ネットワークセグメンテーションは、ITおよびOTネットワークを持つ企業のセキュリティを向上させるための効果的なツールです。 ISA-99 で採用されている Purdue 参照モデルは、産業用制御システム (ICS) ネットワーク セグメンテーション のモデルであり、これらのネットワーク内の 6 つのレイヤー、レイヤー内にあるコンポーネント、およびこれらのネットワークを保護するための論理ネットワーク境界制御を定義します。
1990 年代に開発された Purdue Reference Model は、Purdue Enterprise Reference Architecture (PERA) の一部であり、コンピューター統合製造 (CIM) の参照データ フロー モデルです。
Purdue Reference Model, "95" は、エンドユーザー、インテグレーター、ベンダーが協力して、エンタープライズ ネットワークとプロセス インフラストラクチャの主要レイヤーでアプリケーションを統合できる企業向けのモデルを提供します。
Purdue 参照モデルは ISA-99 で採用され、ICS ネットワーク セグメンテーションの概念モデルとして使用されました。 ICSアーキテクチャを情報技術(IT)と 運用技術(OT) の2つのゾーンに分割し、これらのゾーンをレベル0から始まる6つのレベルに細分化することで、一般的な 産業用制御システム(ICS) のすべての主要コンポーネントの相互接続と相互依存性を示します。
At the base of the Purdue model is the OT, the systems used in critical infrastructures and manufacturing to monitor and control physical equipment and operational processes. In the Purdue Model, this is separate from the IT zone, which can be found at the top of the model. In between, we find a DMZ to separate and control access between the IT and OT zones. Within the zones, we find separate layers describing the industrial control components found in each layer, including:
1990 年代に最初に開発されたモデルは、 ICS ネットワークのセキュリティ保護に今でも有効ですか? 今日のOTセキュリティに何が関連し、何が重要でないか? 答えは「場合によります」です。 モデルで説明されているテクノロジーをまだ使用している OT ネットワークはどれくらいありますか? 現在、産業用モノのインターネット(IIoT)デバイスである新しいシステムを使用していますか?
One advantage of the Purdue model is its hierarchy. System components are clearly defined and components are grouped into distinct layers. Borders between the layers are logical places for network segmentation to control access between the layers. The model may not exactly fit your current OT network but is still a good starting point for securing an OT network.
従来のPurdueリファレンスモデルの課題の1つは、IIoTデバイスです。 現代のICSネットワークはデジタル接続が進んでおり、ITとOTの境界は以前ほど明確ではないかもしれません。
Purdueモデルの6つのレイヤーの代わりに、IIoT環境には、デバイス、フィールドまたはクラウドのGartner Magic Quadrant、サービスバックエンドなどの3つのコンポーネントアーキテクチャが含まれる場合があります。 エッジでは、IIoTデバイスは、ネットワーク、コントロールハブ、フィールドまたはクラウドにワイヤレスで接続できます(Gartner Magic Quadrant)。 フィールドとクラウドのガートナー・マジック・クアドラントは、オンプレミスまたはクラウドで実行されているバックエンド・サービスに接続され、IIoTデータの管理、監視、分析を行い、リモート・ユーザー管理アクセスのためのインターフェースを提供します。
The Purdue model may not match an IIoT network architecture. However, it can still be used to create a hierarchical topology similar to that of the Purdue model to secure today’s ICS. See IoT Security Architecture for more information.
ICS ネットワーク事業者は製品の提供に重点を置いているため、セキュリティよりも稼働時間と可用性が重要になる場合があります。 しかし、2010年のStuxnetなどのサイバー攻撃や、最近では重要インフラに対するランサムウェア攻撃により、OTやICSに対するサイバー脅威のリスクに対する認識が高まっています。
In addition to availability and uptime concerns, other challenges to securing ICS networks are the inherent lack of security in both legacy and newer IIoT devices. These products and the protocols that they use may not be secure by design. They may lack basic security features such as encrypted transport, have lax or no access controls, and may be running on vulnerable operating systems that have not been patched.
そこで役立つのが、ゼロトラストセキュリティモデルのアプローチです。 セキュリティに対するゼロトラストアプローチは、境界の内側または外側のすべてに対するゼロトラストから始まります。 サイバー脅威防御は、強力な境界防御を構築することだけにとどまりません。 脅威が組織内に侵入すると、その水平移動を防ぐために内部保護が必要です。 セキュリティは、アクセスを許可する前に、システムに接続しようとするあらゆるものを確認する必要があります。
ゼロトラストでは、境界防御は、データと資産を囲む マイクロセグメント化された 境界に置き換えられます。 何千台ものデバイスがある複雑なICS環境では、ゼロトラストを実装することで、脆弱なレガシーデバイスやIIoTデバイスやシステムを保護するためのセキュリティオーバーレイを作成できます。
Check Point secures ICS systems by applying a zero trust approach to allow least privileged access controls across zone boundaries like the layers defined in the Purdue model for securing ICS. This approach allows security to be applied without impacting OT operations.
Transitioning to zero trust starts with working in concert with ICS discovery vendors to find and categorize assets by manufacturer, function, network protocol usage, and cyber threat risk. Obtaining a behavioral baseline of normal ICS asset communications enables the detection of anomalies.
IT ネットワークと OT ネットワークをセグメント化して、水平移動と水平感染を防止します。 これには以下が含まれます。
脆弱なシステムやデバイスに対する脅威を防ぐための対策を講じます。 チェック・ポイントを使用すると、組織は、パッチが適用されていないファームウェアを実行しているOTデバイスや、既知のエクスプロイトからレガシー・オペレーティング・システムに、物理的にパッチを適用することなく、仮想的にパッチを適用できます。
Finally, apply advanced threat prevention in IT networks such as sandboxing and anti-phishing.
また、エンドポイントのランサムウェア対策ソリューションとEDRソリューションを導入して、巧妙で標的型ランサムウェア攻撃を防止します。 これにより、ランサムウェアによるファイル暗号化の試みからファイルが自動的に復元され、攻撃プロセス全体を監視して、エンドポイントとユーザーのデバイスが保護されます。
つまり、ITネットワークとOTネットワークの両方を保護することで、ITからOTへの水平移動やその逆の水平移動を防ぐことができます。 詳細については、 ICSセキュリティのデモをご依頼ください。