OT Säkerhet

Purdue-modellen

En hierarkisk referensmodell som delar upp industriella styrsystemmiljöer i definierade nivåer och utgör en konceptuell grund för nätverkssegmentering och säkerhetszondesign i OT-miljöer.

Var du ser detta: Relevant i industriella miljöer, kritisk infrastruktur och överallt där IT-nätverk ansluter till operationsteknologisystem.

Vad det är

Purdue-modellen organiserar industriella företagsfunktioner i en hierarki av nivåer numrerade noll till fyra, med en ytterligare industriell demilitariserad zon mellan OT-nivåerna och enterprise-IT-nivån. Nivå 0 innehåller den fysiska processen: sensorer, ställdon och maskinerna som styrs. Nivå 1 innehåller de enheter som direkt styr processen: PLC:er, RTU:er och intelligenta elektroniska enheter. Nivå 2 innehåller de övervakningssystem som övervakar och styr Nivå 1-enheter: SCADA-system, DCS-system, HMI-arbetsstationer och ingenjörsarbetsstationer. Nivå 3 innehåller platsövergripande operationer: produktionsstyrningssystem, historikservrar och satsstyrningssystem. Nivå 4 är enterprise-IT-nätverket med affärssystem som ERP, e-post och företagsapplikationer. Varje nivå kommunicerar primärt med nivåerna omedelbart ovan och nedan, och övergångar mellan avlägsna nivåer ska passera explicita gränser.

Nyckelpunkter
  • Delar upp ICS-miljöer i fem nivåer från fältenheter på Nivå 0 till enterprise-IT på Nivå 4.
  • Definierar den industriella demilitariserade zonen som en buffert mellan OT-nivåerna och företagsnätverket.
  • Tillhandahåller ett gemensamt vokabulär för att beskriva var tekniker och hot verkar i industriella arkitekturer.
  • Utmanas alltmer av molnuppkoppling, fjärråtkomst och konvergerade IT/OT-nätverk som inte passar modellen rent.
  • Fortfarande den dominerande referensmodellen i ICS-säkerhetsramverk inklusive IEC 62443 och NIST SP 800-82.

Hur det fungerar i stora drag

  1. Nivå 0 är den fysiska processen: sensorer som mäter temperatur, tryck, flöde och position, och ställdon som ventiler, motorer och pumpar som svarar på styrsignaler.
  2. Nivå 1 är grundläggande styrning: PLC:er, RTU:er och IED:er som läser Nivå 0-sensorer och driver Nivå 0-ställdon enligt programmerad logik och kör styrningsslingor i millisekund till sekundskala.
  3. Nivå 2 är övervakningsstyrning: SCADA-servrar, DCS-styrenheter, HMI-arbetsstationer och ingenjörsarbetsstationer som konfigurerar Nivå 1-enheter, visar processtatus och låter operatörer ingripa.
  4. Nivå 3 är platsoperationer: historikservrar som registrerar processdata över tid, tillverkningsexekveringssystem som schemalägger produktion och satsstyrningssystem som koordinerar komplexa processer i flera steg.
  5. Den industriella demilitariserade zonen befinner sig mellan Nivå 3 och Nivå 4 och innehåller system som behöver utbyta data i båda riktningarna: datahistoriker som replikerar uppåt till enterprise-rapporteringssystem, patchhanteringsservrar och fjärråtkomst-jumpservrar som tillhandahåller kontrollerad åtkomst inåt.
  6. Nivå 4 är enterprise-IT-nätverket: affärsapplikationer, företags-e-post, ERP-system och allmän IT-infrastruktur som inte har något direkt styrningsförhållande med den fysiska processen.

Konkret exempel

En livsmedelsproduktionsanläggning använder Purdue-modellen som grund för sin nätverksarkitektur. Sensorer och ställdon på produktionsgolvet befinner sig på Nivå 0. PLC:er som styr mixers, ugnar och förpackningsmaskiner befinner sig på Nivå 1, anslutna till HMI-arbetsstationer och en SCADA-server på Nivå 2 via ett dedikerat styrnätverk. En historikserver på Nivå 3 samlar in produktionsdata och replikerar den uppåt genom IDMZ till ett enterprise-rapporteringssystem på Nivå 4. IDMZ innehåller bara historikreplikeringstjänsten och en jumpserver för fjärråtkomst. Brandväggsregler mellan varje lager säkerställer att enterprise-system inte kan initiera anslutningar till OT-system, och att det enda tillåtna uppåtgående dataflödet från Nivå 3 är historikreplikering till den avsedda enterprise-servern.

Varför det är viktigt

Purdue-modellen ger säkerhetsarkitekter en gemensam referens för var tillgångar befinner sig och var gränser bör finnas. Kärnprincipen, att OT-nivåer ska isoleras från enterprise-IT med kontrollerat dataflöde, förblir giltig även när specifika implementeringar har förändrats.

Säkerhetsperspektiv

  • IDMZ är det säkerhetskritiskt viktigaste elementet. Den bör bara innehålla system som genuint behöver brygga OT och IT, med brandväggar på båda sidor och inga direkta anslutningar.
  • Dataflöden mellan nivåer bör vara avsiktliga och minimerade. En historiker som skickar data uppåt är lämpligt; enterprise-applikationer som når in till Nivå 2 för att fråga PLC:er är det inte.
  • Ingenjörsarbetsstationer på Nivå 2 är ett högt prioriterat mål eftersom de har auktoriserad åtkomst till Nivå 1-enheter och ofta är mer nåbara från företagsnätverk än PLC:erna.
  • Fjärråtkomst till OT-nivåer bör terminera i IDMZ på en jumpserver, inte tunnlas direkt till Nivå 2 eller Nivå 1-enheter.
  • Lateral rörelse mellan platser på samma Purdue-nivå är en risk modellen inte hanterar explicit. Horisontell segmentering mellan platser är lika viktig som vertikal.

Vanliga fallgropar

  • Att behandla Purdue-modellen som en efterlevnadschecklista snarare än som en designprincip. Ett nätverksdiagram som märker nivåer korrekt men dirigerar trafik fritt mellan dem ger ingen faktisk säkerhetsfördel.
  • Att anta att modellen mappar direkt till moderna arkitekturer. Molnanslutna sensorer, fjärrövervakningsplattformar, leverantörsunderhållstunnlar och SCADA-som-tjänst-lösningar skapar uppkoppling som kringgår den traditionella nivåhierarkin helt.
  • Att placera för många system i IDMZ eller tillåta direkta anslutningar genom den. En IDMZ som blir ett allmänt nätverkssegment förlorar sin funktion som en kontrollerad gräns.
  • Att ignorera öst-västlig trafik inom nivåer. Purdue-modellen fokuserar på nord-sydlig kommunikation mellan nivåer, men lateral rörelse mellan enheter på samma nivå är en verklig angreppsväg som kräver egna segmenteringskontroller.

FÖRDJUPNING

Ursprung och avsikt: en tillverkningsmodell adopterad för säkerhet

Purdue Enterprise Reference Architecture utvecklades vid Purdue University i början av 1990-talet, primärt av Theodore Williams och kollegor som arbetade med PERA-modellen för tillverkningsföretagsintegration. Dess ursprungliga syfte var inte säkerhet utan integration: den tillhandahöll ett ramverk för att förstå hur olika funktionella system i ett tillverkningsföretag relaterade till varandra och hur information borde flöda mellan dem. Modellen beskrev affärsfunktioner, inte nätverkstopologi, och adopterades av ISA-95-standarden för enterprise-styrsystemintegration som formaliserade nivåerna och deras funktionsdefinitioner.

Modellens adoption som säkerhetsarkitektur kom senare, när ICS-nätverk började kopplas till företags-IT-nätverk och behovet av organiserad segmentering blev tydligt. Säkerhetspraktiker fann Purdue-nivåerna som ett användbart vokabulär för att beskriva var enheter befann sig och var gränser borde tillämpas. IEC 62443, ICS-säkerhetsstandardfamiljen, använder begreppen zoner och kanaler som stämmer överens med Purdue-nivåtänkandet. NIST SP 800-82, vägledningen för industriella styrsystems säkerhet, refererar till modellen som ett ramverk för att förstå ICS-arkitektur.

Den här historien är viktig eftersom den förklarar varför Purdue-modellen har både styrkor och begränsningar som säkerhetsverktyg. Den designades för att beskriva hur ett integrerat tillverkningsföretag borde fungera, och det gör den bra. Den designades inte för att beskriva hur motståndare rör sig genom nätverk, hur fjärranslutning skapar exponering eller hur molnarkitekturer förändrar dataflödesmönster. Att tillämpa den effektivt kräver förståelse för vad den byggdes för att göra och var den behöver kompletteras med annat tänkande.

Nivåerna i praktiken: vad som faktiskt körs var

I verkliga industriella miljöer är de rena nivåseparationerna i Purdue-modellen ofta stökigare än diagrammet antyder. Nivå 0 och Nivå 1 är vanligtvis de mest tydligt definierade: fysiska sensorer och ställdon ansluter till PLC:er och RTU:er via dedikerade fältbussar eller diskret kabling, och dessa anslutningar är relativt enkla att kartlägga och skydda. Styrlogiken som körs i Nivå 1-enheter är den närmaste något som är en hård gräns i de flesta ICS-miljöer eftersom att ändra den kräver antingen fysisk åtkomst till enheten eller åtkomst via en programmeringsanslutning från Nivå 2.

Nivå 2 och Nivå 3 tenderar att suddas ut i praktiken. Ingenjörsarbetsstationer, SCADA-servrar och historiksystem körs ibland på delad infrastruktur eller kommunicerar över samma nätverkssegment. I mindre anläggningar kan en enda server utföra både övervakningsstyrningsfunktioner och platsoperationsfunktioner simultant. Dessa konsolideringar drivs ofta av kostnad och operativ bekvämlighet, men de komprimerar de gränser som modellen förutsätter existerar och som säkerhetsarkitekturer är beroende av.

IDMZ är där mest arkitektonisk disciplin krävs och där den oftast saknas. I miljöer som har implementerat en IDMZ innehåller den ofta långt fler system än avsett: patchhanteringsservrar, antivirusuppdateringsspeglar, fjärråtkomstinfrastruktur, leverantörsanslutningspunkter och datautbytestjänster har alla ackumulerats där över tid. En IDMZ som har blivit ett allmänt nätverkssegment ger mycket svagare isolering än en som bara innehåller det minimalt nödvändiga antalet system med explicit definierade dataflöden i båda riktningarna.

Den industriella demilitariserade zonen som säkerhetskontroll

IDMZ är det arkitektoniska elementet som översätter Purdue-modellens konceptuella nivåseparation till en faktisk säkerhetsgräns. Den befinner sig mellan OT-nivåerna och enterprise-IT-nätverket och innehåller system som behöver utbyta data över den gränsen. En väldesignad IDMZ har en brandvägg mot OT-nätverket, en separat brandvägg mot enterprise-nätverket och system däremellan som är specialbyggda för datautbyte snarare än allmän datorkraft. Ingen anslutning bör passera direkt genom IDMZ från ena sidan till den andra: alla dataöverföringar bör terminera vid ett system inuti IDMZ och ha sin ursprungspunkt från det systemet mot den andra sidan.

Historikreplikeringsmönstret är det kanoniska exemplet på korrekt IDMZ-design. En Nivå 3-historiker samlar in processdata från OT-miljön. En separat replikeringstjänst inuti IDMZ hämtar data från Nivå 3-historikern och gör den tillgänglig för enterprise-rapporteringssystem. Enterprise-system frågar IDMZ-replikeringstjänsten, inte Nivå 3-historikern. OT-brandväggen tillåter bara replikeringsanslutningen från IDMZ till Nivå 3. Enterprise-brandväggen tillåter bara frågeanslutningar från enterprise-system till IDMZ. Ingen väg existerar från enterprise-nätverket till OT-miljön, och ingen väg existerar från OT-miljön till enterprise-nätverket.

Fjärråtkomst via IDMZ följer ett liknande mönster. Leverantörer och fjärroperatörer autentiserar sig till en jumpserver eller fjärråtkomstserver belägen inuti IDMZ. Från jumpservern kan de komma åt specifika OT-system via tillåtna anslutningar med sessionsloggning. Jumpservern är den enda kontrollpunkten: den tillämpar vem som kan ansluta, vad de kan komma åt och tillhandahåller en komplett post över all aktivitet. Ingen VPN eller direkt tunnel bör kringgå denna arkitektur genom att dirigera fjärranslutningar direkt till OT-nätverkssegment.

Var modellen brister: moln, fjärråtkomst och IT/OT-konvergens

Purdue-modellen utvecklades innan molndatorkraft, allestedsnärvaro av internetuppkoppling och mjukvara-som-tjänst-plattformar existerade. Moderna industriella miljöer inkluderar i allt högre grad molnanslutna sensorer som skickar data direkt till molnplattformar, leverantörshanterade enheter som kontaktar supportportaler, fjärrövervaknings-tjänster som ansluter från internet och SCADA-som-tjänst-lösningar där övervakningssystem körs utanför anläggningsnätverket helt. Inget av detta passar in i den traditionella nivåhierarkin, och allt skapar uppkopplingsvägar som Purdue-modellen inte tar hänsyn till.

IT/OT-konvergens skapar ytterligare press på modellen. Organisationer som vill minska kostnader och förbättra operativ synlighet kör i allt högre grad OT-system på delad IT-infrastruktur, använder enterprise-identitetssystem för att hantera OT-åtkomst och dirigerar OT-data via enterprise-nätverksvägar. Dessa konvergenser motiveras ofta av operativa och finansiella fördelar, men de kollapsar de nivågränser som modellen förlitar sig på och kan skapa exponering som varken IT-teamet eller OT-teamet fullt ut äger eller förstår.

Det lämpliga svaret är inte att överge Purdue-modellen utan att behandla den som en startpunkt snarare än en komplett lösning. Moderna ICS-säkerhetsramverk, inklusive IEC 62443 och vägledningen i NIST SP 800-82 revision 3, erkänner att den traditionella modellen måste utökas med zon- och kanalanalys som tar hänsyn till icke-traditionell uppkoppling. Den underliggande principen, att olika nivåer av kritikalitet och risk bör separeras av kontrollerade gränser, förblir giltig oavsett om de specifika nivådefinitionerna mappar rent till den faktiska miljön.

Att använda Purdue-modellen för praktisk säkerhetsarkitektur

Det praktiska värdet av Purdue-modellen i säkerhetsarbete är som ett strukturerat sätt att fråga var saker är, vad de kommunicerar med och om dessa kommunikationsvägar är lämpliga. En säkerhetsgranskning som kartlägger en OT-miljö mot Purdue-nivåer identifierar snabbt avvikelser: enheter på Nivå 2 som kommunicerar direkt med Nivå 4 utan att passera en IDMZ, fjärråtkomstanslutningar som terminerar inuti Nivå 1 snarare än i IDMZ, historiker som accepterar anslutningar från enterprise-system snarare än att skicka data uppåt via en kontrollerad väg.

Varje avvikelse från den avsedda arkitekturen är ett potentiellt fynd, men inte varje avvikelse är lika betydande. En Nivå 3-historiker med en ytterligare anslutning till ett enterprise-rapporteringssystem kan representera ett mindre policyundantag. En direkt anslutning från ett företagslaptop-nätverk till ett Nivå 1 PLC-subnät är ett kritiskt arkitektoniskt gap. Att prioritera fynd kräver förståelse för vilka avvikelser som skapar vägar som en angripare kan utnyttja för att förflytta sig från en miljö med lägre behörighet till ett styrnätverk med hög konsekvens.

Modellen tillhandahåller också ett vokabulär för att kommunicera arkitektoniska beslut till intressenter som inte är nätverksingenjörer. Att förklara för driftschefer och ledning att målet är att säkerställa att affärssystem inte kan nå styrsystem direkt, och att all datautbyte passerar en övervakad gräns, är enklare med en referensmodell med intuitiva nivåetiketter än med råa nätverkstopologidiagram. Purdue-modellens bestående värde ligger delvis i dess tydlighet som kommunikationsverktyg, vilket är varför den består även när de underliggande nätverksarkitekturerna har utvecklats avsevärt bortom vad modellen ursprungligen beskrev.