Предприятие с изолированной подсетью: что может пойти не так?

Гарантирует ли изолированность сегмента сети ее реальную неуязвимость?

Некоторые безопасники считают, что изолированную сеть особенно защищать не обязательно — угрозам в ней взяться неоткуда. Но в действительности — гарантирует ли изоляция неуязвимость? Наши эксперты поделились несколькими сценариями, основанными на реальных случаях, и показывающими, что это не совсем так.

Итак, у нас есть архиважное предприятие. В нем подсеть, изолированная при помощи воздушного зазора — то есть из нее нет доступа не только в Интернет, но даже в другие сегменты сети того же предприятия. При этом, согласно политикам информационной безопасности, в изолированном сегменте действуют следующие правила:

  • на всех машинах сегмента стоит антивирус, но обновляется он вручную администратором раз в неделю (архитекторы инфраструктуры сочли, что в изолированном сегменте этого достаточно);
  • на всех машинах действует система контроля устройств, которая запрещает подключать флеш-накопители, не зарегистрированные в списке доверенных;
  • сотрудникам запрещено проносить с собой мобильные телефоны.

Достаточно распространенный набор правил. Так что же может пойти не так?

Сценарий первый: интернет-соединение в стиле DIY

Выхода в Интернет нет, но без него скучно. Ни с родными поговорить, ни даже прогноз погоды на вечер узнать. Поэтому сотрудники организовывают его сами. Ходят с двумя телефонами — один сдают охране на входе, а второй подключают как модем для доступа в Сеть с рабочих компьютеров.

В модели угроз для данного сегмента защита от сетевых атак, вредоносов из Интернета и подобных векторов атаки не предусмотрена — зачем? Сеть же изолированная. А администратор в реальности обновляет антивирус на машинах не раз в неделю, а заметно реже (примерно с частотой проведения контрольных проверок). Он тоже думает: «А зачем? Сеть-то изолированная».

В итоге троян-шпион заражает один компьютер, открывает доступ злоумышленникам, те распространяют вредоносы по всей подсети и в течение почти месяца, до следующего обновления антивирусной программы, сливают информацию.

Сценарий второй: из каждого правила есть исключения

Формально сеть изолирована, но сами правила ИБ подразумевают исключения из правил: те самые флеш-накопители из списка доверенного железа. Нужно же админу как-то обновлять антивирус? Гарантий, что на флешках не будут носить документы, да и вообще не будут использовать для других админских нужд — нет. Кроме того, к изолированной сети иногда могут подключаться даже ноутбуки сотрудников техподдержки (например, для настройки сетевого оборудования внутри сегмента).

Получается, что вредонос нулевого дня потенциально может заразить доверенную флешку или ноутбук и проникнуть внутрь изолированного сегмента. Да, на следующий день в неизолированном сегменте произойдет обновление антивируса, и там угроза, возможно,  и будет обезврежена, но в изолированном-то он останется работать до следующего обновления, которое произойдет в лучшем случае через неделю.

Дальше могут быть варианты. В теории такой вредонос может собирать данные и записывать их на те же доверенные флешки. Через некоторое время другая угроза нулевого дня в неизолированном сегменте начнет искать на всех подключаемых накопителях этот скрытый блок данных и пересылать хозяевам. Как вариант, целью вредоноса может быть вовсе не сбор данных внутри сети, а манипуляция: изменение настроек или параметров программ или, например, промышленных контроллеров. Иными словами — саботаж.

Сценарий третий: инсайдер

Самый простой сценарий. Подкупленный сотрудник, имеющий доступ в помещения, где находятся компьютеры изолированного сегмента сети, может целенаправленно скомпрометировать периметр. Подключить какое-нибудь миниатюрное вредоносное устройство на базе Raspberry Pi в сеть, предварительно снабдив сим-картой и выходом в мобильный Интернет. Например, как в случае с DarkVishnya.

Что делать?

Во всех трех случаях для защиты изолированного сегмента сети не хватило самой малости — своевременно обновляемого защитного решения. А между тем обеспечить быстрое реагирование на новые угрозы могло бы наличие в сегменте решения Kaspersky Private Security Network. По сути, это локальный аналог нашей облачной системы Kaspersky Security Network, только способный работать в режиме data diode.

То есть он получает данные о новейших угрозах и делится этими данными с решениями на рабочих станциях. Но при этом в глобальную сеть, за пределы изолированного периметра, не уходит ни одного байта. Узнать о решении больше можно на его официальной странице.

Советы