Niektórzy specjaliści od bezpieczeństwa informacji uważają, że sieci izolowane nie potrzebują dodatkowej ochrony — skoro zagrożenia nie mają możliwości przeniknięcia, po co się męczyć? Jednak izolacja nie jest gwarancją nietykalności. Nasi eksperci opowiadają o kilku scenariuszach opartych na rzeczywistych przypadkach.
Załóżmy, że w naszym hipotetycznym przedsiębiorstwie znajduje się podsieć odizolowana szczeliną powietrzną, co oznacza, że nie można uzyskać do niej dostępu z internetu, ale także z innych segmentów sieci tego samego przedsiębiorstwa. Ponadto, zgodnie z polityką firmy w zakresie bezpieczeństwa informacji, stosowane są następujące zasady:
- Wszystkie urządzenia w tym segmencie muszą korzystać z ochrony antywirusowej i przechodzić ręczne aktualizacje raz w tygodniu (to wystarczająca częstotliwość dla odizolowanego segmentu).
- System sterowania urządzeniami w każdym urządzeniu musi blokować podłączane dyski flash, z wyjątkiem tych znajdujących się na liście zaufanych.
- Korzystanie z telefonu komórkowego jest zabronione.
Ogólnie, zasady te nie są jakieś nadzwyczajne. Co więc może pójść nie tak?
Scenariusz pierwszy. Własne połączenie z internetem
Gdy placówka traci dostęp do internetu, znudzeni pracownicy szukają obejścia tej sytuacji. Niektórzy nabywają dodatkowy telefon; swój oddają w recepcji, a nowy podłączają jako modem, aby móc połączyć komputer firmowy z internetem.
Model zagrożeń dla tego segmentu nie przewiduje ataków realizowanych za pośrednictwem internetu, szkodliwego oprogramowania pochodzącego z Sieci ani innych podobnych problemów z bezpieczeństwem. W rzeczywistości nie każdy administrator aktualizuje ochronę antywirusową co tydzień, w wyniku czego cyberprzestępcy mogą zainfekować jakiś komputer trojanem szpiegowskim, uzyskać dostęp do sieci i rozprzestrzenić szkodliwe oprogramowanie w całej podsieci, doprowadzając do wycieku informacji. Taki stan rzeczy będzie się utrzymywał, dopóki problemu nie wyeliminuje kolejna aktualizacja programu antywirusowego.
Scenariusz drugi. Wyjątek od każdej reguły
Nawet sieci izolowane dopuszczają pewne wyjątki — na przykład użycie zaufanych dysków flash. Jeśli korzystanie z nich nie podlegałoby żadnym regulacjom, takie urządzenia mogłyby zostać użyte do kopiowania plików do i z systemu lub do innych zadań w nieizolowanych częściach sieci. Co więcej, czasami pracownicy pomocy technicznej podłączają swoje laptopy do sieci izolowanej, na przykład w celu skonfigurowania urządzeń sieciowych w danym segmencie.
Jeśli zaufany dysk flash lub laptop staje się wektorem dostarczania szkodliwego oprogramowania dnia zerowego, powinno ono być krótko obecne w sieci docelowej — po otrzymaniu aktualizacji nieizolowany program antywirusowy używany w organizacji powinien zneutralizować zagrożenie. Oprócz szkód, jakie szkodliwe oprogramowanie może wyrządzić głównej, nieizolowanej sieci nawet w tak krótkim czasie, pozostanie ono w odizolowanym segmencie aż do jego następnej aktualizacji, co w naszym scenariuszu nie nastąpi przez co najmniej tydzień.
Efekt zależy od wariantu szkodliwego oprogramowania. Na przykład może ono zapisywać dane na wspomnianych zaufanych dyskach flash. Następnie kolejne zagrożenie dnia zerowego znajdujące się w segmencie nieizolowanym może rozpocząć wyszukiwanie podłączonych urządzeń, na których znajdują się ukryte dane, aby wysłać je poza firmę. Celem szkodliwego oprogramowania może być również jakaś forma sabotażu, np. zmiana ustawień oprogramowania lub kontrolera przemysłowego.
Scenariusz trzeci. Insiderzy
Gdy pracownik mający dostęp do lokali, w których znajduje się odizolowany segment sieci, zostanie przez kogoś przekupiony, może celowo złamać zasady. Na przykład może podłączyć do sieci miniaturowe szkodliwe urządzenie wykorzystujące komputer Raspberry-Pi, wyposażone w kartę SIM i dostęp do internetu mobilnego. Przykładem jest tu przypadek DarkVishnya.
Podsumowanie
We wszystkich trzech sytuacjach brakowało istotnego szczegółu: aktualnego rozwiązania zabezpieczającego. Gdyby Kaspersky Private Security Network został zainstalowany w odizolowanym segmencie, zareagowałby na wszystkie zagrożenia w czasie rzeczywistym i zneutralizował wszystkie zagrożenia. Zasadniczo rozwiązanie to jest lokalną wersją naszego opartego na chmurze produktu Kaspersky Security Network, który może działać w trybie diody danych.
Innymi słowy, chociaż Kaspersky Privacy Security Network jest obecne w wersji lokalnej, otrzymuje informacje o najnowszych zagrożeniach z zewnątrz i udostępnia je rozwiązaniom znajdującym się na wewnętrznych punktach końcowych. Jednocześnie blokuje przedostawanie się danych spoza izolowanego obwodu do sieci globalnej. Więcej informacji na temat rozwiązania można znaleźć na jego oficjalnej stronie.