Мережі операційних технологій (OT) в оборонних системах — площини керування за радарами, силовими установками, стендами для випробувань зброї, обробкою магазинів, антенними решітками наземних станцій — провалюються інакше, ніж корпоративна IT. Подія програми-вимагача на корпоративному файловому шарі піддається відновленню; розгублений програмований логічний контролер на силовій установці під час контестованого транзиту — ні. Перше інженерне питання — не "як ми патчимо швидше", а "як мережа порізана і що перетинає кожну межу". Це питання сегментації, і п'ятдесят років канонічна відповідь — Purdue Enterprise Reference Architecture, накладена поверх мови zones-and-conduits IEC 62443. Ця стаття проходить модель end-to-end, потім накладає специфічні для оборони занепокоєння: гриф, cross-domain transfer, моніторинг нібито air-gapped стека та паперову роботу акредитації, яку архітектура зрештою має задовольнити.
1. Чому Purdue досі важлива
Purdue спочатку розроблялася для контролю хімічних та виробничих процесів, але її основна ідея — що мережу можна декомпозувати на шари з суворо визначеними довірчими відносинами між ними — пережила кожне покоління обладнання, до якого її застосовували. "Плоска OT"-мережа, де інженерні робочі станції, історизатори, інтерфейси людина-машина та польові контролери ділять нефільтрований Layer-2 broadcast domain, не може бути захищеною. Немає спостережуваної межі, на якій аналітик може сказати "трафік, що перетинає цю точку, має бути Modbus, і нічим іншим"; кожен хост довіряє кожному іншому хосту неявно; один скомпрометований ноутбук досягає кожного PLC через ARP.
IEC 62443 фіксує той самий інстинкт іншим словником: зона — це угрупування активів, що ділять спільні вимоги безпеки, а conduit — контрольований шлях між зонами. Conduit, не хости, — це де забезпечуються контролі безпеки. Рівні Purdue — фактично шаблон зонування за замовчуванням — стартова точка, яку оборонні програми адаптують, а не винаходять заново. Для решти цієї статті ми використовуємо номери рівнів Purdue та терміни zone/conduit IEC 62443 взаємозамінно; у практиці оборонної кібербезпеки вони описують один артефакт.
2. Шість рівнів Purdue
Рівень 5 — Підприємство. Корпоративна IT: пошта, ERP, інтранет, доступ підрядників. На оборонному об'єкті це несекретна бізнес-LAN, де живуть аудитори, нарахування зарплати та менеджери програм. Це ніколи не повинно безпосередньо торкатися процесного обладнання.
Рівень 4 — Планування та логістика об'єкта. Управління обслуговуванням, інвентар запасних частин, системи робочих нарядів. Для морської бойової системи це береговий логістичний хвіст; для зенітної батареї — система підтримки депо-рівня. Все ще IT-подібне, все ще патчується на IT-каденції.
Рівень 3.5 — Промислова DMZ. Найважливіша зона в моделі. Кожен потік між корпоративною IT та операціями проходить тут, термінований і повторно ініційований брокерськими сервісами: репліки історизатора, jump hosts, staging патчів, дзеркала оновлень анти-малваре. Жоден нативний протокол не перетинає DMZ; ніщо на рівні 3 не встановлює сесію з нічим на рівні 4 або вище, крім як через DMZ-проксі.
Рівень 3 — Операції об'єкта. Виробничо-широкі системи: операційний історизатор, сервери batch-management, інженерні застосунки об'єкта, OT domain controllers, OT-сервери патчів. На стенді випробування зброї це кімната керування полігоном — місце, де провідники випробувань оркеструють прогони через кілька комірок.
Рівень 2 — Супервізорний контроль. HMI, локальні інженерні робочі станції, alarm-сервери, line-of-sight SCADA. Для силової установки це консоль керування машинерією; для радара — сервер тактичного дисплея оператора. Люди керують процесом з рівня 2.
Рівень 1 — Базовий контроль. PLC, RTU, safety instrumented systems, спеціалізовані контролери. Логіка, що тримає тиск пари, повертає антену, секвенціонує пускову установку або відключає реактор. Реального часу, детермінована, часто не здатна терпіти навіть мілісекунду джиттера, введеного неправильно конфігурованим файрволом.
Рівень 0 — Процес. Сенсори та виконавчі механізми, клапани, мотори, перетворювачі, фізика системи. Дедалі більш цифрова (HART, IO-Link, Profibus-PA, FOUNDATION Fieldbus) і тому дедалі більше частина scope кібербезпеки.
Критична властивість — чим глибше ви йдете, тим більш детерміноване, менш патчене та менш здатне обладнання захищати себе. Контролер рівня 1, побудований у 2009, не має автентифікації на своєму інженерному протоколі. Уся суть сегментації — компенсувати це межовими контролями.
3. Накладання грифу на зони Purdue
Оборона додає другу вісь, якої Purdue не передбачала: гриф. Логістичне подання обслуговувального беклогу NATO RESTRICTED та SECRET тактичне подання тієї самої платформи можуть жити на тому ж рівні Purdue, але не можуть ділити broadcast domain. Результат — матриця: рівень Purdue на одній осі, гриф на іншій.
На практиці матриця згортається до малої кількості акредитованих комбінацій. Рівень 5 підприємства зазвичай UNCLASSIFIED або NATO RESTRICTED. Промислова DMZ може існувати в кількох грифах, по одному на enclave. Рівні 3 до 0 — фактичний контроль процесу — зазвичай прив'язані до найвищого грифу будь-яких даних, що вони обробляють, на принципі, що контролер не може стрипати гриф зі свого власного стану. Контролер рівня 1 радара, що запускає секретну форму хвилі, сидить у SECRET enclave, навіть якщо сам контролер — товарний PLC.
Архітектурно чесний хід — намалювати матрицю рано, позначити кожну комірку її акредитаційним власником і дозволеними conduits та відмовитися розгортати щось, що не вписується в позначену комірку. Це також де принципи zero-trust зустрічаються з класичним defense-in-depth: identity-aware політика всередині зони, апаратно-забезпечене розділення між грифами.
4. Cross-domain solutions в OT
Коли матриця існує, питання стає в тому, як дані рухаються між комірками. Дві категорії cross-domain solutions домінують в OT-розгортаннях.
Однонаправлені дата-діоди. Апаратні пристрої (Owl, Waterfall, Fox-IT FoxDataDiode, Advenica), що фізично дозволяють трафік лише в одному напрямку — зазвичай оптоволоконний передавач з одного боку та приймач з іншого, без можливого зворотного шляху на фізичному рівні. Класичний OT-випадок використання — експорт даних історизатора з рівня 3 на репліку рівня 4 або підприємства без піддавання OT-сторони жодному зворотному трафіку. Діоди — правильна відповідь, коли потік даних монотонний: телеметрія назовні, нічого досередини. Це неправильна відповідь для всього, що потребує підтверджень, патчів досередини або віддаленої підтримки вендора.
Transfer guards. Application-aware шлюзи (Forcepoint DDP, Fox-IT DataDiode в режимі guard, Everfox Trusted Gateway, Owl ReCon), що інспектують і фільтрують контент, що перетинає межу грифу в будь-якому напрямку. Guard може випустити санітизований наряд на обслуговування з SECRET до RESTRICTED після перевірки, що він не несе класифікованих анотацій, або витягнути перевірене оновлення прошивки PLC з нижчого enclave у вищий. Guards повільніші, дорожчі та складніші для акредитації, ніж діоди, але це єдина чесна відповідь, коли двонапрямлений потік справді необхідний.
Інженерне правило — починати з діода і ескалувати до guard лише коли операційний випадок використання доводить, що двонапрямлений потік неминучий.
5. East-West проти North-South сегментації
Purdue — переважно north-south модель: трафік рухається вгору і вниз рівнями і фільтрується на кожному conduit. Але сучасні атаки — east-west: коли противник на HMI рівня 2, наступний хід — вбік до сусіднього HMI, не вгору до історизатора. East-west сегментація всередині рівня Purdue — це другий фронт.
Мікросегментація в OT складніша, ніж в IT, з трьох причин. По-перше, багато застарілих протоколів (Modbus/TCP, DNP3, IEC 60870-5-104, S7) не несуть автентифікації і припускають плоский L2-домен. По-друге, контролери не можуть запускати host-based файрволи без порушення своїх real-time гарантій і часто гарантії вендора. По-третє, детерміновані бюджети таймінгу означають, що неправильно сконфігурований policy enforcement point може повалити завод швидше, ніж це зробив би атакувальник.
Два практичні підходи — дизайни VLAN-плюс-ACL на керованих промислових свічах (Hirschmann, Cisco IE, Moxa) та SDN-оверлеї, спеціально побудовані для OT (TXOne, Claroty xDome Secure Access, Dragos з NAC-інтеграціями). VLAN знайомі та акредитовані, але грубі; SDN — тонший, але вводить контролер, чия власна доступність стає єдиною точкою відмови. Більшість реальних програм закінчують запуском обох — VLAN як базою та SDN-політиками поверх для високоцінних комірок.
6. Моніторинг air-gapped стека
Кожна OT-програма стверджує, що вона air-gapped. Майже жодна не є. Є USB-порт на інженерному ноутбуці, ноутбук вендора, що приходить раз на квартал, обслуговуючий модем, виведений з експлуатації на папері, але досі з SIM-карткою, бездротовий інструмент, доданий під час переоснащення. Архітектура має припускати, що air-gap протікає, і інструментувати відповідно.
Платформи пасивного моніторингу — Nozomi Networks Guardian, Claroty CTD/xDome, Dragos Platform, Tenable OT Security — сидять на span-портах усередині кожної зони і реконструюють інвентарі активів, базові лінії протоколу та сигнали аномалій з пасивно спостережуваного трафіку. Вони ніколи не ін'єктують пакети, що робить їх розгортуваними на виробничому OT без відштовхування вендора. Поєднані з detection на основі історизатора (запити проти історизатора на неможливі зміни setpoint, частоти команд понад людську здатність, послідовності, що порушують технологічні блокування) та EDR на інженерній робочій станції, вони формують захищений стек моніторингу, навіть коли мережа номінально ізольована. Це лінія, досліджена в нашому розборі ICS/OT-форензики.
Ключовий висновок: Розглядайте кожен "air-gapped" OT-enclave як мережу з відкладеним підключенням — фізично ізольовану сьогодні, статистично гарантовано мостовану протягом життя активу. Проєктуйте моніторинг, ідентичність та потоки оновлень під мостований випадок, потім насолоджуйтесь air-gap як бонусом, поки він триває.
7. Ідентичність та доступ в OT
Ідентичність в OT домінується трьома популяціями: інженерні робочі станції, що використовуються персоналом об'єкта, vendor remote-access сесії та break-glass акаунти, утримувані для контролю аварій. Кожна потребує своєї дисципліни.
Інженерні робочі станції мають автентифікуватися до OT-side директорії — ніколи до enterprise IT директорії — з hardware-rooted credentials та записом сесій. Спільне використання корпоративного Active Directory через промислову DMZ — найпоширеніша архітектурна помилка в оборонному OT; вона перетворює компрометацію enterprise credential на компрометацію OT. Поєднайте це з апаратними коренями довіри на самих робочих станціях, щоб прив'язати credential до пристрою.
Vendor remote access — вічний ризик. Правильний патерн — jump host у промисловій DMZ, brokered access з повним записом сесій, time-boxed авторизації та модель "screen-share" з оператором у циклі замість автономного vendor-підключення. Неправильний патерн — досі поширений — постійний site-to-site VPN з офісу вендора в рівень 3.
Break-glass процедури мають існувати, бо OT-пріоритети іноді інвертують кіберпріоритети: при аварії вахтенному треба override контролера зараз, не після ротації токена. Задокументуйте break-glass credentials, зберігайте їх фізично, логуйте кожне використання та розглядайте кожне використання як інцидент, що потребує post-event review.
8. Докази акредитації
Нічого з вищеозначеного не важить, якщо сегментація не переживає акредитацію. ATO-пакет (Authority to Operate) для оборонного OT-сегмента зазвичай містить: діаграму zone-and-conduit з мітками грифу; визначення IEC 62443 Security Level Target (SL-T) на зону, обґрунтоване проти моделі загроз; conduit-by-conduit мапування контролів (які фільтри, які протоколи, яке логування); докази акредитації cross-domain solution (NCDSMO baseline для США, національні еквіваленти в членах NATO); заяви про залишковий ризик для будь-якої прогалини контролю; та операційний план безперервного моніторингу, що описує, як SL-T буде повторно доводитися з часом.
Визначення SL-T — де інженерія зустрічається з паперовою роботою. IEC 62443-3-2 визначає чотири рівні безпеки (SL 1 до SL 4), що представляють здатність противника, якому зона має чинити опір — від casual до nation-state з широкими ресурсами. Сегмент керування радаром на forward-deployed платформі зазвичай SL 3 або SL 4. Обраний SL веде кожну вимогу контролю далі в IEC 62443-3-3, від політики паролів до вибору криптографічного алгоритму. Виберіть SL занадто низько — і акредитатор відхилить пакет; виберіть занадто високо — і ви не зможете дозволити собі побудувати це.
Нарешті, переакредитація — повторювана каденція, а не одноразова подія. Більшість оборонних режимів вимагають повної переоцінки кожні три роки і delta-огляду на будь-яку "значну зміну" — яка в OT включає наступне оновлення прошивки вендора. Архітектуруйте сегментацію так, щоб докази регенерувалися самі: конфігурація захоплена в version control, виходи моніторингу архівовані як акредитаційні артефакти, записи змін пов'язані з повторними оцінками ризику. Сегментація, яку ви не можете повторно довести, — це сегментація, якої ви більше не маєте.