部份資安專家相信隔離的網絡不需要額外的防護,因為他們相信網絡威脅無法觸及那些位罝,所以沒有需要考慮。但隔離的子網絡是否真的保證完全安全?以下是Kaspersky專家分享幾個參考真實個案的幾個情景。
環境假設是企業隔離的子網絡存在air gap(即沒有直接或間接連線到互聯網),並且其他相同企業網絡也無法接觸該網絡,而公司的資安未則遵循以下的條件:
- 所有在內的裝置都受到防毒軟件保護,並且每星期人手更新。
- 所有裝置禁止連接USB裝置,除了在受信任名單內的裝置之外。
- 禁止在現場使用手提電話
情景一:DIY風格互聯網連線
當設施沒有互聯網連接,苦悶的員工便會尋找解決方法,有人會準備多一部手提電話,在前台交出一部,然後另一部連接工作電腦作為上網的橋樑。這類型的威脅模型並未預計網絡攻擊、互聯網惡意程式或其他類似的保安事故。事實上,並非所有管理員每星期更新防毒軟軟件,結果網絡犯罪份子可以利用間諜軟件木馬程式感染其中一台電腦,取得網絡存取,然後在整個子網絡內散播惡意程式,一直外洩資料直至下次防毒軟件更新制止他們的行為。
情景二:每條規則的例外
即使隔離網絡也容許例外,例如:受信任的USB裝置。但如果這些裝置沒有受到限制,無人能保證這些裝置不會抄入或抄離資料,並分到非隔離網絡的其他管理員手上。此外,技術支援的員工有時候會連接他們的手提電腦到隔離網絡,例如設定網絡內的設備時。
如果受信任的USB裝置或手提電腦成為傳送零時差惡意程式,惡意程式存在於目標網絡應該很短暫,因為一經更新,沒有隔離的防毒軟件將會把威脅鏟除。再看看有可能做成的傷害,在沒有隔離的網絡即使只是短時間,但在隔離的網絡則是存在至下次更新,在這次的情景內即是至少一星期,後果取決於惡意程式的類型,例如惡意程式可能寫入資料到受信任的USB裝置,在短時間後,另一個零時差威脅在非隔離網絡可能開始搜尋連線裝置中有否隱藏的資料,然後把它發送離開公司,又或者惡意程式的目的是某種破壞,例如更改軟件或工業控制器的設定。
情景三:內部人士
一名背叛的員工擁有存取隔離網絡的權限,便可以故意加入入侵性的周邊,例如他們可能連接微型Raspberry-Pi的惡意裝置進入網絡,配備SIM卡和流動網絡存取,這正是DarkVishnya的個案。
隔離網絡中的保安工作關鍵
在以上三個情景中都缺少了一個重要的細節,就是最新的保安方案,如果在隔離的網絡安裝Kaspersky Private Security Network,便能實時應對和關閉所有威脅,該方案是就像原本是雲端的Kaspersky Security Network的內部部置版本,能夠在單向閘道(data diode)模式中運作。
資料來源:Kaspersky Blog
