件技术更具优势，如执行的独立性、易于部署以及更高层级的可持久性，从而导致攻击者在无需部署控制逻辑恶意软件的前提下，悄悄执行恶意操作。为了保护运营技术和工控网络的安全，建议限制系统信息的暴露，审计和保护远程访问点的安全，限制仅对合法用户开放网络，控制系统应用工具和脚本的访问。