Промышленные сети на многих предприятиях развиваются достаточно хаотично, как правило, вырастая как дополнение к корпоративной сети. Однако такой хаотичный рост зачастую приводит к появлению слабых мест в сетевой топологии: отсутствию резервирования, использованию общего с корпоративным сегментом оборудования, узким местам в пропускной способности каналов связи и многому другому.
В этой статье мы рассмотрим архитектуру Purdue Enterprise (PERA), в рамках которой была разработана эталонная модель для потоков данных в промышленных сетях, где производственные процессы полностью автоматизированы. Будучи разработанной еще в начале 90х эта модель стала стандартом для построения сетевой архитектуры с учетом требований безопасности, разделяя уровни сети для поддержания иерархического потока данных между ними.
Данная модель показывает, как взаимодействуют типичные элементы архитектуры ICS, разделяя их на шесть зон, которые содержат информационные технологии и производственные системы. При правильной реализации она помогает установить «воздушный зазор» между системами ICS/OT и ИТ, изолируя их, чтобы организация могла обеспечить эффективный контроль доступа, не мешая бизнесу.
Разграничение на зоны
Производственные зоны занимают нижние уровни модели, в то время как системы IT занимают верхние уровни, с «демилитаризованной зоной» конвергенции между ними.
Здесь необходимо сделать небольшое отступление. Классическая архитектура промышленной сети предлагает трехуровневую модель. Такая топология упоминается в том числе и в нормативных актах регуляторов в области КИИ.
Здесь на нижнем уровне располагаются контрольно‑измерительные приборы и исполнительные механизмы, например датчики и электроприводы. Устройства этого уровня собирают информацию о физических параметрах системы, о ходе технологических процессов, преобразуют её в электрические сигналы и передают на следующий уровень.
Средний уровень состоит из программируемых логических контроллеров, которые принимают данные, собранные сенсорами, а также выдают указания исполнительным механизмам. Контроллеры функционируют без участия человека.
Верхний уровень включает систему серверов, компьютеров, мониторов, на которых визуализируются все изменения параметров работы технологических процессов, аварийное срабатывание оборудования, действия персонала.
Однако, архитектура PERA смотрит на сеть организации шире и помимо трех уровней промышленной сети в нее также входят DMZ и уровни корпоративной сети.
Рассмотрим каждый из уровней модели подробнее.
Уровень 4: Зона предприятия
На четвертом уровне размещается типичная ИТ‑сеть организации, здесь выполняются основные бизнес‑функции, включая управление производственными операциями. Системы планирования ресурсов предприятия (ERP) управляют производственными процессами завода, использованием материалов, логистикой и планированием запасов сырья.
Сбои здесь могут привести к длительному простою с потенциальным экономическим ущербом, отказом критической инфраструктуры или потерей дохода (вспоминаем про ущербы из нормативки в ФЗ 187).
Уровень 3.5: Демилитаризованная зона (DMZ)
В эту зону входят системы безопасности, такие как брандмауэры и прокси‑серверы, используемые для предотвращения горизонтального перемещения угроз между корпоративной и промышленной сетью. Рост автоматизации увеличил потребность в двунаправленных потоках данных между этими сегментами, поэтому этот уровень конвергенции может дать организациям конкурентное преимущество, но он также может увеличить их киберриски, если они примут подход плоской сети.
В некоторых организациях корпоративный и промышленный сегменты вообще не имеют физической связности. С точки зрения безопасности это идеальный вариант — нет связности нет возможности проникнуть злоумышленникам. Но как правило бизнесу необходима информация из промышленного сегмента и связность в каком‑то виде присутвует. Наличие DMZ сегмента позволяет усложнить злоумышленнику проникновение в промышленную сеть.
Кстати, о межсетевом экранировании сегмента DMZ. Готовя материал для статьи я смотрел различные схемы подключения DMZ сегмента и очень часто предлагалось использовать один межсетевой экран, который одной ногой смотрел в корпоративный сегмент, второй в DMZ а третьей в промышленный. Такой эконом вариант не слишком хорош с точки зрения безопасности. Злоумышленнику для того, чтобы проникнуть в промышленную сеть достаточно будет пробить только этот МЭ.
Более правильным вариантом является использование двух межсетевых экранов, как показано на рисунке. Причем DMZ firewall и ICS firewall должны администрироваться разными специалистами и ICS firewall должен управляться из промышленной сети. Тогда, даже в случае компрометации корпоративной сети и захвата узла администратора DMZ firewall атакующий не сможет попасть на ICS firewall.
Уровень 3: Зона систем производственных операций
В этой зоне содержатся настраиваемые устройства OT, которые управляют производственными рабочими процессами непосредственно в цехах. Здесь находятся системы управления производственными операциями (MOM), которые управляют производственными операциями. Системы управления производством (MES) собирают данные в реальном времени, чтобы оптимизировать производство. Хранилища данных (historians) хранят данные о процессах и (в современных решениях) выполняют контекстный анализ.
Как и на уровне 4, сбои здесь могут привести к экономическому ущербу, отказу критической инфраструктуры, риску для людей и безопасности предприятия или потере дохода.
C точки зрения сетевого трафика здесь могут ходить как промышленные протоколы, так и обычный, корпоративный трафик: HTTPS, RPC и т. д.
Уровень 2: Зона систем управления
Эта зона содержит системы, которые контролируют, отслеживают и управляют физическими процессами. Программное обеспечение для контроля и сбора данных (SCADA) контролирует и управляет физическими процессами локально или удаленно и объединяет данные для отправки архиваторам. Распределенные системы управления (DCS) выполняют функции SCADA, но обычно развертываются локально. Человеко‑машинные интерфейсы (HMI) подключаются к DCS и ПЛК для обеспечения базового управления и мониторинга.
Здесь ходят преимущественно промышленные протоколы.
Уровень 1: Зона интеллектуальных устройств
Эта зона содержит приборы, которые отправляют команды устройствам на уровне 0. Программируемые логические контроллеры (PLC) контролируют автоматизированный или человеческий ввод в промышленных процессах и вносят соответствующие коррективы в выходные данные. Удаленные оконечные устройства (RTU) соединяют оборудование на уровне 0 с системами на уровне 2.
Здесь ходит только промышленный трафик.
Уровень 0: Зона исполнительных механизмов
Эта зона содержит датчики, приводы и другие механизмы, непосредственно отвечающие за физические процессы. Стоит отметить, что многие современные датчики напрямую взаимодействуют минуя другие уровни с программным обеспечением для мониторинга в облаке через сотовые сети.
На рисунке ниже показан рабочий процесс и взаимодействие между различными зонами и системами. Также здесь представлены средние временные интервалы при выполнении операций.
Проблемы кибербезопасности
Архитектура PERA делает особый упор на безопасности процессов в сети. Давайте рассмотрим некоторые из этих проблем.
Рост внедрения IoT и облачных технологий в промышленной цепочке создания стоимости сделал многие промышленные сети настолько интегрированными, что традиционный воздушный зазор просто неэффективен. То есть идеология IoT требует физической связности промышленного сегмента с корпоративным, поэтому если на предприятии используются устройства, взаимодействующие напрямую с облаком, то рассчитывать на физическую изоляцию не приходится.
Устройства ICS были созданы для долговечности, а не для развития. Строгие требования к времени безотказной работы многих промышленных устройств затрудняют, удорожают или делают рискованным их обновление или замену, в результате чего многие системы уязвимы для современных атак, но при этом используются в промышленной сети.
В промышленных сетях, зачастую, используются плоские сети и оборудование от нескольких поставщиков. Однако развертывание микросегментации на уровне сети с физическими устройствами может означать значительное время простоя, особенно если системы ICS и SCADA слишком устарели. Важно понимать, что наличие плоской сети для всего промышленного сегмента сильно упрощает жизнь атакующему, так как после проникновения в промышленный сегмент ему не нужно отдельно пробиваться в каждый сегмент.
Ethernet по‑прежнему является основой большинства заводов и складов, но беспроводная связь набирает обороты, поскольку частная сотовая связь обеспечивает мобильность, надежность, детерминированную сеть и стандартизированные технологии. Это позволит использовать автономных мобильных роботов, коботов, отслеживание активов, умные очки и другие приложения Industry 4.0.
Поэтому при планировании сетевой топологии промышленных сегментов не стоит забывать об обеспечении безопасности беспроводных сетей.
Заключение
Сегодня, когда промышленный интернет вещей (IIoT) стирает грань между ИТ и промышленной сетью, эксперты часто задаются вопросом, применима ли модель PERA к современным сетям ICS. В конце концов, его сегментационная структура часто откладывается, поскольку данные с уровня 0 отправляются напрямую в облако. Однако многие полагают, что еще не время отказываться от этой модели.
На многих российских предприятиях по прежнему доминируют проводные технологии а пресловутый IoT о котором так много говорят маркетологи последнее десятилетие в реальности практически не используется. Соответственно большинство рекомендаций из методологии PERA будут по прежнему актуальны при построении промышленных сетей.
Готовы углубить свои знания в области построения и защиты промышленных сетей? Приглашаем вас на два открытых урока, которые помогут понять ключевые аспекты архитектуры PERA и обеспечить надежную безопасность ИТ и OT инфраструктур.
Первый урок — «Стек сетевых протоколов и с чем его едят. На примере TCP/IP», который пройдет 2 июля в 20:00, познакомит вас с принципами работы сетевых протоколов, необходимыми для эффективного взаимодействия между уровнями корпоративной и промышленной сетей.
Второй урок — «Управление рисками ИБ: как избежать инцидентов и защитить бизнес», состоится 7 июля в 20:00 и даст практические знания по управлению киберрисками и построению защищенной инфраструктуры в условиях современной автоматизации.
Другие темы открытых уроков собраны в календаре мероприятий. А если хотите системно развиваться в области ИТ и безопасности, обязательно ознакомьтесь с каталогом курсов — там вы найдете программы, которые помогут вам стать экспертом в своей области.