Насколько безопасна изолированная подсеть | Блог Касперского
Некоторые безопасники считают, что изолированную сеть особенно защищать не обязательно — угрозам в ней взяться неоткуда. Но в действительности — гарантирует ли изоляция неуязвимость? Наши эксперты поделились несколькими сценариями, основанными на реальных случаях, и показывающими, что это не совсем так.
Итак, у нас есть архиважное предприятие. В нем подсеть, изолированная при помощи воздушного зазора — то есть из нее нет доступа не только в Интернет, но даже в другие сегменты сети того же предприятия. При этом, согласно политикам информационной безопасности, в изолированном сегменте действуют следующие правила:
- на всех машинах сегмента стоит антивирус, но обновляется он вручную администратором раз в неделю (архитекторы инфраструктуры сочли, что в изолированном сегменте этого достаточно);
- на всех машинах действует система контроля устройств, которая запрещает подключать флеш-накопители, не зарегистрированные в списке доверенных;
- сотрудникам запрещено проносить с собой мобильные телефоны.
Достаточно распространенный набор правил. Так что же может пойти не так?
Сценарий первый: интернет-соединение в стиле DIY
Выхода в Интернет нет, но без него скучно. Ни с родными поговорить, ни даже прогноз погоды на вечер узнать. Поэтому сотрудники организовывают его сами. Ходят с двумя телефонами — один сдают охране на входе, а второй подключают как модем для доступа в Сеть с рабочих компьютеров.
В модели угроз для данного сегмента защита от сетевых атак, вредоносов из Интернета и подобных векторов атаки не предусмотрена — зачем? Сеть же изолированная. А администратор в реальности обновляет антивирус на машинах не раз в неделю, а заметно реже (примерно с частотой проведения контрольных проверок). Он тоже думает: «А зачем? Сеть-то изолированная».
В итоге троян-шпион заражает один компьютер, открывает доступ злоумышленникам, те распространяют вредоносы по всей подсети и в течение почти месяца, до следующего обновления антивирусной программы, сливают информацию.
Сценарий второй: из каждого правила есть исключения
Формально сеть изолирована, но сами правила ИБ подразумевают исключения из правил: те самые флеш-накопители из списка доверенного железа. Нужно же админу как-то обновлять антивирус? Гарантий, что на флешках не будут носить документы, да и вообще не будут использовать для других админских нужд — нет. Кроме того, к изолированной сети иногда могут подключаться даже ноутбуки сотрудников техподдержки (например, для настройки сетевого оборудования внутри сегмента).
Получается, что вредонос нулевого дня потенциально может заразить доверенную флешку или ноутбук и проникнуть внутрь изолированного сегмента. Да, на следующий день в неизолированном сегменте произойдет обновление антивируса, и там угроза, возможно, и будет обезврежена, но в изолированном-то он останется работать до следующего обновления, которое произойдет в лучшем случае через неделю.
Дальше могут быть варианты. В теории такой вредонос может собирать данные и записывать их на те же доверенные флешки. Через некоторое время другая угроза нулевого дня в неизолированном сегменте начнет искать на всех подключаемых накопителях этот скрытый блок данных и пересылать хозяевам. Как вариант, целью вредоноса может быть вовсе не сбор данных внутри сети, а манипуляция: изменение настроек или параметров программ или, например, промышленных контроллеров. Иными словами — саботаж.
Сценарий третий: инсайдер
Самый простой сценарий. Подкупленный сотрудник, имеющий доступ в помещения, где находятся компьютеры изолированного сегмента сети, может целенаправленно скомпрометировать периметр. Подключить какое-нибудь миниатюрное вредоносное устройство на базе Raspberry Pi в сеть, предварительно снабдив сим-картой и выходом в мобильный Интернет. Например, как в случае с DarkVishnya.
Что делать?
Во всех трех случаях для защиты изолированного сегмента сети не хватило самой малости — своевременно обновляемого защитного решения. А между тем обеспечить быстрое реагирование на новые угрозы могло бы наличие в сегменте решения Kaspersky Private Security Network. По сути, это локальный аналог нашей облачной системы Kaspersky Security Network, только способный работать в режиме data diode.
То есть он получает данные о новейших угрозах и делится этими данными с решениями на рабочих станциях. Но при этом в глобальную сеть, за пределы изолированного периметра, не уходит ни одного байта. Узнать о решении больше можно на его официальной странице.
Источник: Kaspersky-security.ru