Rockwell aconseja a sus clientes combinar sus recomendaciones específicas, con las pautas generales de seguridad para una estrategia integral de defensa en profundidad, en particular:
Rockwell recomienda a los usuarios las siguientes acciones específicas para sus productos y versiones:
- ControlLogix 5580 v32 o posterior:
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- Implemente CIP Security para las conexiones de Logix Designer a través del puerto frontal. CIP Security evita la conexión no autorizada cuando se implementa correctamente.
- Si no usa el puerto frontal, use un módulo 1756-EN4TR ControlLogix Ethernet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
- ControlLogix 5580 v31:
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- Aplique v32 o posterior y siga las acciones de mitigación descritas anteriormente.
- Si no puede aplicar una versión más reciente, use un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
- ControlLogix 5570 v31 o posterior:
- Ponga el interruptor de modo del controlador en modo "Ejecutar". Si no es posible, se recomiendan las siguientes mitigaciones:
- Utilice un módulo 1756-EN4TR ControlLogix EtherNet / IP e implemente CIP Security. El 1756-EN4TR es compatible con CIP Security, que evita conexiones no autorizadas cuando se implementa correctamente.
- ControlLogix 5580 v28-v30, ControlLogix 5570 v18 o posterior, ControlLogix 5560 v16 o posterior, ControlLogix 5550 v16, GuardLogix 5580 v31 o posterior, GuardLogix 5570 v20 o posterior, GuardLogix 5560 v16 o posterior, 1768 CompactLogix v16 o posterior, 1769 CompactLogix v16 o posterior, CompactLogix 5370 v20 o posterior, CompactLogix 5380 v28 o posterior, CompactLogix 5480 v32 o posterior, Compact GuardLogix 5370 v28 o posterior, Compact GuardLogix 5380 v31 o posterior, FlexLogix 1794-L34 v16, DriveLogix 5370 v16 o posterior:
- Ponga el interruptor de modo del controlador en modo "Ejecutar".
- SoftLogix 5800: No hay mitigación adicional disponible. Siga la Guía de diseño e implementación de Converged Plantwide Ethernet (CPwE).
Adicionalmente, Rockwell recomienda que los usuarios empleen los siguientes métodos para detectar cambios en la configuración de los dispositivos:
- Supervise el registro de cambios del controlador para detectar modificaciones inesperadas o actividad anómala.
- Si usa v17 o posterior, utilice la función de registro del controlador.
- Si usa v20 o posterior, utilice la detección de cambios en la aplicación Logix Designer.
- Si está disponible, use la funcionalidad en Factory Talk AssetCentre para detectar cambios.
Para solicitudes de información adicional se pueden enviar a Rockwell RASecure Inbox: rasecure@ra.rockwell.com.
CISA también recomienda:
- Minimice la exposición de la red para todos los dispositivos, en especial desde Internet.
- Ubique las redes del sistema de control y los dispositivos remotos detrás de firewalls, y separados de la red empresarial.
- Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN).