Purduesta nykyaikaiseen OT-tietoturvaan: miksi perinteinen malli ei enää riitä
Monet teollisuusyritykset ovat tehneet mittavia investointeja segmentointiin, palomuureihin ja verkkoarkkitehtuuriin. Mutta kun esitämme yksinkertaisen kysymyksen ”Havaitsisitko hyökkääjän, joka liikkuu OT-järjestelmiesi välillä?” vastaus on usein epävarma.
Purduen malli on edelleen yksi teollisen kyberturvallisuuden tärkeimmistä viitekehyksistä. Nykyaikaiset OT-ympäristöt ovat kuitenkin kehittyneet huomattavasti pidemmälle kuin mitä malli alun perin oli tarkoitettu suojaamaan. Tässä artikkelissa avataan, miksi tällä on merkitystä ja mitä nykyaikainen OT-tietoturva nykyään edellyttää.
Mikä on Purduen malli?
Purdue-malli, joka tunnetaan myös nimellä Purdue Enterprise Reference Architecture (PERA), kehitettiin 1990-luvun alkupuolella, ja se on edelleen osa kansainvälisiä standardeja, kuten IEC 62443. Malli jakaa teollisuusympäristöt hierarkkisiin tasoihin:
Taso 0 – Fysikaaliset prosessit Pumput, venttiilit, moottorit, anturit ja muut fyysiset laitteet.
Taso 1 – Perusohjaus PLC-ohjausyksiköt, RTU-yksiköt, mittauslaitteet ja paikalliset ohjaimet.
Taso 2 – Valvonta SCADA-järjestelmät, käyttöliittymät ja prosessivalvonta.
Taso 3 – Toiminnan johtaminen Laitoksen toiminta, tuotannonhallinta, historiatiedot ja operatiiviset sovellukset.
Taso 4 – Yritystietotekniikka ERP-järjestelmät, liiketoimintasovellukset ja yritysverkot.
Tasojen 3 ja 4 välissä sijaitsee teollinen DMZ (demilitarisoitu vyöhyke), jonka tarkoituksena on estää suora viestintä IT- ja OT-ympäristöjen välillä.
Ajatus oli nerokas: teollisuusjärjestelmät eristettiin, verkot jaettiin palomuureilla ja oletettiin, että rajan sisäpuolella olevat järjestelmät olivat luotettavia. Vuonna 1992 tämä oli erittäin tehokas toimintatapa.
Onko Purduen malli edelleen ajankohtainen?
Kyllä – perustana.
Ei – kokonaisvaltaisena tietoturvastrategiana.
Kenttälaitteiden, ohjausjärjestelmien ja yritysverkkojen välisen segmentointia ja erottelua koskevat periaatteet ovat edelleen merkityksellisiä. Useat perustavanlaatuiset muutokset ovat kuitenkin muuttaneet oletuksia, joihin Purduen malli perustui.
Miltä OT-ympäristöt näyttävät nykyään
Kysy tuotanto-, energia-, yleishyödyllisten palveluiden, merenkulun tai kriittisen infrastruktuurin alalla toimivalta toiminnanjohtajalta, miltä heidän toimintaympäristönsä todellisuudessa näyttää, ja vastaus vastaa harvoin Purduen oppikirjoissa esitettyä arkkitehtuuria.
Tyypilliseen ympäristöön kuuluvat usein:
- Historian-palvelimet, jotka lähettävät tuotantotietoja suoraan pilvipalvelualustoille, kuten Azureen
- Ulkoiset palveluntarjoajat, jotka muodostavat etäyhteyden huolto- ja vianmääritystarkoituksissa
- Tekniset työasemat kytketään verkkoon tarpeen mukaan, usein epäjohdonmukaisilla kytkentätasoilla
- IT- ja OT-ympäristöjä kattavat yhteiset palvelut, kuten Active Directory ja DNS
- Toimintatiimit, jotka tarvitsevat reaaliaikaisia hallintapaneeleita ja analytiikkaa päätöksentekoa varten
Tämä ei ole huonoa tietoturvakäytäntöä vaan toimintaympäristön todellisuutta. Ja se on todellisuus, jota alkuperäinen Purduen malli ei ole koskaan suunniteltu käsittelemään.
Miksi perinteiset OT-turvallisuusoletukset eivät enää päde
1. Ilmarako on poistunut
Perinteisissä Purduen toteutuksissa oletettiin, että OT-verkko ja ulkoiset verkot olivat fyysisesti erillään toisistaan.
Nykyään tuo olettamus pitää harvoin paikkansa. Toimittajien etäkäyttö, pilviyhteydet, teollisen internetin (IIoT) laitteet, etävalvonta sekä tietojen jakamista koskevat liiketoimintavaatimukset ovat käytännössä poistaneet fyysisen eristyksen useimmista teollisuusympäristöistä.
Monet organisaatiot uskovat edelleen, että niiden verkot toimivat erillään toisistaan. Käytännössä vain harvat tekevät niin.
2. Hyökkääjät liikkuvat vapaasti IT- ja OT-verkkojen välillä
Ehkä merkittävin muutos koskee sitä, miten kyberhyökkäykset etenevät.
Viime vuosien merkittävimmät kiristyshakkerointitapaukset, kuten Colonial Pipeline -hyökkäys ja lukuisat eurooppalaisia teollisuusyrityksiä kohdanneet hyökkäykset, ovat paljastaneet yhteisen kaavan: hyökkääjät pääsevät sisään IT-järjestelmien kautta ja siirtyvät sitten sivusuunnassa OT-ympäristöihin.
Ne hyödyntävät luottamuksellisia suhteita, yhteisiä palveluita ja toimialueiden välistä puutteellista näkyvyyttä. Pelkkä perinteinen segmentointi ei riitä pysäyttämään hyökkääjää, joka on jo päässyt tunkeutumaan ympäristöön.
Tämän vuoksi nykyaikaisissa tietoturvastrategioissa on keskityttävä paitsi järjestelmien erotteluun myös havaitsemiseen ja valvontaan sekä IT- että OT-alueilla.
3. Näkyvyys on tullut liiketoiminnan kannalta elintärkeäksi
Purduen malli on suunniteltu tukemaan järjestelmän käytettävyyttä ja vakautta. Sitä ei ole koskaan suunniteltu uhkatunnistusta varten.
Malli tarjoaa vain vähän ohjeita siitä, miten havaitaan PLC-laitteiden välinen sivuttaisliike, luvattomat konfiguraatiomuutokset, prosessiarvojen manipulointi, pitkäaikainen tietojen vuotaminen tai sisäpiirin uhat.
Samalla esimerkiksi NIS2-asetuksen ja uusien kansallisten kyberturvallisuuslakien kaltaiset säännökset asettavat organisaatioille yhä suurempia vaatimuksia tapahtumien havaitsemisesta, tutkimisesta ja raportoinnista.
Arkkitehtuuri, jossa ei ole sisäänrakennettua näkyvyyttä, ei enää riitä.
Mitä nykyaikainen OT-tietoturva edellyttää
Ratkaisu ei ole Purduen korvaaminen, ratkaisu on rakentaa sen päälle nykyaikaiset tietoturvatoiminnot.
Vaihe 1: Näkyvyys – et voi suojella sitä, mitä et näe
Kaikki alkaa näkyvyydestä. Organisaatiot tarvitsevat kattavan luettelon teollisuusverkostojensa laitteista, tietoliikenneyhteyksistä ja riippuvuussuhteista.
Passiivisen valvonnan tekniikoiden avulla tietoturvatiimit voivat tunnistaa tuntemattomat laitteet, viestintämallit, protokollapoikkeamat ja luvattomat yhteydet, ilman, että toiminta häiriintyy.
Vaihe 2: Segmentointi todellisen liikenteen perusteella
Segmentointin tulisi vastata todellisia viestintätarpeita , ei vuosia sitten järjestelmän suunnitteluvaiheessa tehtyjä oletuksia.
Organisaatioiden tulisi jatkuvasti tarkistaa, mitkä järjestelmät ovat yhteydessä toisiinsa, mitkä yhteydet ovat todella tarpeellisia ja mitkä vanhat yhteydet ovat säilyneet vain siksi, ettei kukaan ole kyseenalaistanut niitä. Tehokas segmentointi perustuu havaittuun käyttäytymiseen, ei arkkitehtuurikaavioihin.
Vaihe 3: Tunnistaminen OT-ympäristössä
Pelkkä alueiden turvaaminen ei enää riitä. Nykyaikainen OT-tietoturva edellyttää jatkuvaa valvontaa, joka kohdistuu sivuttaisliikkeisiin, protokollapoikkeamiin, laitteiden käyttäytymisen muutoksiin, luvattomiin komentoihin ja prosessipoikkeamiin.
Tavoitteena on havaita uhat ennen kuin ne vaikuttavat toimintaan.
Vaihe 4: IT- ja OT-tietoturvatoimintojen integrointi
Perinteinen ero IT-turvallisuuden ja OT-turvallisuuden välillä on nopeasti häviämässä. Hyökkääjät eivät piittaa organisaatiorajoista, joten puolustajienkaan ei pitäisi.
Nykyaikainen tietoturvakeskus (SOC), jolla on OT-osaamista, pystyy yhdistämään tapahtumia molemmilta aloilta, lyhentämään reagointiaikoja ja tarjoamaan yhtenäisen näkymän organisaation riskeihin.
Vaihe 5: Zero Trust -malli teollisuusympäristöissä
OT-ympäristön nollaluottamus ei tarkoita kehittyneiden tunnistautumiskontrollien käyttöönottoa 20 vuotta vanhoissa kenttälaitteissa.
Kyse on luottamussuhteiden rajoittamisesta: sen määrittämisestä, mitkä järjestelmät voivat olla yhteydessä toisiinsa, etäkäytön hallinnasta ja valvonnasta, vähimmäisoikeusperiaatteiden noudattamisen varmistamisesta sekä sivuttaisliikkumisen mahdollisuuksien vähentämisestä. Periaate on sama kuin tietotekniikassa.
Purdue ja nollaluottamus: kilpailijoita vai toisiaan täydentäviä tekijöitä?
Nämä kaksi täydentävät toisiaan, sillä Purduen malli määrittelee vyöhykkeet sekä rajat ja Zero Trust -malli varmistaa, ettei näiden vyöhykkeiden sisällä kulkevaa liikennettä pidetä automaattisesti luotettavana.
Purdue tarjoaa rakenteen, Zero Trust tarjoaa turvallisuusajattelutavan. Organisaatiot tarvitsevat molempia.
Miten Purdue sopii standardiin IEC 62443?
IEC 62443 -standardi perustuu Purduen vyöhykejakoon, mutta laajentaa sitä merkittävästi turvallisuustasoilla, riskipohjaisilla turvallisuusvaatimuksilla, turvallisen arkkitehtuurin periaatteilla, toimitusketjun turvallisuusvaatimuksilla sekä elinkaaren hallinnalla.
Purdue tarjoaa viitekehyksen. IEC 62443 määrittelee turvallisuusvaatimukset.
Kolme kysymystä, jotka jokaisen organisaation tulisi esittää
- Onko sinulla täydellinen näkyvyys kaikkiin OT-ympäristösi laitteisiin – mukaan lukien laitteet, joita ei ole koskaan tarkoitettu liitettäväksi verkkoon?
- Pystyisitkö havaitsemaan hyökkääjän, joka liikkuu sivusuunnassa teollisuusjärjestelmien välillä, ennen kuin se vaikuttaa toimintaan?
- Käsitteleekö sama tietoturvatiimi sekä OT- että IT-poikkeamia – vai toimivatko eri tiimit erillisinä, käyttäen erilaisia työkaluja, prosesseja ja seurantamahdollisuuksia?
Jos vastaus johonkin näistä kysymyksistä on ”ei” tai ”en ole varma”, saattaa olla aika arvioida uudelleen OT-turvallisuusarkkitehtuurianne.
Tämä on osa 1/3: Toimintaterapian ohjaus käytännössä
Verkon suunnittelu ja tietoturva-arkkitehtuuri muodostavat perustan – mutta todellinen hallinta tuotanto- ja käyttötekniikan (OT) alalla vaatii muutakin kuin oikeanlaisen arkkitehtuurin. Tämän sarjan seuraavissa kahdessa artikkelissa käsitellään sitä, mikä usein jää puuttumaan:
Osa 2 – OT-valvonta on muutakin kuin vain tietoturvaa: Kuinka luoda läpinäkyvyyttä, hallintoa ja jäsenneltyjä prosesseja, jotka koskevat resursseja, toimittajien käyttöoikeuksia ja muutoksenhallintaa.
Osa 3 – Arvioinnista vaatimustenmukaisuuteen: Miten OT-ympäristön kypsyystaso arvioidaan, miten laaditaan priorisoitu etenemissuunnitelma ja mitä NIS2-direktiivi ja kyberturvallisuuslainsäädäntö tosiasiassa edellyttävät OT-ympäristöiltä.
NetNordic auttaa organisaatioita suunnittelemaan ja ottamaan käyttöön nykyaikaisia OT-tietoturva-arkkitehtuureja – laitteistojen kartoituksesta ja verkon segmentointista SOC-integraatioon, hallintoon ja jatkuvaan valvontaan.
Sisällysluettelo
- Mikä on Purduen malli?
- Onko Purduen malli edelleen ajankohtainen?
- Miltä OT-ympäristöt näyttävät nykyään
- Miksi perinteiset OT-turvallisuusoletukset eivät enää päde
- 1. Ilmarako on poistunut
- 2. Hyökkääjät liikkuvat vapaasti IT- ja OT-verkkojen välillä
- 3. Näkyvyys on tullut liiketoiminnan kannalta elintärkeäksi
- Mitä nykyaikainen OT-tietoturva edellyttää
- Vaihe 1: Näkyvyys – et voi suojella sitä, mitä et näe
- Vaihe 2: Segmentointi todellisen liikenteen perusteella
- Vaihe 3: Tunnistaminen OT-ympäristössä
- Vaihe 4: IT- ja OT-tietoturvatoimintojen integrointi
- Vaihe 5: Zero Trust -malli teollisuusympäristöissä
- Purdue ja nollaluottamus: kilpailijoita vai toisiaan täydentäviä tekijöitä?
- Miten Purdue sopii standardiin IEC 62443?
- Kolme kysymystä, jotka jokaisen organisaation tulisi esittää
- Tämä on osa 1/3: Toimintaterapian ohjaus käytännössä
Aihealueet
Sisältötyypit
Aiheeseen liittyvää sisältöä
Assumed Breach
Tietoturvavalvonta 24/h on vasta puolet työstä
SOC-integraatio: mitä yrityksen liittäminen SOC-järjestelmään todella vaatii
NIS2-direktiivi: Kyberturvallisuus siirtyy IT-osastolta johtoryhmän pöydälle
Mitä johdon pitäisi ymmärtää verkon uusista uhista tekoälyaikana? Asiantuntijat kertovat