Purdue Modellen i OT Sikkerhed: Segmentering af Industrien
Når man bevæger sig fra klassisk IT-sikkerhed ind i OT-sikkerhed (Operational Technology), støder man uundgåeligt ind i én specifik referenceramme igen og igen: Purdue Modellen (Purdue Enterprise Reference Architecture - PERA).
Purdue Modellen, der oprindeligt blev udviklet i 1990’erne, fungerer som den ultimative guldstandard for at designe, strukturere og – allervigtigst – sikre netværksarkitekturen i et industrielt miljø (ICS/SCADA).
Kort sagt: Modellen opdeler virksomhedens systemer konsekvent fra det grumsede og åbne internet (IT) og hele vejen ned til den fysiske maskine, der samler biler på fabriksgulvet (OT).
Modellens Niveauer (Levels)
Purdue Modellen inddeler arkitekturen i flere adskilte logiske lag (Levels) for at skabe striks netværkssegmentering. Reglen er simpel: Et system må kun kommunikere med niveauet umiddelbart over eller under sig selv. Aldrig springe et niveau over!
Her er en gennemgang af niveauerne, set nedefra og op:
The Cell / Area Zone (Fysiske Miljø)
- Level 0 (Physical Process): Dette er selve robottens arm, den virkelige vandpumpe, ventilen, transportbåndet, eller temperatursensorerne. Her finder den faktiske tingslige process sted i den fysiske verden.
- Level 1 (Basic Control): Her findes de smarte controllere, typisk en PLC (Programmable Logic Controller) eller RTU (Remote Terminal Unit). De modtager signaler fra Level 0, udfører kodet logik (f.eks. hvis varmen er > 80 grader, så stop maskinen) og sender analoge signaler ned til Level 0 for at tvinge fysiske aktioner.
- Level 2 (Supervisory Control): Her har vi fabriksgulvets overvågning – primært HMI’er (Human-Machine Interfaces) og SCADA noder. Maskinoperatøren kigger på en skærm her for at aflæse PLC’ernes (Level 1) status eller trykke på “Start/Stop”-knapper via en grafisk brugerflade.
Industrial Zone (Produktionsstyring)
- Level 3 (Site Operations): Her planlægges og forvaltes selve produktionen på tværs af hele fabrikken. Det dækker over systemer som MES (Manufacturing Execution Systems), historians (databaser der optager temperatur/flow/produktionstal historisk) og batch-management systemer.
Zonen I Mellem (Sikkerhedslaget)
- Level 3.5 (Industrial Demilitarized Zone - iDMZ): Den hellige gral for IT/OT sikkerhed! iDMZ’en, understøttet intenst af ISA/IEC 62443 standarden, er buffer-zonen (mellemIT firewalls) der separerer IT-zonen og OT-zonen. Ønsker forretningen i Level 4 at hente data fra fabrikken i Level 3, må de ikke forbinde direkte. De skal anmode filer formidlet af en proxy eller database, som befinder sig midt i denne sikre stødpude-zone.
The Enterprise Zone (Klassisk IT)
- Level 4 (Site Business Planning): Dette er det klassiske corporate IT-netværk. Her sidder regnskabsafdelingen, HR, og ledelsen. Her afvikles ERP-systemer (Enterprise Resource Planning), mail-servere og Windows AD.
- Level 5 (Enterprise Network): Det eksterne netværk, internettet, det globale firmas hovedkvarter, cloud-tjenester eller leverandører (third-party forbindelser).
Hvorfor er modellen så vigtig for Cyber Security?
Før i tiden var Level 3 fuldstændigt afkoblet (Air-Gapped) fra Level 4. Hvis en hacker kom ind via nettet i Level 5, mødte de en fysisk mur og kunne ikke hoppe over i produktionen.
I dag, med Industri 4.0 og ledelsens ønsker om real-tids data (“smart factories”), skal alt fra skruemaskiner til transportbånd kobles på netværket for effektivitetsanalyser – Air-gappet er borte. Her brillerer Purdue Modellen som det logiske forsvarsværk (Defense in Depth).
Gennem brandmure og regelsæt tvinger Purdue Modellen angriberen til at bryde igennem lag efter lag. En kompromitteret phising-mail på HR-chefens computer (Level 4) kan ikke køre Ransomware direkte på en PLC (Level 1). Den malware modarbejdes af iDMZ-arkitekturen (Level 3.5) – i stedet for at produktionen lægges ned i samme sekund som kontormedarbejderne klikker på det forkerte link.
Opsummering (Zero Trust & Segmentering): Purdue-modellen formaliserer “Least-Privilege”-princippet på et makro-netværksniveau. Derudover tillader den specialister lynhurtigt at tale samme sprog: “Vi har opdaget irregulær SMB trafik der peger direkte fra Level 5 ned i Level 2”, hvilket er kode for en monumental konfigurations- og sikkerhedsbrøler.
Kilder
- The Purdue Enterprise Reference Architecture (PERA) - Det officielle hjemsted for PERA-arkitekturen udviklet af Theodore J. Williams.
- ISA-95 Enterprise-Control System Integration - Standarden der formaliserer lagdelingen mellem forretning og produktion.
- NIST SP 800-82 Rev. 3: Guide to Operational Technology (OT) Security - NIST’s omfattende vejledning til sikring af OT-miljøer.
- SANS ICS: Defense-in-Depth for Industrial Control Systems - SANS whitepaper om lagdelt forsvar i ICS-netværk baseret på Purdue-arkitekturen.
> Quiz: Test din viden
1. Hvad befinder sig på Level 0 i Purdue Modellen?
2. Hvad hedder buffer-zonen mellem IT og OT i Purdue Modellen?
3. Hvilken kommunikationsregel gælder i Purdue Modellen?
4. Hvor mange niveauer har Purdue Modellen?