Alguns especialistas em infosec acreditam que redes isoladas não precisam de proteção adicional; se as ameaças não têm como entrar, qual o motive da preocupação? Mas o isolamento não é garantia de invulnerabilidade. Nossa equipe compartilhou vários cenários baseados em casos reais para demonstrar e corroborar esta idea.
Nossa empresa hipotética tem uma sub-rede isolada com um air gap, o que significa não apenas que não há acesso a ela da Internet, mas que mesmo outros segmentos da rede da mesma empresa não podem alcançá-la. Além disso, de acordo com a política de segurança da informação da empresa, as seguintes regras se aplicam:
● Todas as máquinas no segmento devem usar proteção antivírus e passar por atualizações manuais uma vez por semana (que é frequente o suficiente para um segmento isolado);
● O sistema de controle de dispositivos de cada máquina deve proibir a conexão de drives flash, exceto aqueles na lista de dispositivos confiáveis;
● O uso de telefone celular no local é proibido.
Nada fora do comum até aqui. O que poderia dar errado?
Cenário um: conexão de Internet estilo faça-você-mesmo
Quando uma instalação perde o acesso à Internet, funcionários entediados adotam soluções alternativas. Alguns conseguem um telefone extra, entregam um na recepção e conectam o segundo como um modem para colocar um computador de trabalho online.
O modelo de ameaça para este segmento não prevê ataques à rede, malware da Internet ou outros problemas de segurança semelhantes. Na realidade, nem todo administrador atualiza a proteção antivírus toda semana e, como resultado, os cibercriminosos podem infectar um computador com um Trojan spyware, obter acesso à rede e espalhar o malware por toda a sub-rede, vazando informações até que a próxima atualização de antivírus os desligue .
Cenário dois: uma exceção para todas as regras
Mesmo redes isoladas permitem exceções – drives flash confiáveis, por exemplo. Mas, sem restrições ao uso dessas unidades flash, quem pode dizer que uma unidade não será usada para copiar arquivos de e para o sistema ou para outras necessidades de administrador em partes não isoladas da rede? Além do mais, a equipe de suporte técnico às vezes conecta seus laptops a uma rede isolada, por exemplo, para configurar o equipamento de rede dentro do segmento.
Se uma unidade flash ou laptop confiável se tornar um vetor de entrega para malware do tipo zero day, a presença do malware na rede de destino deve durar pouco – uma vez atualizado, o antivírus não isolado da organização neutralizará a ameaça ali. Olhando além dos danos que pode causar à rede principal não isolada, mesmo nesse curto período de tempo, no entanto, o malware permanecerá no segmento isolado até a próxima atualização desse segmento, o que em nosso cenário não acontecerá por pelo menos uma semana.
O resultado depende da variante do malware. Por exemplo, ele pode gravar dados nessas unidades flash confiáveis. Depois de um curto período, outra ameaça zero day no segmento não isolado pode começar a pesquisar os dados ocultos nos dispositivos conectados e enviá-los para fora da empresa. Como alternativa, o objetivo do malware pode ser alguma forma de sabotagem, como alterar o software ou as configurações do controlador industrial.
Cenário três: Um dos nossos
Um funcionário comprometido e com acesso às instalações onde o segmento de rede isolado está localizado pode comprometer deliberadamente o perímetro. Por exemplo, eles podem conectar um dispositivo malicioso baseado em Raspberry-Pi em miniatura à rede, tendo-o equipado com um cartão SIM e acesso à Internet móvel. O caso DarkVishnya é um exemplo.
O que fazer?
Em todos os três casos, um detalhe vital estava faltando: uma solução de segurança atualizada. Se o Kaspersky Private Security Network tivesse sido instalado no segmento isolado, ele teria reagido e encerrado todas as ameaças em tempo real. A solução é essencialmente uma versão local de nossa Kaspersky Security Network baseada em nuvem, mas capaz de funcionar em modo de diodo de dados.
Em outras palavras, embora local, o Kaspersky Privacy Security Network recebe informações sobre as ameaças externas mais recentes e as compartilha com soluções de endpoint internas. Ao mesmo tempo, evita que cada byte de dados além do perímetro isolado chegue à rede global. Você pode aprender mais sobre a solução na página oficial.