Purdue Model for ICS Security

La segmentation du réseau est un outil efficace pour améliorer la sécurité des entreprises disposant de réseaux informatiques et électroniques. Le modèle de référence Purdue, tel qu'adopté par la norme ISA-99, est un modèle de segmentation des réseaux de systèmes de contrôle industriel (ICS) qui définit six couches au sein de ces réseaux, les composants présents dans les couches et les contrôles des limites logiques du réseau pour sécuriser ces réseaux.

Demander une démo Guide IDC Sécurité de l'IdO

What is the Purdue Model for ICS Security?

Développé dans les années 1990, le modèle de référence Purdue, qui fait partie de l'architecture de référence de l'entreprise Purdue (PERA), est un modèle de flux de données de référence pour la fabrication intégrée par ordinateur (CIM), c'est-à-dire l'utilisation d'ordinateurs pour contrôler l'ensemble du processus de production.

Le modèle de référence Purdue, "95", fournit un modèle pour les entreprises où les utilisateurs finaux, les intégrateurs et les vendeurs peuvent collaborer à l'intégration de application dans les couches clés de l'infrastructure du réseau et des processus de l'entreprise.

Le modèle de référence Purdue a été adopté par l'ISA-99 et utilisé comme modèle conceptuel pour la segmentation du réseau ICS. Il montre les interconnexions et les interdépendances de tous les principaux composants d'un système de contrôle industriel (SCI) typique, en divisant l'architecture du SCI en deux zones - les technologies de l'information (TI) et les technologies opérationnelles (TO) - et en subdivisant ces zones en six niveaux, en commençant par le niveau 0.

At the base of the Purdue model is the OT, the systems used in critical infrastructures and manufacturing to monitor and control physical equipment and operational processes. In the Purdue Model, this is separate from the IT zone, which can be found at the top of the model. In between, we find a DMZ to separate and control access between the IT and OT zones. Within the zones, we find separate layers describing the industrial control components found in each layer, including:

Niveau 0 : Le niveau 0 comprend les composants physiques qui constituent les produits. Les appareils de niveau 0 comprennent les moteurs, les pompes, les capteurs, les vannes, etc.
Level 1: Level 1 is composed of systems that monitor and send commands to the devices at Level 0. Examples include Programmable Logic Controllers (PLCs), Remote Terminal Units (RTUs), and Intelligent Electronic devices (IEDs).
Niveau 2 : Au niveau 2 se trouvent les appareils qui contrôlent les processus généraux au sein du système. Par exemple, les interfaces homme-machine (HMA) et les logiciels SCADA permettent aux humains de surveiller et de gérer le processus.
Niveau 3 : Le niveau 3 prend en charge la gestion des flux de production. Les exemples incluent la gestion des lots, la gestion des opérations de fabrication/les systèmes d'exécution de la fabrication (MOMS/MES) et les historiens de données.
Industrial DMZ (iDMZ) Zone: The iDMZ creates a barrier between the IT and OT networks. Solutions like jump boxes can provide limited access to ICS systems from IT environments, but this buffer can also help prevent infections within the IT environment from spreading to OT systems and vice versa.
Level 4: At Level 4, systems like Enterprise Resource Planning (ERP) software, databases, email servers and other systems manage the logistics of the manufacturing operations and provide communications and data storage.
Niveau 5 : Le niveau 5 est le réseau de l'entreprise. Bien qu'il ne s'agisse pas d'un environnement ICS, ce réseau recueille des données provenant des systèmes ICS pour la prise de décisions commerciales.

Is the Purdue Reference Model Still Relevant?

Un modèle initialement développé dans les années 1990 est-il toujours pertinent pour sécuriser le réseau ICS? Qu'est-ce qui est pertinent et qu'est-ce qui ne l'est pas pour la sécurité de la technologie de l'information aujourd'hui ? La réponse est : cela dépend. Quelle est la part de votre réseau OT qui utilise encore la technologie décrite dans le modèle ? Utilisez-vous maintenant des systèmes plus récents qui sont des appareils industriels L'internet des objets (IIoT) ?

One advantage of the Purdue model is its hierarchy. System components are clearly defined and components are grouped into distinct layers. Borders between the layers are logical places for network segmentation to control access between the layers. The model may not exactly fit your current OT network but is still a good starting point for securing an OT network.

Les appareils IIoT constituent un défi pour le modèle de référence traditionnel de Purdue. Les réseaux ICS modernes sont de plus en plus connectés numériquement, et la frontière entre IT et OT n'est plus aussi nette qu'auparavant.

Au lieu des six couches du modèle Purdue, les environnements IIoT peuvent avoir une architecture à trois composants, par exemple un appareil, une passerelle de terrain ou cloud, et un backend de services. À la périphérie, l'appareil IIoT peut être connecté sans fil au réseau et à un concentrateur de contrôle ou à une passerelle de terrain ou cloud. Les passerelles sur le terrain et dans le cloud sont connectées à des services dorsaux fonctionnant sur site ou dans le cloud pour gérer, surveiller et analyser les données IIoT et fournir une interface pour l'accès à la gestion des utilisateurs à distance.

The Purdue model may not match an IIoT network architecture. However, it can still be used to create a hierarchical topology similar to that of the Purdue model to secure today’s ICS. See IoT Security Architecture for more information.

The Need for Zero Trust in ICS

Les opérateurs de réseaux ICS se concentrent sur la livraison de produits, de sorte que le temps de fonctionnement et la disponibilité peuvent être plus importants que la sécurité. Toutefois, des cyberattaques telles que Stuxnet en 2010 et, plus récemment, les attaques du logiciel rançonneur contre des infrastructures critiques, font prendre conscience des risques de cybermenaces pour l'OT et l'ICS.

In addition to availability and uptime concerns, other challenges to securing ICS networks are the inherent lack of security in both legacy and newer IIoT devices. These products and the protocols that they use may not be secure by design. They may lack basic security features such as encrypted transport, have lax or no access controls, and may be running on vulnerable operating systems that have not been patched.

L'approche du modèle de sécurité "zéro confiance" peut s'avérer utile. Une approche de la sécurité fondée sur la confiance zéro commence par une confiance zéro pour tout ce qui se trouve à l'intérieur ou à l'extérieur du périmètre. La défense contre les cybermenaces ne se limite pas à la création d'un périmètre de défense solide. Une fois que les menaces se sont frayé un chemin à l'intérieur d'une organisation, des protections internes sont nécessaires pour empêcher leur déplacement latéral. La sécurité doit vérifier tout ce qui tente de se connecter à ses systèmes avant d'accorder l'accès.

Avec la confiance zéro, les défenses périmétriques sont remplacées par des frontières micro-segmentées autour des données et des actifs. Dans les environnements ICS complexes comprenant des milliers d'appareils, la mise en œuvre de la confiance zéro peut aider à créer une superposition de sécurité pour sécuriser les appareils et systèmes hérités et IIoT vulnérables.

Check Point ICS Security Solution

Check Point secures ICS systems by applying a zero trust approach to allow least privileged access controls across zone boundaries like the layers defined in the Purdue model for securing ICS. This approach allows security to be applied without impacting OT operations.

Transitioning to zero trust starts with working in concert with ICS discovery vendors to find and categorize assets by manufacturer, function, network protocol usage, and cyber threat risk. Obtaining a behavioral baseline of normal ICS asset communications enables the detection of anomalies.

Séparer le réseau informatique du réseau OT afin d'éviter les mouvements et les infections latéraux. Il s'agit notamment de

Monitoring east-west communication between ICS assets.
Application de règles de sécurité granulaires pour contrôler le trafic entre les zones en fonction des attributs de l'appareil, des risques et des protocoles OT.
Créer des règles de sécurité qui garantissent que les systèmes n'utilisent que les protocoles de communication pour lesquels ils ont été conçus et qui sont basées sur le regroupement dynamique des appareils.
N'autorisez que l'accès à distance sécurisé aux actifs ICS et au réseau OT.

Prenez des mesures pour prévenir les menaces pesant sur les systèmes et appareils vulnérables. Avec Point de contrôle, les organisations peuvent virtuellement patcher les appareils OT utilisant des microprogrammes non patchés et des systèmes d'exploitation hérités contre les exploits connus sans avoir besoin de les patcher physiquement.

Finally, apply advanced threat prevention in IT networks such as sandboxing and anti-phishing.

Déployez également des solutions poste anti-logiciel rançonneur et EDR pour prévenir les attaques logicielles rançonneur sophistiquées et ciblées. Il restaure automatiquement les fichiers après les tentatives de chiffrement du logiciel rançonneur et surveille l'ensemble du processus d'attaque afin de protéger le poste et l'appareil de l'utilisateur.

En bref, en sécurisant à la fois le réseau IT et le réseau OT, vous empêchez les mouvements latéraux de l'IT vers l'OT et vice versa. Pour en savoir plus, nous vous invitons à demander une démonstration de sécurité ICS.