Sommige infosec-specialisten zijn van mening dat ge\u00efsoleerde netwerken geen extra bescherming nodig hebben; als bedreigingen geen manier hebben om binnen te komen, waarom zou u zich dan druk maken? Maar isolatie is geen garantie op onkwetsbaarheid. Onze experts delen verschillende scenario\u2019s gebaseerd op echte gevallen om dat aan te tonen.<\/p>\n
Onze hypothetische onderneming heeft een subnet dat ge\u00efsoleerd is met een air gap, wat niet alleen betekent dat er geen toegang toe is vanaf het internet, maar dat zelfs andere segmenten op het netwerk van dezelfde onderneming het niet kunnen bereiken. Bovendien gelden, overeenkomstig het informatiebeveiligingsbeleid van de onderneming, de volgende regels:<\/p>\n
Tot dusver ziet u hier niets vreemds. Wat zou er nou mis kunnen gaan?<\/p>\n
Wanneer een faciliteit geen internettoegang meer heeft, vinden verveelde werknemers daar wel iets op. Sommigen kopen een extra telefoon, geven er een af bij de balie, en sluiten de tweede aan als modem om een werkcomputer online te krijgen.<\/p>\n
Het dreigingsmodel voor dit segment anticipeert niet op netwerkaanvallen, internetmalware of andere soortgelijke veiligheidskwesties. In werkelijkheid werkt niet elke beheerder elke week de antivirusbescherming bij, met als gevolg dat cybercriminelen \u00e9\u00e9n computer kunnen infecteren met een spyware-trojan, netwerktoegang verkrijgen en de malware over het hele subnet verspreiden en informatie lekken tot de volgende antivirusupdate ze uitschakelt.<\/p>\n
Zelfs voor ge\u00efsoleerde netwerken bestaan er uitzonderingen, zoals bijvoorbeeld vertrouwde flash drives. Maar wie zegt dat, zonder beperkingen op het gebruik van die flash drives, een USB-stick niet zal worden gebruikt om bestanden van en naar het systeem te kopi\u00ebren of voor andere administratieve behoeften in niet-ge\u00efsoleerde onderdelen van het netwerk? Bovendien sluit het tech-personeel soms laptops aan op een ge\u00efsoleerd netwerk, bijvoorbeeld om netwerkapparatuur binnen het segment te configureren.<\/p>\n
Als een vertrouwde USB-stick of laptop een overbrengingsvector voor zero-day-malware wordt, zou de aanwezigheid van de malware in het doelnetwerk van korte duur moeten zijn. Zodra deze is bijgewerkt, zal de niet-ge\u00efsoleerde antivirusoplossing van de organisatie de bedreiging daar neutraliseren. Afgezien van de schade die het zelfs in die korte tijd kan aanrichten aan het hoofdnetwerk, dat niet ge\u00efsoleerd is, zal de malware in het ge\u00efsoleerde segment blijven tot de volgende update van dat segment, wat in ons scenario pas over minstens een week zal gebeuren.<\/p>\n
De gevolgen hangen af van de malware-variant. Die kan bijvoorbeeld data op die vertrouwde flash drives schrijven. Na korte tijd kan een andere zero-day-dreiging in het niet-ge\u00efsoleerde segment beginnen met het doorzoeken van aangesloten apparaten naar de verborgen gegevens en deze naar buiten het bedrijf verzenden. Het doel van de malware kan ook een vorm van sabotage zijn, zoals het wijzigen van software of de instellingen van industri\u00eble besturingen.<\/p>\n
Een ontevreden of zelfs al ontslagen ex-werknemer met toegang tot het pand waar het ge\u00efsoleerde netwerksegment zich bevindt, kan de perimeter opzettelijk compromitteren. Ze kunnen bijvoorbeeld een miniatuur Raspberry-Pi-apparaatje met schadelijke software op het netwerk aansluiten en het voorzien van een simkaart en mobiele internettoegang. Het geval van DarkVishnya<\/a> is hier een voorbeeld van.<\/p>\n In alle drie de gevallen ontbrak er \u00e9\u00e9n essentieel detail: een bijgewerkte beveiligingsoplossing. Als Kaspersky Private Security Network op het ge\u00efsoleerde segment was ge\u00efnstalleerd, zou het in realtime op alle bedreigingen hebben gereageerd en deze hebben geneutraliseerd. De oplossing is in feite een on-premise versie van ons cloud-gebaseerde Kaspersky Security Network, maar werkt ook in een data diode-modus.<\/p>\nWat te doen<\/h2>\n