Geïsoleerde subnets lijken veilig

Is het isoleren van een netwerksegment echt een garantie op onkwetsbaarheid?

Sommige infosec-specialisten zijn van mening dat geïsoleerde netwerken geen extra bescherming nodig hebben; als bedreigingen geen manier hebben om binnen te komen, waarom zou u zich dan druk maken? Maar isolatie is geen garantie op onkwetsbaarheid. Onze experts delen verschillende scenario’s gebaseerd op echte gevallen om dat aan te tonen.

Onze hypothetische onderneming heeft een subnet dat geïsoleerd is met een air gap, wat niet alleen betekent dat er geen toegang toe is vanaf het internet, maar dat zelfs andere segmenten op het netwerk van dezelfde onderneming het niet kunnen bereiken. Bovendien gelden, overeenkomstig het informatiebeveiligingsbeleid van de onderneming, de volgende regels:

  • Alle machines in het segment moeten antivirusbescherming gebruiken en eenmaal per week handmatig worden bijgewerkt (dat is frequent genoeg voor een geïsoleerd segment);
  • Het apparaatcontrole-systeem van elke machine moet de aansluiting van flash drives verbieden, behalve die in de lijst van vertrouwde apparaten staan;
  • Het gebruik van mobiele telefoons op het terrein is verboden.

Tot dusver ziet u hier niets vreemds. Wat zou er nou mis kunnen gaan?

Scenario één: DIY-achtige internetverbinding

Wanneer een faciliteit geen internettoegang meer heeft, vinden verveelde werknemers daar wel iets op. Sommigen kopen een extra telefoon, geven er een af bij de balie, en sluiten de tweede aan als modem om een werkcomputer online te krijgen.

Het dreigingsmodel voor dit segment anticipeert niet op netwerkaanvallen, internetmalware of andere soortgelijke veiligheidskwesties. In werkelijkheid werkt niet elke beheerder elke week de antivirusbescherming bij, met als gevolg dat cybercriminelen één computer kunnen infecteren met een spyware-trojan, netwerktoegang verkrijgen en de malware over het hele subnet verspreiden en informatie lekken tot de volgende antivirusupdate ze uitschakelt.

Scenario twee: Een uitzondering op elke regel

Zelfs voor geïsoleerde netwerken bestaan er uitzonderingen, zoals bijvoorbeeld vertrouwde flash drives. Maar wie zegt dat, zonder beperkingen op het gebruik van die flash drives, een USB-stick niet zal worden gebruikt om bestanden van en naar het systeem te kopiëren of voor andere administratieve behoeften in niet-geïsoleerde onderdelen van het netwerk? Bovendien sluit het tech-personeel soms laptops aan op een geïsoleerd netwerk, bijvoorbeeld om netwerkapparatuur binnen het segment te configureren.

Als een vertrouwde USB-stick of laptop een overbrengingsvector voor zero-day-malware wordt, zou de aanwezigheid van de malware in het doelnetwerk van korte duur moeten zijn. Zodra deze is bijgewerkt, zal de niet-geïsoleerde antivirusoplossing van de organisatie de bedreiging daar neutraliseren. Afgezien van de schade die het zelfs in die korte tijd kan aanrichten aan het hoofdnetwerk, dat niet geïsoleerd is, zal de malware in het geïsoleerde segment blijven tot de volgende update van dat segment, wat in ons scenario pas over minstens een week zal gebeuren.

De gevolgen hangen af van de malware-variant. Die kan bijvoorbeeld data op die vertrouwde flash drives schrijven. Na korte tijd kan een andere zero-day-dreiging in het niet-geïsoleerde segment beginnen met het doorzoeken van aangesloten apparaten naar de verborgen gegevens en deze naar buiten het bedrijf verzenden. Het doel van de malware kan ook een vorm van sabotage zijn, zoals het wijzigen van software of de instellingen van industriële besturingen.

Scenario drie: Insiders

Een ontevreden of zelfs al ontslagen ex-werknemer met toegang tot het pand waar het geïsoleerde netwerksegment zich bevindt, kan de perimeter opzettelijk compromitteren. Ze kunnen bijvoorbeeld een miniatuur Raspberry-Pi-apparaatje met schadelijke software op het netwerk aansluiten en het voorzien van een simkaart en mobiele internettoegang. Het geval van DarkVishnya is hier een voorbeeld van.

Wat te doen

In alle drie de gevallen ontbrak er één essentieel detail: een bijgewerkte beveiligingsoplossing. Als Kaspersky Private Security Network op het geïsoleerde segment was geïnstalleerd, zou het in realtime op alle bedreigingen hebben gereageerd en deze hebben geneutraliseerd. De oplossing is in feite een on-premise versie van ons cloud-gebaseerde Kaspersky Security Network, maar werkt ook in een data diode-modus.

Met andere woorden: hoewel het Kaspersky Privacy Security Network lokaal is, ontvangt het informatie over de nieuwste dreigingen van buitenaf en deelt het deze met endpoint-oplossingen binnenin. Tegelijkertijd wordt voorkomen dat elke byte aan gegevens van buiten de geïsoleerde perimeter in het wereldwijde netwerk terechtkomt. U vindt meer informatie over deze oplossing op de officiële pagina.

Tips