Безопасность изолированных подсетей

Некоторые безопасники считают, что защиту изолированной системы – функция не обязательная, ведь угрозам в ней взяться неоткуда. Эксперты «Лаборатории Касперского» поделились несколькими сценариями, основанными на реальных случаях, и показывающими, что это совсем не так.

Представим, что у вашей организации есть архиважная система. В ней есть подсеть, изолированная при помощи воздушного зазора, то есть из нее нет доступа не только в Интернет, но даже в другие сегменты сети того же предприятия. Политика информационной безопасности установила ряд правил:

• Но всех машинах системы установлен антивирус, который обновляется вручную администратором один раз в неделю;
• На всех машинах действует система контроля устройств, запрещающая подключать флеш-накопители, не зарегистрированные в списке доверенных;
• Сотрудникам запрещено проносить мобильные телефоны.

Набор правил достаточно распространенный, не так ли? Рассмотрим три сценария проникновения угроз.

Сценарий первый: интернет-соединений в стиле DIY

Выхода в интернет нет, а «без него и жизнь не та», - подумают сотрудники и организуют его себе сами. Приходя на работу с двумя телефонами: один отдают охране, а второй подключают как модем для доступа в Сеть с рабочих ПК.

В модели угроз для данного сегмента защита от сетевых атак, зловредов и подобных угроз не предусмотрена. А администратор в реальности не обновляет антивирусные базы раз в неделю (сказывается человеческий фактор), а делает это в лучшем случае каждый месяц.

В итоге троян-шпион, заражая один компьютер, открывает доступ злоумышленникам, а те распространяют вредоносы по всей подсети. И до следующего обновления антивирусного решения, трояны (или другие типы угроз) будут работать незаметно, передавая критически важную информацию хакерам.

Сценарий второй: из каждого правила есть исключения

Формально сеть изолирована, но сами правила ИБ подразумевают исключения из правил: те самые флеш-носители из списка доверенного железа. Нет никаких гарантий, что флешка для обновления антивируса окажется без сторонних файлов, или она могла использоваться в других процессах. Кроме того, к изолированной сети иногда могут подключаться даже ноутбуки сотрудников, например, для настройки сетевого оборудования.

Получается, что вредонос нулевого дня потенциально может заразить доверенную флешку или ноутбук и проникнуть внутрь изолированного сегмента. Да, на следующий день в неизолированном сегменте произойдет обновление антивируса, и там угроза, возможно,  и будет обезврежена, но в изолированном-то он останется работать до следующего обновления, которое произойдет в лучшем случае через неделю.

Дальше могут быть варианты. В теории такой вредонос может собирать данные и записывать их на те же доверенные флешки. Через некоторое время другая угроза нулевого дня в неизолированном сегменте начнет искать на всех подключаемых накопителях этот скрытый блок данных и пересылать хозяевам. Как вариант, целью вредоноса может быть вовсе не сбор данных внутри сети, а манипуляция: изменение настроек или параметров программ или, например, промышленных контроллеров. Иными словами — саботаж.

Сценарий третий: инсайдер

Самый простой сценарий. Подкупленный сотрудник, имеющий доступ в помещения, где находятся компьютеры изолированного сегмента сети, может целенаправленно скомпрометировать периметр. Подключить какое-нибудь миниатюрное вредоносное устройство на базе Raspberry Pi в сеть, предварительно снабдив сим-картой и выходом в мобильный Интернет. 

Как защититься

Во всех трех случаях для защиты изолированного сегмента сети не хватило самой малости — своевременно обновляемого защитного решения. А между тем обеспечить быстрое реагирование на новые угрозы могло бы наличие в сегменте решения Kaspersky Endpoint Security для бизнеса - Стандартный. Решение получает данные о новейших угрозах и делится этими данными с решениями на рабочих станциях. Но при этом в глобальную сеть, за пределы изолированного периметра, не уходит ни одного байта.