Operatiivisen teknologian (OT) verkot puolustusjärjestelmissä — tutkien, propulsiolaitosten, asejärjestelmien testipenkkien, lipastenhallinnan, maa-aseman antenniryhmien ohjausplanot — epäonnistuvat eri tavalla kuin yrityksen IT. Lunnasohjelmatapahtuma yrityksen tiedostonjaossa on palautettavissa; sekava ohjelmoitava logiikkaohjain propulsiolaitoksessa kiistanalaisen kauttakulun aikana ei ole. Ensimmäinen insinöörinen kysymys ei siis ole "miten korjaamme nopeammin" vaan "miten verkko on jaettu ja mitä kulkee jokaisen rajan yli." Tämä on segmentointikysymys, ja viidenkymmen vuoden ajan kanoninen vastaus on ollut Purdue-yritysviitearkkitehtuuri, kerrostettuna IEC 62443:n vyöhyke- ja kanava-kieleen. Tämä artikkeli käy mallin läpi alusta loppuun, sitten lisää puolustuskohtaiset huolenaiheet: luokittelu, verkkotunnusten välinen siirto, väitetysti ilmarakoitujen pinojen monitorointi ja akkreditointidokumentaatio, jonka arkkitehtuurin on viime kädessä täytettävä.
1. Miksi Purdue on edelleen tärkeä
Purdue laadittiin alun perin kemialliselle ja valmistuksen prosessinohjaukselle, mutta sen ydinajatus — että verkko voidaan hajottaa kerroksiin, joilla on tiukasti määritellyt luottamussuhteet niiden välillä — on selvinnyt jokaisesta laitteistosukupolvesta, johon se on sovellettu. "Tasaista OT:ta", jossa insinöörityöasemat, historioitsijat, ihmis-koneliittymät ja kenttäohjaimet kaikki jakavat suodattamattoman kerros-2 lähetysalueen, ei voi puolustaa. Ei ole havaittavaa rajaa, jossa analyytikko voisi sanoa "tämän pisteen yli kulkevan liikenteen pitäisi olla Modbus, ei mitään muuta"; jokainen isäntä luottaa jokaiseen muuhun isäntään implisiittisesti; yksi vaarantunut kannettava tietokone tavoittaa jokaisen PLC:n ARP:n kautta.
IEC 62443 kaappaa saman vaiston eri sanastolla: vyöhyke on varojen ryhmittely, jolla on yhteiset turvallisuusvaatimukset, ja kanava on kontrolloitu polku vyöhykkeiden välillä. Kanavat, ei isännät, ovat ne joissa turvallisuushallintoja toteutetaan. Purdue-tasot ovat käytännössä oletusarvoinen vyöhykemalli — lähtökohta, jota puolustusohjelmat mukauttavat pikemminkin kuin keksivät uudelleen. Tässä artikkelissa käytämme Purdue-tasonumeroita ja IEC 62443:n vyöhyke/kanava-termejä vaihtokelpoisesti; puolustuksen kyberturvallisuuskäytännössä ne kuvaavat samaa artefaktia.
2. Kuusi Purdue-tasoa
Taso 5 — Yritys. Yrityksen IT: sähköposti, ERP, intranet, urakoitsijapääsy. Puolustuksen toimipaikalla tämä on luokittelematon liiketoiminnan LAN, jolla tarkastajat, palkanlaskenta ja ohjelmapäälliköt toimivat. Sen ei pidä koskaan suoraan koskettaa prosessilaitteita.
Taso 4 — Toimipaikan liiketoiminnan suunnittelu ja logistiikka. Kunnossapidon hallinta, varaosien inventaario, työtilausjärjestelmät. Laivaston taistelujärjestelmälle tämä on rannan puoleinen logistiikkahäntä; ilmapuolustuspatteristolle, varastotyökalun tukijärjestelmä. Yhä IT-tyyppinen, yhä korjattu IT-tahdissa.
Taso 3.5 — Teollinen DMZ. Mallin tärkein vyöhyke. Jokainen virta yrityksen IT:n ja operaatioiden välillä kulkee tämän läpi, välityspalveluilla katkaistuna ja uudelleen aloitettuna: historiitsijat-replikat, hyppäysisännät, korjausten valmistelu, haittaohjelmien päivityspeilipalvelimet. Mikään natiivi protokolla ei ylitä DMZ:ää; mikään taso 3:lla ei muodosta istuntoa minkään taso 4:llä tai ylempänä olevan kanssa muuta kuin DMZ-välityspalvelimen kautta.
Taso 3 — Toimipaikan operaatiot. Tuotantolaajuiset järjestelmät: operatiivinen historioitsija, erähallintapalvelimet, tehtaanlaajuiset insinööriohjelmistot, OT-toimialueohjaimet, OT-korjauspalvelimet. Asejärjestelmän testipenkillä tämä on testausjohtajien huone — paikka, jossa testiohjaajat orkestroi ajoja useiden solujen välillä.
Taso 2 — Valvontaohjaus. HMI:t, paikalliset insinöörityöasemat, hälytyöspalvelimet, SCADA linja-näkymällä. Propulsiolaitokselle tämä on koneistonohjauskonsoli; tutkalle, operaattorin taktinen näyttöpalvelin. Ihmiset ohjaavat prosessia tasolta 2.
Taso 1 — Perusohjaus. PLC:t, RTU:t, turvallisuuden instrumentoinnit, erityisohjaimet. Logiikka, joka pitää höyrynpaineen, kääntää antennin, järjestää käynnistyslaitteen sekvenssin tai katkaisee reaktorin. Reaaliaikainen, deterministinen, usein kykenemätön sietämään edes millisekunnin jittertä väärin konfiguroidun palomuurin aiheuttamana.
Taso 0 — Prosessi. Anturit ja toimilaitteet, venttiilit, moottorit, muuntimet, järjestelmän fysiikka. Yhä digitaalisempia (HART, IO-Link, Profibus-PA, FOUNDATION Fieldbus) ja siksi yhä enemmän kyberturvallisuuden soveltamisalan osa.
Ratkaiseva ominaisuus on se, että mitä syvemmälle mennään, sitä deterministisempää, vähemmän korjattua ja vähemmän kykenevää laitteet ovat puolustautumaan itsensä puolesta. Taso 1:n ohjain, joka on rakennettu vuonna 2009, ei todenna insinöörinsä protokollaa. Segmentoinnin koko tarkoitus on kompensoida tätä rajaohjauksilla.
3. Luokittelupäällyste Purdue-vyöhykkeillä
Puolustus lisää toisen akselin, jota Purdue ei ennakoinut: luokittelun. NATO RESTRICTED -logistiikkanäkymä huoltorästistä ja SECRET-taktinen näkymä samasta alustasta voivat elää samalla Purdue-tasolla, mutta ne eivät voi jakaa lähetysaluetta. Tuloksena on matriisi: Purdue-taso yhdellä akselilla, luokittelu toisella.
Käytännössä matriisi tiivistyy pieneksi määräksi akkreditoituja yhdistelmiä. Taso 5:n yritys on tyypillisesti LUOKITTELEMATON tai NATO RESTRICTED. Teollinen DMZ voi olla useissa luokitteluissa, yksi per enklaavi. Tasot 3–0 — varsinainen prosessinohjaus — on yleensä kiinnitetty korkeimpaan niiden käsittelemien tietojen luokitteluun, periaatteella, että ohjain ei voi poistaa luokittelua omasta tilastaan. Tutkan tason 1 ohjain, joka ajaa luokiteltua aaltomuotoa, sijaitsee SECRET-enklaavissa, vaikka itse ohjain on hyödyke-PLC.
Arkkitehtuurisesti rehellinen siirto on piirtää matriisi aikaisessa vaiheessa, merkitä jokainen solu akkreditoinnin omistajalla ja sallituilla kanavilla, ja kieltäytyä ottamasta käyttöön mitään, joka ei sovi merkittyyn soluun. Tässä myös zero-trust-periaatteet kohtaavat klassisen puolustuksen syvyyden: identiteettitietoinen politiikka vyöhykkeen sisällä, laitteistopakotteinen erotus luokittelujen välillä.
4. Verkkotunnusten väliset ratkaisut OT:ssa
Kun matriisi on olemassa, kysymykseksi tulee miten tiedot liikkuvat solujen välillä. Kaksi luokkaa verkkotunnusten välisiä ratkaisuja hallitsee OT-jalkautuksia.
Yksisuuntaiset datadioodit. Laitteistolaitteet (Owl, Waterfall, Fox-IT FoxDataDiode, Advenica), jotka fyysisesti sallivat liikenteen vain yhteen suuntaan — tyypillisesti valokuitulähetin toisella puolella ja vastaanotin toisella, ilman paluupolkua fyysisellä kerroksella. Klassinen OT-käyttötapaus on historioitsijatietojen vieminen tasolta 3 tason 4 tai yrityksen replikaattiin paljastamatta OT-puolta millekään paluuliikenteelle. Dioodit ovat oikea vastaus, kun datavirta on monotoottinen: telemetria ulos, ei mitään sisään. Ne ovat väärä vastaus kaikelle, joka tarvitsee kuittauksen, korjauksia sisään tai toimittajan etätukea.
Siirtosuojat. Sovellusorientoituneet yhdyskäytävät (Forcepoint DDP, Fox-IT DataDiode suojatilassa, Everfox Trusted Gateway, Owl ReCon), jotka tarkastavat ja suodattavat sisältöä, joka ylittää luokittelurajan kumpaan tahansa suuntaan. Suoja voi vapauttaa desinfioidun huoltotyömääräimen SECRET:stä RESTRICTED-tasolle varmistamalla, ettei se sisällä luokiteltuja merkintöjä, tai vetää tarkastetun PLC-laiteohjelmistopäivityksen alemmasta enklaavista ylempään. Suojat ovat hitaampia, kalliimpia ja vaikeammin akkreditoitavissa kuin dioodit, mutta ne ovat ainoa rehellinen vastaus, kun kaksisuuntainen virta on todella tarpeen.
Insinöörinen sääntö on aloittaa dioodi ja eskaloida suojaan vain kun operatiivinen käyttötapaus todistaa, että kaksisuuntainen virta on väistämätön.
5. Itä-länsi vs. pohjois-etelä segmentointi
Purdue on ensisijaisesti pohjois-etelä-malli: liikenne liikkuu tasojen ylös ja alas ja suodatetaan jokaisessa kanavassa. Mutta nykyaikaiset hyökkäykset ovat itä-länsi — kun vastustaja on tason 2 HMI:llä, seuraava siirto on sivusuunnassa viereiseen HMI:hin, ei ylöspäin historioitsijaan. Itä-länsi-segmentointi Purdue-tason sisällä on siksi toinen rintama.
Mikrosegmentointi OT:ssa on vaikeampaa kuin IT:ssa kolmesta syystä. Ensinnäkin monet perinteikkäät protokollat (Modbus/TCP, DNP3, IEC 60870-5-104, S7) eivät sisällä todentamista ja olettavat tasaisen L2-alueen. Toiseksi ohjaimet eivät voi ajaa isäntäpohjaisia palomuureja rikkomatta reaaliaikatakuitaan ja usein myös toimittajan takuutaan. Kolmanneksi deterministiset ajoitusbudjetit tarkoittavat, että väärin konfiguroitu politiikan täytäntöönpanopiste voi kaataa laitoksen nopeammin kuin hyökkääjä olisi kaatanut.
Kaksi käytännöllistä lähestymistapaa ovat VLAN-plus-ACL-suunnittelu hallinnetuissa teollisuuskytkimissä (Hirschmann, Cisco IE, Moxa) ja OT:lle tarkoitukseen rakennetut SDN-peitteet (TXOne, Claroty xDome Secure Access, Dragos NAC-integraatioilla). VLAN:t ovat tuttuja ja akkreditoitavia mutta karkeita; SDN on tarkemmin rakeistettua mutta tuo mukanaan ohjaimen, jonka oma saatavuus tulee yksittäiseksi vikaantumispisteeksi. Useimmat todelliset ohjelmat päätyvät ajamaan molempia, VLAN:t peruslinjana ja SDN-politiikat kerrostettuna päälle korkean arvon soluille.
6. Ilmarakoituvan pinon monitorointi
Jokainen OT-ohjelma väittää olevansa ilmarakoitunut. Lähes mikään ei todella ole. Insinöörityöasemassa on USB-portti, toimittajan kannettava tulee kerran vuosineljänneksessä, huoltomodem, joka poistettiin käytöstä paperilla mutta sillä on yhä SIM-kortti, langaton laite, joka lisättiin muutostyön aikana. Arkkitehtuurin on oletettava, että ilmarakko vuotaa ja instrumentoida sen mukaisesti.
Passiiviset monitorointialustat — Nozomi Networks Guardian, Claroty CTD/xDome, Dragos Platform, Tenable OT Security — istuvat span-porteissa jokaisen vyöhykkeen sisällä ja rekonstruoivat omaisuusinventaarit, protokollaperusteet ja anomaliasignaalit passiivisesti havaitusta liikenteestä. Ne eivät koskaan injektoi paketteja, mikä tekee niistä käyttöönottavia tuotanto-OT:ssa ilman toimittajan vastarintaa. Yhdistettynä historioitsija-pohjaiseen havaitsemiseen (kyselyt historioitsijaan mahdottomien asetusarvomuutosten, ihmisen kykyä ylittävien komentonopeuksien, prosessitoimintojen rikkovien sekvenssien varalta) ja insinöörityöasemien EDR:ään, ne muodostavat puolustettavan monitorointipinon, vaikka verkko olisi nimellisesti eristetty. Tämä on linjaus, jota tutkimme ICS/OT-rikostekniikkaoppaassamme.
Keskeinen havainto: Käsittele jokainen "ilmarakoitunut" OT-enklaavi siirtymäyhteysverkkona — fyysisesti eristetty tänään, tilastollisesti varma silloittamiseen omaisuuden elinaikana. Suunnittele monitorointi, identiteetti ja päivitysvirrat silloitettuun tapaukseen, sitten nauti ilmarakosta bonuksena niin kauan kuin se kestää.
7. Identiteetti ja pääsy OT:ssa
Identiteetti OT:ssa on hallittu kolmella populaatiolla: toimipaikan henkilöstön käyttämät insinöörityöasemat, toimittajan etäkäyttöistunnot ja murtolevytilipit, joita pidetään vahinkotilanteiden hallintaan. Jokainen vaatii oman kurinalaisuutensa.
Insinöörityöasemien tulisi todentautua OT-puolen hakemistoon — ei koskaan yrityksen IT-hakemistoon — laitteistoankkuroituneilla tunnistetiedoilla ja istuntojen nauhoituksella. Yrityksen Active Directoryn jakaminen teollisen DMZ:n yli on yleisin arkkitehtuurinen virhe puolustuksen OT:ssa; se muuntaa yritystunnistetietojen kompromission OT-kompromissioksi. Parista tämän kanssa laitteistolähteinen luottamus itse työasemilla sitomaan tunniste laitteeseen.
Toimittajan etäkäyttö on ikuinen riski. Oikea malli on hyppäysisäntä teollisessa DMZ:ssä, välityspalvelupääsy täydellä istunnon nauhoituksella, aikarajoitetut valtuutukset ja operaattorin luupissa oleva "näyttönjako"-malli pikemminkin kuin autonominen toimittajayhteys. Väärä malli — yhä yleinen — on pysyvä sivusto-sivustolle VPN toimittajan toimistosta tason 3:lle.
Murtolevymenettelyt on oltava olemassa, koska OT-prioriteetit joskus kääntävät kyber-prioriteetit: vahinkotilanteessa vartijapäivystäjän on ohittaa ohjain nyt, ei tokenin rotaation jälkeen. Dokumentoi murtolevytunnistetiedot, säilytä ne fyysisesti, kirjaa jokainen käyttö ja käsittele jokainen käyttö tapahtumana, joka vaatii jälkiarvioinnin.
8. Akkreditointitodistus
Mikään edellä mainittu ei merkitse mitään, ellei segmentointi selviä akkreditoinnista. Toimintavaltuutuspaketti (ATO) puolustuksen OT-segmentille sisältää tyypillisesti: vyöhyke-ja-kanava-kaavion luokittelumerkinnöillä; IEC 62443:n turvallisuustasokohteen (SL-T) määrityksen per vyöhyke, perusteltuna uhkamallia vasten; kanavakohtaiset ohjauskartanukset (mitä suodatetaan, mitä protokollia, mitä kirjataan); todisteet verkkotunnusten välisten ratkaisujen akkreditoinnista (NCDSMO-perusarvo Yhdysvalloissa, kansalliset vastaavuudet NATO-jäsenissä); jäännösriskilausunnot mahdollisille ohjausvajille; ja operatiivinen jatkuvaan monitorointiin tarkoitettu suunnitelma, joka kuvaa miten SL-T todistetaan uudelleen ajan myötä.
SL-T-määritys on se, missä insinöörityö kohtaa paperityön. IEC 62443-3-2 määrittelee neljä turvallisuustasoa (SL 1–SL 4), jotka edustavat sen vastustajan kykyä, jonka vyöhykkeen on kestettävä — satunnaisesta kansallisvaltioon, jolla on laajat resurssit. Eteensijoitetulla alustalla oleva tutkan ohjainsegmentti on tyypillisesti SL 3 tai SL 4. Valittu SL ajaa jokaista alajuoksun ohjausvaatimusta IEC 62443-3-3:ssa, salasanapolitiikasta kryptografisen algoritmin valintaan. Valitse SL liian alhaalta ja akkreditointiviranomainen hylkää paketin; valitse se liian korkealta etkä pysty rakentamaan sitä.
Lopuksi uudelleenakkreditointi on toistuva tahdistus, ei yksittäinen tapahtuma. Useimmat puolustuksen käytännöt vaativat täyden uudelleenarvioinnin kolmen vuoden välein ja delta-arvioinnin kaikista "merkittävistä muutoksista" — joka OT:ssa sisältää seuraavan toimittajan laiteohjelmistopäivityksen. Suunnittele segmentointi siten, että todisteet regeneroivat itsensä: konfiguraatio versionhallinnassa tallennettuna, monitorointituotokset arkistoitu akkreditointiartefakteina, muutostietueet linkitetty riskinarviointeihin. Segmentointi, jota et pysty todistamaan uudelleen, on segmentointi, jota sinulla ei enää ole.