O que é o modelo Purdue para segurança em ICS

Propósito do modelo Purdue

O modelo Purdue, parte da Purdue Enterprise Reference Architecture (PERA), foi projetado como um modelo de referência para fluxos de dados na manufatura integrada por computador (CIM), onde os processos de uma fábrica são completamente automatizados. Ele veio para definir o padrão para a construção de uma arquitetura de rede ICS de uma forma que ofereça suporte à segurança de OT, separando as camadas da rede para manter um fluxo hierárquico de dados entre elas.

O modelo mostra como os elementos típicos de uma arquitetura de ICS se interconectam, dividindo-os em seis zonas que contêm sistemas de tecnologia da informação (TI) e de OT. Implementado corretamente, ele ajuda a estabelecer um isolamento entre sistemas de ICS/OT e sistemas de TI, isolando-os para que uma organização possa aplicar controles de acesso eficazes sem prejudicar os negócios.

Zonas do modelo Purdue

Os sistemas de OT ocupam os níveis mais baixos do modelo, enquanto os sistemas de TI ocupam os níveis superiores, com uma “zona desmilitarizada” de convergência entre eles.

Vamos dar uma olhada em cada uma das zonas no modelo de referência Purdue, de cima para baixo:

Figura 1: uma renderização básica do modelo Purdue

Nível 4/5: zona empresarial

Essas zonas abrigam a rede de TI típica, onde ocorrem as principais funções comerciais, incluindo a orquestração das operações de manufatura. Os sistemas de planejamento de recursos empresariais (ERP) aqui controlam os cronogramas de produção da fábrica, o uso de materiais, o envio e os níveis de estoque.

Interrupções aqui podem levar a períodos de inatividade prolongados, com potencial para danos econômicos, falha de infraestrutura crítica ou perda de receita.

Nível 3/5: zona desmilitarizada (DMZ)

Essa zona inclui sistemas de segurança, como firewalls e proxies, usados em um esforço para impedir a movimentação lateral de ameaças entre TI e OT. O aumento da automação aumentou a necessidade de fluxos de dados bidirecionais entre sistemas de OT e TI, portanto, essa camada de convergência de TI-OT pode dar às organizações uma vantagem competitiva, mas também pode aumentar seu risco cibernético se elas adotarem uma abordagem de rede plana.

Nível 3: zona de sistemas de operações de manufatura

Essa zona contém dispositivos de OT personalizados que gerenciam fluxos de trabalho de produção no chão de fábrica:

• Os sistemasde gerenciamento de operações de manufatura (MOM) gerenciam as operações de produção.
• Os sistemas de execução de fabricação (MES) coletam dados em tempo real para ajudar a otimizar a produção.
• Historiadores de dados armazenam dados de processo e (em soluções modernas) realizam análises contextuais.

Assim como nos níveis 4 e 5, interrupções aqui podem levar a danos econômicos, falha de infraestrutura crítica, risco à segurança de pessoas e instalações ou perda de receita.

Nível 2: zona de sistemas de controle

Essa zona contém sistemas que supervisionam, monitoram e controlam processos físicos:

• O software de controle de supervisão e aquisição de dados (SCADA) supervisiona e controla processos físicos, local ou remotamente, e agrega dados para enviar aos historiadores.
• Os sistemas de controle distribuído (DCS) executam funções de SCADA, mas geralmente são implantados localmente.
• Interfaces homem-máquina (IHMs) se conectam a DCS e PLCs para oferecer controles e monitoramento básicos.

Nível 1: zona de dispositivos inteligentes

Essa zona contém instrumentos que enviam comandos aos dispositivos do nível 0:

• Controladores lógicos programáveis (PLCs) monitoram entradas automatizadas ou humanas em processos industriais e ajustam as saídas conforme necessário.
• Unidades terminais remotas (RTUs) conectam hardware no nível 0 a sistemas no nível 2.

Nível 0: zona de processo físico

Essa zona contém sensores, atuadores e outras máquinas diretamente responsáveis pela montagem, lubrificação e outros processos físicos. Muitos sensores modernos se comunicam diretamente com o software de monitoramento na nuvem por meio de redes celulares.

A figura 2 mostra o fluxo de trabalho e as interações entre as diferentes zonas e sistemas.

Figura 2:fluxo de trabalho e interações do modelo Purdue

O modelo Purdue ainda é relevante?

Quando o modelo Purdue foi introduzido em 1992 por Theodore J. Williams e o Consórcio da Universidade Purdue, poucos outros modelos haviam delineado uma hierarquia de informações clara para CIM, que começou a se consolidar no setor em meados do final da década de 1980.

Hoje, com a internet industrial das coisas (IIoT) confundindo a linha entre TI e OT, os especialistas frequentemente se perguntam se o modelo Purdue ainda se aplica às redes de ICS modernas. Afinal, sua estrutura de segmentação costuma ser deixada de lado, pois os dados do nível 0 são enviados diretamente para a nuvem. No entanto, muitos sugerem que ainda não é hora de descartar o modelo.

Em 2020, o CEO da Litmus, Vatsal Shah, disse: “O Modelo Purdue ainda atende aos requisitos de segmentação para redes sem fio e com fio e protege a rede de tecnologia operacional (OT) de tráfego e explorações indevidas.”¹

O SANS Institute assumiu uma posição semelhante em 2021, dizendo: “Mesmo que suas camadas hierárquicas não possam mais ser aplicadas uniformemente às arquiteturas modernas, classificar os ICS e os dispositivos e sistemas de TI em camadas funcionais distintas ajuda os administradores e profissionais de segurança a determinar onde aplicar as medidas de segurança de forma eficaz.”²

A Forbes manteve essa perspectiva em 2022: “O antigo modelo Purdue está morto. Mas sua essência continua viva.”³

Os requisitos de tempo de atividade industrial e os orçamentos muitas vezes significam que o novo ainda não pode substituir o antigo, e isso vale para o modelo Purdue, apesar do crescimento da IoT. Em vez disso, muitos estão defendendo uma abordagem híbrida de aplicação de segmentação macro com zero trust para superar os desafios exclusivos da segurança de ICS moderna.

1. AutomationWorld, “O modelo Purdue ainda é relevante?,” Maio de 2020.

2. SANS Institute, “Introdução à Segurança de ICS, parte 2”, julho de 2021.

3. Forbes, “Um modelo Purdue reimaginado para segurança industrial é possível”, janeiro de 2022.

Desafios de segurança cibernética exclusivos do ICS

Vamos dar uma olhada em alguns desses desafios:

• O "air gap" não funciona mais. O aumento da adoção da IoT e da nuvem em toda a cadeia de valor industrial tornou muitas redes industriais tão integradas que o tradicional "air gap" simplesmente não é mais eficaz.
• Os dispositivos de ICS foram criados para durar, não para evoluir. Os rigorosos requisitos de tempo de atividade de muitos dispositivos industriais tornam difícil, caro ou arriscado atualizá-los ou substituí-los, deixando muitos dispositivos CIM vulneráveis a ataques modernos, mas ainda conectados à rede mais ampla.
• A convergência de TI-OT e as novas tecnologias aumentam o risco. À medida que a transformação digital quebra as barreiras de TI-OT, os avanços em redes e análise de dados remodelam os processos e novos ataques cibernéticos sofisticados surgem, as estruturas de ICS demoram a se adaptar.
• Muitos proprietários de redes de ICS hesitam em adotar o zero trust. Preocupações com o tempo de inatividade que causa perda de receita, interrupção da infraestrutura ou até mesmo risco à segurança das pessoas deixam os operadores industriais inseguros sobre possíveis compensações em custos e complexidade, mesmo que o zero trust continue sendo a estratégia mais eficaz para proteger redes modernas.

A necessidade do zero trust em ICS

Ambientes de OT tendem a usar redes planas e equipamentos de vários fornecedores. No entanto, a implantação de microssegmentação em nível de rede com dispositivos físicos pode significar um tempo de inatividade significativo, especialmente se os sistemas de ICS e SCADA estiverem muito desatualizados. Além disso, a maioria dos profissionais de OT não conhece as práticas recomendadas de TI ou conceitos avançados de segurança de rede, e seu trabalho é priorizar o tempo de atividade e a proteção das pessoas, não a segurança.

A ethernet ainda é a espinha dorsal da maioria das fábricas e armazéns, mas a conectividade sem fio está ganhando força à medida que o celular privado traz mobilidade, confiabilidade, rede determinística e tecnologia padronizada. Isso permitirá o uso de robôs móveis autônomos, cobots, rastreamento de ativos, óculos inteligentes e outras aplicações da Indústria 4.0.

Hoje, os fabricantes podem coletar dados em tempo real e usá-los para executar análises na nuvem para obter resultados imediatos. Aplicações e atividades de geração de dados antes reservadas para operações locais, como PLCs, SCADA e DCS para fabricação e sistemas de gerenciamento de armazém para logística, também estão chegando à nuvem, aumentando a complexidade da rede de OT.

O zero trust pode simplificar a segurança de ambientes de OT e resolver desafios importantes, como acesso remoto seguro para sistemas de ICS, sem exigir segmentação física em cada camada. O Instituto Nacional de Padrões e Tecnologia (NIST) propôs a arquitetura zero trust para redes industriais e empresariais, afirmando: “A segurança de rede baseada em perímetro também se mostrou insuficiente, pois, uma vez que os invasores violam o perímetro, a movimentação lateral posterior é desimpedida”.

Aplicar os princípios orientadores do zero trust das redes de TI para fluxo de trabalho, design de sistema e operações pode simplificar e melhorar a postura de segurança da rede de OT e ajudar a acelerar a transformação digital.

A solução de segurança de ICS da Zscaler

Uma abordagem zero trust é a forma mais eficaz de garantir uma segurança robusta para ambientes de OT e ICS, oferecendo acesso a aplicativos com base em contexto, sem depender do acesso à rede. Com uma arquitetura zero trust eficaz implementada, qualquer usuário só pode acessar os aplicativos e sistemas de que precisa, sem a necessidade de pilhas complexas de firewall ou VPNs, enquanto seus aplicativos e a rede ficam invisíveis para a internet.

O Zscaler Private Access™ (ZPA™) é a plataforma de acesso à rede zero trust (ZTNA) mais implantada do mundo, fornecendo:

• Uma alternativa poderosa à VPN: substitua a arriscada e sobrecarregada VPN pelo ZPA para eliminar retorno de tráfego desnecessário e obter acesso seguro e de baixa latência a aplicativos privados.
• Segurança para equipes híbridas: permita que seus usuários acessem com segurança aplicativos web e serviços na nuvem de qualquer local ou dispositivo com uma experiência de usuário tranquila.
• Acesso sem agente para terceiros: estenda seu acesso seguro a aplicativos privados para fornecedores, prestadores de serviço, provedores, entre outros, com suporte para dispositivos não gerenciados, sem agente de terminal.
• Conectividade de IIoT e OT: forneça acesso remoto rápido, confiável e seguro aos dispositivos IIoT e OT para facilitar a manutenção e a solução de problemas.