安全 ICS 架构的 Purdue 模型和最佳实践
在本系列的第一部分中,我们回顾了工业控制系统 (ICS) 的独特沿袭,并介绍了保护 ICS 的一些挑战。 在第二部分中,我们将向读者介绍普渡企业参考架构 (PERA)、其他专用于 ICS 网络安全的参考模型和出版物,以及保护这些至关重要的系统的架构和管理最佳实践。
回顾:ICS 网络安全的挑战
在我们对 ICS 的“固有不安全”性质的概述中,我们确定了保护这些系统的挑战,因为它们具有高可用性要求和缺乏固有的安全功能。在运营商和安全从业人员在运营技术 (OT) 环境中应对这些挑战之前,信息技术 (IT) 管理员面临着类似的挑战。第一代 IT 网络的管理员首先在外围解决了安全挑战,实施了第一批防火墙设备,将其受信任的局域网与不受信任的广域网(以及后来的 Internet)隔离开来。
保护 ICS 要求我们做同样的事情:创建一个可防御的环境。然而,在这种情况下,组织的 IT/业务网络组件对 ICS/OT 代表相同的不受信任区域,就像 Internet 对 IT 网络代表一样。再一次,分割是必需的,但沿着什么方向?普渡企业参考架构有助于回答这个问题。
普渡企业参考架构简介
Purdue 模型创建于 1990 年代初期,旨在为工业控制系统和业务网络之间的关系定义最佳实践(或使用可互换的术语,在 OT 和 IT 之间)。在它的第一次迭代中,有三个组件:
- 普渡企业参考架构
- 普渡参考模型
- 普渡实施程序手册
随着时间的推移,该模型逐渐发展为包括物理系统架构指南,并引入了环境的六个网络级别,描述了驻留在每个级别的系统和技术:
| PURDUE级别 | 描述 | 例子 |
| 第 5 级:企业网络 | 支持单个业务部门和用户的企业级服务。 这些系统通常位于企业数据中心。 |
服务器提供: 企业活动目录 (AD) |
| 第 4 级:业务网络 | 本地站点业务用户的 IT 网络。 连接到企业广域网 (WAN) 和可能的本地 Internet 访问。 直接 Internet 访问不应低于此级别。 | 商务工作站 本地文件和打印服务器 本地电话系统 企业 AD 副本 |
| IT/OT BOUNDARY (DMZ) | ||
|
3级: 全站监督 |
对站点或区域的监控、监督和运营支持。 | 管理服务器 人机界面 (HMI) 报警服务器 分析系统 历史(如果适用于整个站点或区域) |
| 2级:地方监督 | 对单个过程、单元、生产线或分布式控制系统 (DCS) 解决方案进行监控和监督控制。 将流程彼此隔离,按功能、类型或风险分组。 | 人机界面 报警服务器 过程分析系统 历史学家 控制室(如果范围为单个过程而不是站点/区域) |
| 级别 1:本地控制器 | 提供过程、单元、生产线或 DCS 解决方案的自动化控制的设备和系统。 现代 ICS 解决方案通常结合 1 级和 0 级。 | 可编程逻辑控制器 (PLC) 控制处理器 可编程继电器 远程终端单元 (RTU) 特定过程的微控制器 |
| 0 级:现场设备 | 用于电池、生产线、过程或 DCS 解决方案的传感器和执行器。 通常与 1 级结合使用。 | 基本传感器和执行器 使用现场总线协议的智能传感器/执行器 智能电子设备 (IED) 工业物联网 (IIoT) 设备 通信网关 其他现场仪表 |
一般来说,当您向下移动层次结构(从第 5 级到第 0 级)时,设备对关键流程的访问权限会增加,但内在的安全功能会减少。因此,较低级别的设备更依赖于网络和架构防御,以及位于较高级别的设备来保护它们。
在这一点上,重要的是要注意 PERA 从未打算成为网络安全参考模型。它旨在描述管理工业部门网络的企业和工业部门之间分割的最佳实践。尽管如此,它作为 IT/OT 安全中的概念框架仍然很流行,因为它显示了可以在哪里添加安全措施。
PERA 的一个关键方面是 0-3 级表示的 ICS/OT 系统与 4 级和 5 级企业网络的 IT 系统之间的边界点。从历史上看,管理员保护 ICS 系统的方式是最小化,甚至消除,两个环境之间的任何互连。随后,对于两者之间不存在互连的架构,OT 和 IT 之间的边界通常被称为“气隙”。随着对来自 OT 方面的更多数据的需求增加,管理员不得不通过防火墙连接这两个级别,这些防火墙仔细控制对非军事区 (DMZ) 的访问。防火墙调解 IT 和 OT 之间的所有通信,目的是消除两个环境之间的直接通信。
辩论普渡在 ICS 网络安全中的作用
网络安全界流行的一句话是:“所有模型都是错误的,但有些是有用的。”这当然适用于普渡模型,在考虑自 1990 年代以来技术如何发展时,该模型无疑具有局限性,从而促使业务目标和风险承受能力也发生变化。正如本系列的第一部分所讨论的,技术进步和成本效率促使组织从其 ICS 系统(位于 PERA 的 0-3 级)中提取更多数据。例如,远程连接到 ICS 可以降低操作员的劳动力成本和响应时间。此外,来自 ICS 的信息支持趋势、优化和计费等关键业务功能,有助于提高效率,同时增加 ICS 遭受攻击的风险。
一些批评者认为,PERA 将控制系统网络设想为与其他一切分离,并且对实时 OT 数据的需求增加以及基于云的系统和服务的结合消除了完全封闭系统的概念僵化的等级制度。在 2019 年 S4 会议上,Joel Langill 和 Brad Hegrat 就该主题进行了精彩讨论,可在此处查看。讨论的主题是“普渡模式是否已死”,赫格拉特先生认为普渡模式本质上已经死了,因为“融合杀死了它1”。在辩论的另一边,Langill 先生承认,虽然“从网络的角度来看,架构可能已经死了”,但该模型是最先展示“这些部分应该如何分层和互操作”的模型之一,并且“如果我们忽略了这一点,我们就会忽略我们最初创建等级制度的原因2。” Langill 认为,虽然该模型从未被视为安全参考架构,但它仍然包含一些风险理念,可帮助安全从业人员了解信息如何在组织上流动,从而有助于识别和解决潜在的攻击向量。
虽然 IT 和 OT 之间(层次结构的第 3 级和第 4 级之间)假定的“气隙”很少适用于当今的架构,但工业环境的核心组件并没有改变;它们仍然包括带有连接到控制器的传感器和执行器的设备,这些控制器将其数据传递到组织中的系统链上。此外,虽然云技术的出现可能会在地理上模糊界限,但普渡模型总是按功能对网络进行分段,这仍然可以应用于具有大量云集成的 OT/IT 环境。
争论的双方都提出了正确的观点,但 SANS 研究所的共识是 PERA 仍然是一个有用的概念框架,因为它是第一个根据明确定义的分类法对控制系统组件进行分类的框架之一。即使其层次结构不再能够统一应用于现代架构,将 ICS 和 IT 设备和系统分类为不同的功能层也有助于管理员和安全从业人员确定在何处有效地应用安全措施。
SANS ICS410 参考模型
SANS 扩展了 Purdue 模型和我们将在下一节讨论的一些 ICS 网络安全框架,为 ICS410 创建了 ICS410 参考模型:ICS/SCADA 安全要素。 ICS410 模型是一种公开可用的基础参考架构,它为 Purdue 模型添加了明确的执行边界,有助于将 ICS 设备和网络安全控制置于安全的网络架构中。
ICS410 Reference Model
一般来说,ICS410 参考模型具有以下优点:
- 以模板方式引入多个单元(cells)/行(lines)/流程(processes )的概念,并在多个站点进行扩展。
- 这有助于将 Purdue 模型扩展到不同的 ICS 应用,从大型站点(例如工厂、矿山、制造)到区域/分布式网络(例如电力、石油/天然气、水)。
- 包括包含广域网 (WAN) 通信的控件
- 包括安全系统
ICS 参考模型还通过以下方式提供了有关网段之间实施边界的更多详细信息:
- 细分一些 Purdue 级别(例如,第 3 级分为管理服务器、HMI、工程工作站、测试/分级系统、网络安全操作、远程访问等子部分)
- 定义多个 DMZ 并要求 IT 和 OT 之间的所有连接都终止于 DMZ(即,推一个方向,拉另一个方向)。
- Purdue 模型不包括 DMZ,尽管它们在实践中很常用。
- 在 2 级和 3 级之间引入次要执法边界,以保护:
- 不同单元/生产线/工艺中的 2 级设备。
- 来自恶意行为者的 2 级及以下设备,该恶意行为者已通过上层控制并进入 OT 环境。
- 来自恶意行为者的 3 级系统利用较低级别的物理访问。
- 明确执行边界,这会创建可以应用额外安全控制的自然阻塞点。
最后,ICS410 参考模型为保护远程访问这一关键功能提供了明确的指导。
与其他框架和参考模型一样,ICS410 参考模型将需要更新以适应增加云连接和 ICS 网络中其他 IIoT 设备所需的新设备和通信路径。
审查 ICS 网络安全标准
如果说 PERA 通过有效的分类和分类为 ICS 网络安全奠定了基础,那么一系列其他框架和出版物已经建立在该基础之上,并提供了专门针对保护工业控制系统的指导。示例包括:
- NIST 网络安全框架 (CSF)
- NIST 800-82(工业控制系统安全指南)
- ISA 99.02.01/IEC 62443:工业自动化和控制系统的安全
- NIST Cybersecurity Framework (CSF)
- NIST 800-82 (Guide to Industrial Control Systems Security)
- ISA 99.02.01/IEC 62443: Security for Industrial Automation and Control Systems
连同行业特定指导:
- 北美电力可靠性公司的关键基础设施保护 (NERC CIP)
- 运输安全管理局 (TSA) 管道安全指南
- 网络安全和基础设施安全局 (CISA) 关键基础设施部门指南
- North American Electric Reliability Corporation's Critical Infrastructure Protection (NERC CIP)
- Transport Security Administration (TSA) Pipeline Security Guidelines
- Cybersecurity & Infrastructure Security Agency (CISA) Critical Infrastructure Sectors Guidance
NIST CSF 由美国国家标准与技术研究院 (NIST) 发布,是美国政府大部分关键基础设施保护指南的核心。这在 NIST CSF 的正式标题中得到了证明:“改善关键基础设施网络安全的框架”。同样,TSA 为管道运营商使用与 CSF3 一致的类别提供指导。
Purdue 模型对这些指南和出版物的影响很明显,它们都促进了工业网络环境中系统的有效分段和隔离,并要求在它们之间的边界进行安全控制。例如,NIST 800-82 将这一概念阐明如下:
在为 ICS 部署设计网络架构时,通常建议将 ICS 网络与公司网络分开。 这两个网络上的网络流量性质不同:Internet 访问、FTP、电子邮件和远程访问通常在公司网络上被允许,但在 ICS 网络上不应该被允许。 公司网络上可能没有针对网络设备、配置和软件变更的严格变更控制程序。 如果 ICS 网络流量在公司网络上传输,则可能会被拦截或遭受 DoS 攻击。 通过拥有独立的网络,企业网络上的安全和性能问题应该不会影响 ICS 网络4。
这里引用的标准都共享许多核心概念,包括:
- 资产管理和分类,包括关键资产的定义及其在框架中的角色。
- 建立和维护包括风险评估和管理在内的安全计划。
- 安全网络和系统架构原则,强调隔离。
- 事件响应。
- 身份、访问管理、身份验证和授权。
- 数据和信息保护。
- 安全配置、漏洞管理和修补。
- 安全事件监控。
- 控制的实际应用。
在最后一节中,我们将扩展其中一些概念,并研究如何将这些指导原则转化为具体的管理任务。
应用原则:现代 ICS 网络安全架构的最佳实践
正如我们在本系列的第 1 部分中所讨论的,保护 ICS 网络可能很困难,原因有很多,包括需要连续和确定性的操作、多供应商环境中的互操作性、设备的种类和使用年限以及它们缺乏内在的安全性能力。由于这些限制,保护 ICS 环境的最佳机会是拥有强大的架构防御,从网络层开始,并在上述标准和框架提供的指导中突出显示。
强大的网络架构可提高 ICS 安全性,并为随着时间的推移可以实施额外的安全措施奠定基础。 Purdue 模型、NIST SP800-82、IEC 62443 和 SANS ICS410 参考模型都非常强调网络分段和分段之间的通信控制。
正如边界防火墙被普遍部署以保护企业环境免受基于 Internet 的攻击一样,ICS 环境应该在其许多实施边界上提供保护。尽管工业流程在普渡模型中处于较低级别,但最敏感的数据和控制点通常位于第 3 级,这也是大多数攻击者首先从业务网络访问 ICS 网络的地方。
从根本上说,ICS 系统应该使用完全独立于业务网络的专用基础设施。通过有效的分段,3 级和 4 级之间的防火墙可以控制进出 ICS 网络的网络通信。此防火墙应阻止进出 ICS 网络的所有通信,并明确允许仅最低要求的通信。
攻击也可能来自远程站点,尤其是在分布广泛的环境中。出于这个原因,应在 2 级和 3 级之间配置辅助执行边界,以保护管理系统免受来自现场的攻击,并保护各个现场站点免受彼此的攻击。这些强制边界通常使用路由器访问列表来实现,以避免关键进程通信通过可能阻碍合法通信的防火墙。
Recommended enforcement boundaries for sensitive data at Level 3
ICS 网络的完整功能需要许多不同类型的系统,包括操作员工作站、HMI、工程工作站、管理服务器、数据库服务器、历史记录器、警报服务器和许多其他专用系统。每个系统都有一个明确定义的角色,并且需要对其他系统进行特定的网络访问。因此,每个级别应进一步细分为多个网络,其中具有共同角色的系统可以驻留,并具有控制它们与网络其余部分通信的执行边界。
应创建多个 DMZ,每个都有专门的用途,以促进 ICS 网络和业务网络之间的通信。远程访问、云访问和 Internet 访问也可以通过专用 DMZ 进行调解。 DMZ 的实现和配置将在以后的博客文章中更详细地探讨。
执行边界不仅控制不同类别系统之间的通信,而且还充当自然网络“阻塞点”,可以监控和保存网络流量以供以后分析。防火墙生成的日志,结合从网络捕获的原始数据包,是丰富的信息来源。由于 ICS 网络是相对静态的,因此可以创建“正常”通信的基线,然后用于检测异常和威胁。
完整网络架构的详细分解超出了本博客的范围,但是有几个重要的最佳实践可供遵循:
- 4 级以下不应访问 Internet。
- 操作人员可能有一台单独的专用商务计算机,用于访问电子邮件、互联网和打印等服务。
- 可以实施 Active Directory (AD) 来帮助管理控制网络,但任何此类 AD 部署都应完全独立于业务 AD。域控制器和其他 AD 服务器应放置在第 3 级。
- 应采用如 ICS410 参考模型中所示的强制边界。
- 默认情况下,防火墙应阻止所有通信,只允许所需的通信。
- 所有对 ICS 网络的访问都应该需要额外的身份验证层,包括多因素身份验证。
- 应提供一种安全机制,以便在检查恶意软件时将文件传入和传出 ICS 网络。
- ICS 系统应该有专门的基础设施,例如不依赖于业务网络的防病毒和补丁系统。
- 应监控和记录所有进出控制网络的通信。
随着越来越多的供应商利用基于云的管理系统,从业者需要发展他们的 ICS 架构。必须与云通信的设备应放置在单独的专用区域中,将其网络访问限制为仅对其基于云的控制器和它们必须与之通信的本地系统进行访问。
此处提供的指南仅介绍了 ICS 网络安全最佳实践的一小部分。除了架构标准之外,安全从业人员还需要考虑一些控制措施,随着新功能需求和新技术不断进入等式,ICS 网络安全领域将不断发展。尽管如此,久负盛名的普渡模型经受住了时间的考验,提供了有关风险的想法和通用词汇,这些知识为当今许多受到关注的出版物和模型提供了信息。
随着我们关于 ICS 网络安全系列的继续,我们将深入研究具体的安全措施,包括在执法边界实施和配置非军事区的最佳实践。
专业术语
| 客户关系管理 (CRM) | CRM 系统是一个中央存储库,企业可以在其中存储客户和潜在客户数据、跟踪客户交互并与同事共享此信息。 它允许企业管理与客户的关系,从而帮助企业发展。 |
| 安全运营中心 (SOC) | 一个专用的集中式站点,用于监控、评估和保护企业信息系统(网站、应用程序、数据库、数据中心和服务器、网络、桌面和其他端点)。 |
| 人机界面 (HMI) | 人机界面 (HMI) 是特定设备或软件应用程序的功能或组件,它使人类能够与机器互动和互动。 在 ICS 中,HMI 通常是将用户连接到机器、系统或设备的屏幕或触摸屏。 |
| 可编程逻辑控制器 (PLC) | 一种固态控制系统,具有用户可编程存储器,用于存储指令,以实现特定功能,例如 I/O 控制、逻辑、定时、计数、三模式 (PID) 控制、通信、算术和数据和 文件处理。 |
| 远程终端单元 (RTU) | 远程终端单元 (RTU) 通常部署在工业环境中,是一种多用途设备,用于远程监视和控制各种设备和系统以实现自动化。 它的用途与可编程逻辑电路 (PLC) 相似,但程度更高。 RTU 被认为是独立的计算机,因为它共享相同的核心组件:处理器、内存和存储。 随后,它可以用作其他设备的智能控制器或主控制器,共同实现工业过程的自动化。 |
| 智能电子设备(IED) | 工业控制系统随处可见,例如监控和数据采集 (SCADA) 或分布式控制系统 (DCS),IED 是添加到 ICS 以实现高级电力自动化的设备。 IED 是许多工业过程中使用的功率调节的一部分,例如控制断路器、电容器组开关和电压调节器。 这些设置由设置文件控制。 文件的创建和测试是 IED 涉及的最大任务的一部分。 |
| 工业物联网 (IIoT) | 传感器、仪器、机器和其他设备联网在一起并使用互联网连接来增强工业和制造业务流程和应用程序。 |
原文:https://www.sans.org/blog/introduction-to-ics-security-part-2/