• Dom
  • Aktualności
  • Zarządzanie poprawkami OT zgodne z IEC 62443 dla zapór sieciowych Schneider Modicon M580 i Phoenix Contact mGuard

Zarządzanie poprawkami OT zgodne z IEC 62443 dla zapór sieciowych Schneider Modicon M580 i Phoenix Contact mGuard

IEC 62443 OT Patch Management for Schneider Modicon M580 and Phoenix Contact mGuard Firewalls

Praktyczny proces zarządzania poprawkami zgodny z IEC 62443-2-3 dla sterowników PLC Schneider Modicon M580 oraz zapór sieciowych Phoenix Contact FL mGuard RS4000 — obejmujący ocenę ryzyka CVSS, etapowe procedury testowe, protokoły wycofywania oraz dokumentację kontroli zmian.

Dlaczego zarządzanie poprawkami w OT różni się od IT

Aktualizacja serwera IT zajmuje kilka minut. Aktualizacja działającego sterownika PLC w zakładzie produkcyjnym może spowodować zatrzymanie produkcji. IEC 62443-2-3 bezpośrednio odnosi się do tej różnicy. Definiuje zarządzanie poprawkami jako ciągły proces cyklu życia, a nie jednorazowe zdarzenie. Norma wymaga od właścicieli zasobów oceny ryzyka przed zastosowaniem jakiejkolwiek poprawki. Ocena CVSS w wersji 3.1 dostarcza ilościowej podstawy do priorytetyzacji.

Wady oprogramowania układowego Schneider Modicon M580 pojawiają się regularnie w bazie danych ICS-CERT ADVISORIES. W 2024 roku trzy ostrzeżenia dotyczyły wersji firmware M580 poniżej 3.30. Najpoważniejsze osiągnęło ocenę CVSS 9.8. Phoenix Contact FL mGuard RS4000 miał dwa ostrzeżenia w tym samym okresie. Oba systemy działają w sieciach EtherNet/IP poziomu 2 w zakładach przemysłowych. Aktualizacja jednego wpływa na łączność EtherNet/IP CIP z całą siecią I/O. Dlatego strukturalna procedura zapobiega niekontrolowanemu ryzyku.

Ocena ryzyka poprawki i ocena CVSS

Przed podjęciem jakichkolwiek działań związanych z poprawką, oceń ostrzeżenie według czterech kryteriów: podstawowej oceny CVSS, wektora ataku, podatności na wykorzystanie oraz wpływu na dostępność. Ocena powyżej 7,0 wymaga działania w ciągu 30 dni. Ocena powyżej 9,0 wymaga pilnej aktualizacji w ciągu 72 godzin.

Skorzystaj z usługi PSIRT Schneider Electric dla ostrzeżeń dotyczących M580. Skorzystaj z Portalu Bezpieczeństwa Phoenix Contact dla ostrzeżeń dotyczących mGuard. Oba publikują potwierdzone przez producenta oceny CVSS oraz kroki naprawcze.

Dodatkowo oceń istniejące środki kompensujące. Jeśli mGuard już blokuje zewnętrzny port UDP 502, podatność Modbus w M580 ma ograniczoną możliwość wykorzystania w sieci. Dostosuj efektywną ocenę ryzyka i udokumentuj środki kompensujące w rejestrze ryzyka IEC 62443-2-1.

Etapowa procedura testowania poprawek

Nigdy nie stosuj aktualizacji firmware bezpośrednio na produkcyjnym M580 lub mGuard. Stosuj podejście etapowe: walidacja w laboratorium, środowisko testowe, a następnie produkcja. Postępuj według poniższych kroków:

  • Krok 1: Pobierz pakiet firmware M580 z portalu Schneider Electric Exchange. Zweryfikuj sumę kontrolną SHA-256 z opublikowaną wartością. Zapisz sumę w zgłoszeniu kontroli zmian. Dla firmware FL mGuard pobierz z Phoenix Contact Software Center i zweryfikuj sumę kontrolną MD5.
  • Krok 2: Zastosuj firmware na identycznym urządzeniu M580 w laboratorium testowym. Użyj Unity Pro XL lub EcoStruxure Control Expert do transferu firmware przez port serwisowy USB z prędkością 115 200 baud. Monitoruj pasek postępu transferu. Całkowity czas transferu to około 8 minut dla pełnego obrazu firmware M580 BME P58 1020.
  • Krok 3: Po transferze zweryfikuj wersję firmware w EcoStruxure Control Expert w zakładce PLC — Właściwości — Wersja procesora. Potwierdź, że odpowiada docelowej wersji z tabeli naprawczej ostrzeżenia.
  • Krok 4: Wykonaj protokół testu funkcjonalnego. Przeprowadź 4-godzinny zautomatyzowany test cyklu I/O. Zweryfikuj komunikację EtherNet/IP CIP implicit do wszystkich zdalnych adapterów I/O. Potwierdź RPI (Requested Packet Interval) na poziomie 10 ms bez alarmów timeout połączenia.
  • Krok 5: Dla mGuard wykonaj kopię zapasową aktualnego zestawu reguł zapory przed aktualizacją. W interfejsie webowym mGuard przejdź do Zarządzanie — Profile konfiguracji — Eksportuj. Zapisz plik kopii zapasowej .tar.gz na serwerze zarządzania zmianami. Zastosuj aktualizację firmware przez HTTPS (port 443). Zweryfikuj, czy wszystkie reguły routingu VLAN i konfiguracje tunelu IPsec pozostają nienaruszone po restarcie.
  • Krok 6: Udokumentuj wyniki testów w rejestrze kontroli zmian. Dołącz zrzuty ekranu wersji firmware i liczby reguł zapory przed i po aktualizacji. Uzyskaj zatwierdzenie od właściciela procesu i oficera bezpieczeństwa OT przed zaplanowaniem aktualizacji produkcyjnej.

Segmentacja VLAN i przegląd polityki zapory mGuard

Phoenix Contact FL mGuard RS4000 obsługuje inspekcję pakietów ze stanem oraz tagowanie VLAN 802.1Q. W typowej architekturze zakładu M580 znajduje się w VLAN 10 (poziom 2). Historian i stacje robocze w VLAN 20 (poziom 3). mGuard egzekwuje granicę VLAN 10/20.

Przed aktualizacją przejrzyj zestaw reguł zapory pod kątem niepotrzebnie otwartych portów. Typowe błędy konfiguracji to:

  • TCP 102 (S7) bez ograniczeń z VLAN 20 do VLAN 10 — zablokuj, chyba że wymagany jest dostęp Siemens PG/PC
  • UDP 44818 (EtherNet/IP I/O) otwarty dwukierunkowo — ogranicz do konkretnych par IP M580 i adapterów
  • TCP 80 (HTTP) do interfejsu mGuard z VLAN 20 — zastąp tylko TCP 443 HTTPS
  • ICMP bez ograniczeń — ogranicz do echo-request tylko z IP historianta OT

Włącz rejestrowanie połączeń mGuard dla syslog SIEM przez UDP 514 do VLAN 30. Potwierdź ciągłość syslog jako część walidacji po aktualizacji. Moduł sieciowy BMENOC0311 Modicon M580 obsługuje łączność EtherNet/IP, którą należy zweryfikować po każdej zmianie polityki zapory.

Wykonanie aktualizacji produkcyjnej i protokół wycofywania

Zaplanować aktualizację produkcyjną podczas zaplanowanego okna konserwacyjnego. Przełączyć M580 w tryb ręczny. Potwierdzić stabilność wszystkich pętli PID. Przydzielić dedykowanego operatora na 15-minutowe okno aktualizacji.

Przenieść firmware M580 przez EcoStruxure Control Expert używając portu zarządzania Ethernet. Nie używać portu Modbus TCP 502 do transferu firmware. M580 uruchamia się ponownie automatycznie. Restart trwa 45–60 s. Potwierdzić, że dioda RUN świeci na zielono przed zwolnieniem kontroli ręcznej.

Do wycofania użyj menu Control Expert — PLC — Przywróć poprzednią wersję. Procedura trwa 6 minut. Potwierdź, że operacje zakładu akceptują 10-minutowe całkowite okno przestoju w zatwierdzeniu kontroli zmian. Dla wycofania mGuard zaimportuj zapisany profil .tar.gz przez Zarządzanie — Profile konfiguracji — Importuj. Wszystkie reguły zapory przywracają się w ciągu 90 s. Zweryfikuj łączność EtherNet/IP z adapterem Modicon X80 EIO Drop natychmiast po przywróceniu.

Podsumowanie i zalecenia

Zarządzanie poprawkami IEC 62443-2-3 dla systemów OT wymaga dyscypliny, a nie szybkości. Priorytetyzuj poprawki używając CVSS v3.1 dostosowanego do środków kompensujących. Waliduj każdą aktualizację firmware w laboratorium testowym przed produkcją. Twórz kopie zapasowe reguł zapory mGuard przed każdą aktualizacją. Minimalizuj przestoje produkcyjne przez wcześniejsze przygotowanie firmware i procedur wycofywania. Przeglądaj reguły zapory przy każdym cyklu aktualizacji, aby zamknąć niepotrzebne porty. Dokumentuj wszystkie działania z zapisami stanu przed i po, podpisanymi przez oficera bezpieczeństwa OT. Ten proces utrzymuje instalacje Schneider Modicon M580 i Phoenix Contact mGuard bezpieczne bez kompromisów w dostępności produkcji.

Autor: Zhang Hua jest inżynierem automatyki przemysłowej z ponad 10-letnim doświadczeniem w PLC, DCS i systemach sterowania.

Powrót do bloga
Pokaż wszystko
Posty na blogu
Pokaż wszystko
Hydraulic System Pressure Instability: Root Causes and Field Troubleshooting Guide
Liang Haocheng

Niestabilność ciśnienia w układzie hydraulicznym: przyczyny źródłowe i przewodnik po diagnostyce w terenie

Niestabilność ciśnienia w układzie hydraulicznym jest jednym z najbardziej uciążliwych trybów awarii w zakładach przemysłowych. Ten przewodnik omawia podstawowe przyczyny spadków ciśnienia, skoków oraz zjawisk kawitacji, zawiera uporządkowane kroki diagnostyczne dla każdego rodzaju awarii, monitorowanie nadajnika Yokogawa EJA, testowanie histerezy zaworu proporcjonalnego Emerson Fisher oraz 5-etapowy harmonogram konserwacji zapobiegawczej.
Dragon Boat Festival: China's Ancient Festival of Loyalty, Tradition and Summer Rituals
PLC DCS Pro

Święto Smoczych Łodzi: Starożytne chińskie święto lojalności, tradycji i letnich rytuałów

Co roku, piątego dnia piątego miesiąca księżycowego, rytmiczne uderzenia bębnów rozbrzmiewają nad rzekami całych Chin. Poznaj historię, legendy i tradycje związane z Festiwalem Smoczych Łodzi — jednym z najstarszych i najbardziej uroczyście obchodzonych świąt kulturowych Chin.
Machinery Protection: Vibration Probe Installation and Loop Setup
Weijie Chen

Ochrona maszyn: instalacja czujnika drgań i konfiguracja pętli

Systemy ochrony maszyn muszą reagować na awarie mechaniczne w ciągu 50 milisekund — znacznie szybciej niż jakakolwiek platforma DCS czy PLC. Ten przewodnik obejmuje instalację sondy zbliżeniowej Bently Nevada 3300, ustawienie napięcia szczeliny na -12 V DC w punkcie środkowym, konfigurację pętli 4–20 mA zgodnie z API 670, ekranowanie kabla przedłużającego oraz systematyczną diagnostykę usterek dotyczących kontaktu sondy, utraty sondy, zakłóceń częstotliwości sieciowej i elektromagnetycznego szumu falownika VFD.
Lista polecanych produktów
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm
Emerson KL3105X1-LS1 12P6551X032 Izolowana karta Charm

Emerson
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm
Emerson DeltaV KL4502X1-MA1 Relay Out Terminal Charm

Emerson
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA
Moduł Emerson DeltaV KL3021X1-LS1 Hart Analogowy Wejściowy CHARM, 4–20 mA

Emerson
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM
Emerson DeltaV KL3003X1-BA1 DI 24 VDC moduł styku bezpotencjałowego CHARM

Emerson
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1
Moduł Isolated Digital Input Charm Emerson DeltaV KL3005X1-LS1

Emerson
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM
KL4510X1-EA1 | Emerson DeltaV | Terminal adresowy I.S. CHARM

Emerson
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1
Emerson DeltaV I.S. Złączka Terminalowa CHARM Nr kat.: KL4510X1-DA1

Emerson
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS
Moduł zasilania Emerson DeltaV KL1501X1-BA1 CSLS

Emerson
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM
KL3003X1-LS1 | Emerson DeltaV | LS DI 24 VDC Suchy styk CHARM

Emerson
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym
Moduł Emerson KL3031X1-BA1 CHARM z wejściem RTD/opornościowym

Emerson
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro
Moduł PLC GE Fanuc IC693UAA003 Serii 90 Micro

GE
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC
Moduł wyjściowy logiki dodatniej GE Fanuc RX3i IC694MDL730 12/24VDC

GE