Purdue Reference Model 开发于 1990 年代,是 Purdue Enterprise Reference Architecture (PERA) 的一部分,是计算机集成制造 (CIM) 的参考数据流模型,即使用计算机控制整个生产过程。
Purdue Reference Model,“95”为企业提供了一个模型,最终用户、集成商和供应商可以在该模型中协作,在企业网络和流程基础设施的关键层集成应用程序。
Purdue Reference Model 被 ISA-99 采用并用作 ICS 网络分段的概念模型。它显示了典型工业控制系统 (ICS)的所有主要组件的互连和相互依赖关系,将 ICS 架构分为两个区域 - 信息技术 (IT) 和运营技术 (OT) - 并将这些区域细分为六个级别在 0 级。
Purdue 模型的基础是 OT,该系统用于关键基础设施和制造,以监控和控制物理设备和操作流程。在 Purdue 模型中,这与模型顶部的 IT 区域是分开的。在这两者之间,我们找到了一个DMZ来分隔和控制 IT 和 OT 区域之间的访问。在这些区域内,我们找到了描述每一层中的工业控制组件的单独层,包括:
- 0 级: 0 级包括构建产品的物理组件。0级设备包括电机、泵、传感器、阀门等。
- 第 1 级:第 1 级由监控和向 0 级设备发送命令的系统组成。示例包括可编程逻辑控制器 (PLC)、远程终端单元 (RTU) 和智能电子设备 (IED)。
- 2 级: 2 级是控制系统内整体过程的设备。例如,人机界面 (HMA) 和SCADA软件使人类能够监控和管理流程。
- 3 级: 3 级支持生产工作流程的管理。示例包括批次管理、制造运营管理/制造执行系统 (MOMS/MES) 和数据历史记录。
- 工业 DMZ (iDMZ) 区: iDMZ 在 IT 和 OT 网络之间形成一道屏障。跳箱之类的解决方案可以提供从 IT 环境对 ICS 系统的有限访问,但这种缓冲区还可以帮助防止 IT 环境中的感染传播到 OT 系统,反之亦然。
- 第 4 级:在第 4 级,企业资源规划 (ERP) 软件、数据库、电子邮件服务器和其他系统等系统管理制造运营的物流并提供通信和数据存储。
- 第 5 级:第 5 级是企业网络。虽然不是 ICS 环境,但该网络从 ICS 系统收集数据以进行业务决策。
普渡参考模型是否仍然相关?
最初在 1990 年代开发的模型是否仍然与保护 ICS 网络相关?对于当今的 OT 安全而言,哪些是相关的,哪些不是?答案是:视情况而定。 OT 网络中有多少仍在使用模型中描述的技术?您现在使用的是工业物联网 (IIoT) 设备等较新的系统吗?
Purdue 模型的一个优点是它的层次结构。系统组件定义明确,组件分为不同的层。层之间的边界是网络分段以控制层之间访问的逻辑位置。该模型可能不完全适合您当前的 OT 网络,但仍然是保护 OT 网络的良好起点。
传统普渡参考模型面临的一个挑战是 IIoT 设备。现代 ICS 网络正变得更加数字化连接,IT 和 OT 之间的界限可能不再像以前那样清晰。
与普渡模型中的 6 层不同,IIoT 环境可能具有 3 个组件架构,例如设备、现场或云网关以及服务后端。在边缘,IIoT 设备可以无线连接到网络和控制中心或现场或云网关。现场和云网关连接到在本地或云端运行的后端服务,用于管理、监控和分析 IIoT 数据,并为远程用户管理访问提供接口。
Purdue 模型可能与 IIoT 网络架构不匹配。但是,它仍可用于创建类似于 Purdue 模型的分层拓扑,以保护当今的 ICS。
ICS 零信任的必要性
ICS 网络运营商专注于交付产品,因此正常运行时间和可用性可能比安全性更重要。然而,2010 年的 Stuxnet 等网络攻击以及最近对关键基础设施的勒索软件攻击正在提高人们对网络威胁对 OT 和 ICS 的风险的认识。
除了可用性和正常运行时间问题之外,保护 ICS 网络的其他挑战是传统和新的 IIoT 设备固有的缺乏安全性。这些产品及其使用的协议在设计上可能并不安全。它们可能缺乏基本的安全功能,例如加密传输、访问控制松懈或没有,并且可能在尚未修补的易受攻击的操作系统上运行。
零信任安全模型方法可以提供帮助。零信任的安全方法始于对边界内外的任何事物的零信任。网络威胁防御不仅限于创建强大的外围防御。一旦威胁进入组织内部,就需要内部保护以防止其横向移动。在授予访问权限之前,安全性必须验证任何试图连接到其系统的事物。
在零信任的情况下,外围防御被数据和资产周围的微分段边界所取代。在具有数千台设备的复杂 ICS 环境中,实施零信任有助于创建安全覆盖,以保护易受攻击的传统和 IIoT 设备和系统。
ICS 安全解决方案
通过应用零信任方法来保护 ICS 系统,以允许跨区域边界的最低特权访问控制,例如 Purdue 模型中定义的用于保护 ICS 的层。这种方法允许在不影响 OT 操作的情况下应用安全性。
过渡到零信任首先要与 ICS 发现供应商合作,按制造商、功能、网络协议使用和网络威胁风险查找和分类资产。获得正常 ICS 资产通信的行为基线可以检测异常。
将 IT 网络与 OT 网络分割,以防止横向移动和横向感染。这包括:
- 监控 ICS 资产之间的东西向通信。
- 根据设备属性、风险和 OT 协议,应用精细的安全规则来控制跨区域的流量。
- 创建安全规则,确保系统仅使用它们设计使用的通信协议,并且基于设备的动态分组。
- 仅允许安全远程访问 ICS 资产和 OT 网络。
采取措施防止对易受攻击的系统和设备造成威胁。组织可以虚拟修补运行未修补固件的 OT 设备和已知漏洞的旧操作系统,而无需对其进行物理修补。
最后,在 IT 网络中应用高级威胁防护,例如沙盒和反网络钓鱼。
此外,部署端点反勒索软件和 EDR 解决方案,以防止复杂和有针对性的勒索软件攻击。这会自动从勒索软件文件加密尝试中恢复文件,并监控完整的攻击过程以保护端点和用户设备。
简而言之,通过保护 IT 和 OT 网络,您可以防止从 IT 横向移动到 OT,反之亦然。