Purdue vs Zero Trust in OT security

Leestijd: 5 minuten

Categorie: Trends and Reports

Authors: Rob Maas

Jarenlang was het Purdue-model de standaard voor beveiliging van Operationele Technologie (OT), mede omdat het een gestructureerde manier van segmenteren voorstelt.

Echter, naarmate cyberdreigingen zich ontwikkelen en IT en OT steeds meer naar elkaar toe groeien, wordt dit model door sommigen als achterhaald beschouwd. Zero Trust heeft zich daarentegen ontpopt als een toonaangevende cybersecuritystrategie binnen IT.

Met toenemende dreigingen gericht op industriële besturingssystemen en de samenkomst van IT- en OT-netwerken, is het versterken van OT-security niet langer optioneel, maar een noodzaak.

De vraag is nu: kan Zero Trust bijdragen aan het effectief beveiligen van OT?

Wat is het Purdue-model en hoe werkt het?

Het Purdue-model is een bekend framework binnen OT-security, hoewel het onder IT-professionals minder bekend is. Toch zullen zij wellicht de segmentatiestructuur herkennen die in het verleden ook binnen IT werd toegepast.

In de basis verdeelt het Purdue-model een infrastructuur op in verschillende niveaus:

  • Niveau 0 (Process): Sensoren
  • Niveau 1 (Control): PLC’s (Programmable Logic Controllers)
  • Niveau 2 (Supervisory): HMI (Human-Machine Interface)
  • Niveau 3 (Operation): bijv. Historian
  • Niveau 4 (Enterprise): bijv. Remote Access Server
  • Niveau 5 (DMZ): bijv. Webserver

Hierin is de gelijkenis met traditionele netwerksegmentatie herkenbaar, alsmede de DMZ en de enterprise-lagen. De drielaagse segmentatiebenadering uit IT (Web, App, DB) kan losjes worden vergeleken met het Purdue-model. Gelukkig wordt deze segmentatie minder vaak gebruikt, gezien het dezelfde tekortkomingen heeft als het DMZ model.

Waarom het Purdue-model tekort schiet in OT-security

Hoewel het Purdue-model op zichzelf geen fundamentele gebreken heeft, brengt de praktische toepassing ervan uitdagingen met zich mee. Deze lijken sterk op de problemen waar moderne IT-beveiliging tegenaan loopt (zie ook Het DMZ model is kapot).

Het grootste probleem is dat de niveaus binnen het Purdue-model vaak te breed zijn. Zo worden alle sensoren gegroepeerd onder niveau 0 en alle PLC’s onder niveau 1. Dit brengt risico’s met zich mee:

  • Grotere attack surface: Toenemende automatisering leidt tot meer OT-apparaten, waardoor de attack surface en dus ook de impact bij een eventuele aanval vergroot wordt.
  • Intelligente OT-apparaten: Moderne apparaten gaan verder dan hun basisfuncties, waardoor ze kwetsbaarder worden. Denk aan een schroefmachine die internettoegang nodig heeft.
  • Onduidelijke besturings- en bedieningslagen: Sommige OT-apparaten combineren combineren de control en de operation lagen uit het Purdue-model, wat strikte segmentatie verhinderd.
  • IP-connectiviteit: Meer OT-apparaten zijn verbonden via IP-netwerken (bijv. Modbus over IP), wat ze toegankelijker maar ook kwetsbaarder maakt.

Daarnaast ontbreekt in veel OT-omgevingen basiscybersecurity, zoals encryptie, waardoor ze van nature al kwetsbaar zijn voor aanvallen.

Zero Trust: Principes en voordelen voor OT

Zero Trust is gebaseerd op het principe never trust, always verify en steunt op vier kernprincipes:

  • Design from the inside out: Security moet beginnen bij de meest kritieke bedrijfsmiddelen en zich van daaruit uitbreiden.
  • Focus on business outcomes: Cybersecurity moet aansluiten op bedrijfsdoelstellingen.
  • Who and what needs access: Toegang moet strikt worden gecontroleerd en bewaakt.
  • Log and inspect all traffic: Continue monitoring is essentieel voor het detecteren van afwijkingen.

Storingen in OT-componenten hebben vaak onmiddellijke en ernstige gevolgen. De focus van Zero Trust op business outcomes en het feit dat Zero Trust als strategie vooral gericht is op het voorkomen van security incidenten, maakt het daarom bijzonder geschikt voor OT-omgevingen.gned to prevent breaches and limit the damage if one does occur, Zero Trust is a great fit for OT security.

Zero Trust en OT: Een praktische aanpak

Zero Trust toepassen op OT-omgevingen vereist een verschuiving van brede segmentatie (zoals het Purdue-model) naar segmentatie gericht op wat het belangrijkst is voor het bedrijf. Binnen Zero Trust hebben we het dan over protect surfaces.

Deze benadering ziet security niet als horizontale lagen (zoals Purdue), maar als verticale kolommen gekoppeld aan specifieke bedrijfsprocessen. Protect surfaces omvatten niet per se alle of meerdere niveaus, maar segmenteren op basis van bedrijfsbehoeften in plaats van een vaste netwerkarchitectuur.

Protect surfaces en OT: Hoe Zero Trust bedrijfsmiddelen segmenteert

Zero Trust kan op verschillende manieren binnen OT worden toegepast:

  • In plaats van alle sensoren in één niveau te groeperen, moeten sensoren die specifieke industriële processen besturen een apart protect surface krijgen met strikte toegangscontroles. Dit isoleert ze van – en beschermt ze tegen – andere processen.
  • HMI’s moeten een specifiek beveiligingsbeleid krijgen op basis van hun functie en impact op het bedrijf. Een HMI voor temperatuurbewaking zou bijvoorbeeld geen connectiviteit moeten hebben met een PLC die robotarmen aanstuurt.
  • Building Automation Systems (BAS) en productienetwerken moeten worden gescheiden. Op veel industriële locaties draaien HVAC-, verlichtings- en energiebeheersystemen op hetzelfde netwerk als de productielijnen. Zero Trust vereist dat BAS in eigen protect surfaces worden geplaatst, zodat een hack van een slimme thermostaat niet leidt tot toegang tot kritieke OT-systemen.

Wanneer Zero Trust en het Purdue-model correct worden toegepast, vullen ze elkaar aan in plaats van elkaar tegen te werken. Zero Trust verfijnt het Purdue-model door het specifieker, adaptiever en beter afgestemd op bedrijfsdoelstellingen te maken.

In IT omgevingen is het de vraag of een DMZ nuttig is (zie blog), want het draait daar veelal om gegevensbescherming. In OT omgevingen is echter het beschermen van het apparaat (device) veel belangrijker. Daarom blijft het gebruik van het Purdue-model binnen een Zero Trust framework relevant.

Zero Trust-uitdagingen voor OT-security

Het implementeren van Zero Trust in een OT-omgeving brengt uitdagingen met zich mee:

  • Hoog operationeel risico bij wijzigingen in kritieke infrastructuur.
  • Verouderde systemen die niet ontworpen zijn met security als doel.
  • Diverse en verouderde protocollen, vaak propriëtair of Ethernet-gebaseerd maar niet op IP.
  • Verspreide infrastructuur, wat afdwingen vanmaatregelen bemoeilijkt.
  • Industriespecifieke beperkingen die de implementatie beïnvloeden.

Waarom Zero Trust werkt voor OT-security

Het Purdue-model heeft lang gediend als de basis voor OT-beveiliging, maar kent beperkingen binnen moderne cybersecurity. Zero Trust verbetert OT-security door strikte toegangscontroles, continue monitoring en microsegmentatie af te dwingen.

Hoewel de implementatie van Zero Trust uitdagend kan zijn vanwege verouderde infrastructuren en operationele risico’s, wegen de voordelen ruimschoots op tegen de moeilijkheden. Het versterken van OT-security is niet langer optioneel, maar een noodzaak. Een gefaseerde aanpak, gericht op het afstemmen van securitystrategieën op bedrijfsdoelstellingen, stelt organisaties in staat een veerkrachtig, adaptief en toekomstbestendig OT-securityframework te realiseren.