Unire la sicurezza IT e OT, Parte 2: BAS e il modello Purdue

Home » Security Blogger Network » Unire la sicurezza IT e OT, parte 2: BAS e il modello Purdue

Leadership di pensiero

6 giugno 2023

Scopri l'evoluzione degli ambienti IT/OT convergenti e l'impatto sulla convalida del controllo di sicurezza in questa nuova serie di blog.

Nel nostro primo post sull'utilizzo del BAS in un ambiente tecnologico operativo (OT), abbiamo fornito una panoramica di una tipica rete IT/OT convergente, le tendenze che stavano determinando un aumento del rischio informatico per i proprietari di asset industriali e una discussione ad alto livello su come BAS può contribuire a fornire migliore visibilità e protezione nell'ambiente convergente. In questo aggiornamento discuteremo dei vantaggi offerti da BAS in questi casi d'uso ed entreremo nei dettagli su dove e come BAS si inserisce in un'architettura IT/OT combinata utilizzando il modello Purdue.

Il modello Purdue è generalmente accettato come standard per la creazione di un'architettura di rete di un sistema di controllo industriale (ICS) in modo da supportare la sicurezza OT, separando i livelli della rete per mantenere un flusso gerarchico di dati tra di loro e, come tale, riflette il modello requisiti di architettura di base per molti framework di sistemi di controllo industriale come API 1164, ISA/IEC 62443 e NIST 800-82.

Purdue illustra come gli elementi tipici di un'architettura ICS si interconnettono, dividendoli in sei zone che contengono sistemi aziendali (la rete IT) e sistemi di controllo industriale (la rete OT). Se implementato correttamente, aiuta a creare un “air gap” tra i sistemi ICS/OT e IT, isolandoli in modo che un’organizzazione possa applicare controlli di accesso efficaci senza ostacolare il business. Detto questo, Purdue non è una prescrizione valida per tutti per l’architettura di rete OT. Come con qualsiasi rete, ogni ambiente avrà il proprio assortimento unico di dispositivi a ogni livello.

Figura 1:Un modello Purdue base

Il modello Purdue è costituito da sei livelli di rete, definiti dai sistemi e dalle tecnologie che risiedono in ciascuno. I sistemi IT occupano i 2 livelli superiori, mentre i sistemi OT occupano i 3 inferiori e tra di loro risiede una "zona demilitarizzata" convergente. Diamo uno sguardo più dettagliato a ciascuno:

Livello 5/4: Imprese e reti aziendali

Sebbene separati nel modello tradizionale Purdue, questi due livelli sono stati combinati per semplicità nel modello di base di cui sopra, poiché insieme costituiscono l'ambiente IT. I livelli 4 e 5 comprendono servizi a livello aziendale come Active Directory, sistemi di gestione delle risorse umane e dei documenti, piattaforme CRM (Customer Relationship Management), posta elettronica interna e Security Operations Center (SOC). Include anche servizi specifici per il sito come Enterprise Resource Planning (ERP) che determinano i programmi di produzione dell'impianto, l'utilizzo dei materiali, la spedizione e i livelli di inventario.

I dispositivi di questo livello utilizzano hardware IT standard, piattaforme cloud e sistemi operativi standard come Windows e Linux.

Livello 3.5: Zona demilitarizzata IT/OT (DMZ)

Mentre la DMZ situata nelle reti IT ha il compito di separare la rete aziendale da Internet, la DMZ situata nelle reti OT ha il compito di isolare la rete industriale da quella aziendale. Poiché le richieste di dati aziendali dal lato OT sono aumentate e viceversa, gli amministratori hanno dovuto collegare questi due livelli tramite DMZ.

I dispositivi a questo livello eseguono anche hardware IT, cloud e software standard.

Livello 3: Sistemi operativi

Questo livello contiene il monitoraggio, la supervisione e il supporto operativo per gestire i flussi di lavoro di produzione in officina. Questi includono workstation di ingegneria e operative che eseguono sistemi di gestione delle operazioni di produzione/esecuzione della produzione (MOMS/MES), storici dei dati per archiviare e analizzare i dati dei processi operativi.

Questo livello è in genere composto da applicazioni specializzate di gestione delle operazioni eseguite su hardware e sistemi operativi IT, cloud e mobili standard.