یک زیرشبکه‌ی ایزوله‌شده چقدر امن است؟

برخی متخصصین امنیت اطلاعات بر این باورند که شبکه‌ای ایزوله‌شده به لایه‌ی محافظتی اضافی نیازی ندارد؛ یعنی اگر راهی برای رخنه وجود ندارد پس چرا باید زحمت افزودن لایه امنیتی بیشتر را به خود دهیم؟ اما ایزولاسیون مصونیت از آسیب‌پذیری را تضمین نمی‌کند. متخصصین ما چندین سناریو را بر اساس موارد واقعی با ما به اشتراک می‌گذارند. شرکت فرضی ما زیرشبکه‌ی ایزوله‌شده مجهز به شبکه شکاف هوا دارد؛ بدین‌معنا که نه تنها از اینترنت بدان دسترسی‌ای وجود ندارد بلکه حتی سایر بخش‌های همان شبکه سازمانی هم نمی‌تواند بدان دسترسی داشته باشد. افزون بر این، در کنار خط‌مشی امنیت اطلاعات این شرکت، قوانین زیر نیز بکار می‌رود:

• همه ماشین‌های این بخش باید از حفاظت آنتی‌ویروس استفاده کرده و هفته‌ای یک بار به صورت دستی آپدیت شوند (این برای یک بخش ایزوله‌شده کفایت می‌کند).
• سیستم کنرل دستگاه هر ماشین باید از کانکشن فلش درایوها جلوگیری کند؛ به استثنای آن‌هایی که در لیست دستگاه‌های قابل‌اعتماد قرار دارند.
• استفاده از گوشی همراه روی سایت ممنوع است.

همه‌چیز که بر طبق روال بوده، پس ایراد کار کجاست؟

سناریوی شماره 1: کانکشن اینترنت به سبک DIY

وقتی یک نهاد دسترسی اینترنتش را از دست می‌دهد، کارمندان از روی دلزدگی و بی‌حوصلگی شروع می‌کنند به اتخاذ یک سری راهکار. برخی یک گوشی دیگر برمی‌دارند و برای کار کامپیوتری آنلاین از آن به عنوان مودم استفاده می‌کنند. مدل تهدید این بخش انتظار حملات شبکه‌ای، بدافزار اینترنت یا سایر مسائل امنیتی مشابه را ندارد. در واقعیت، هر ادمینی هم هر هفته حفاظت آنتی‌ویروس را آپدیت نمی‌کند و در نتیجه مجرمان سایبری می‌توانند با یک تروجان جاسوس‌افزار کامپیوتر را آلوده کرده، دسترسی شبکه دریافت کرده و بدافزار را در کل زیرمجموعه تسری دهند. این نشت داده سپس ادامه پیدا خواهد کرد تا در نهایت آپدیت آنتی‌ویروس بعدی جلوی نشت را بگیرد.

سناریوی شماره 2: استثنایی برای هر قانون

حتی برای شبکه‌های ایزوله‌شده هم استثناهایی می‌توان قائل شد- برای مثال فلش‌درایوهای قابل‌اعتماد. اما بدون هیچ محدودیتی روی کارکرد آن فلش‌درایوها چه کسی است که ادعا کند یک درایو را برای کپی فایل‌ها و از سیستم یا برای نیازهای امین دیگری (که متعلق به بخش ایزوله‌نشده‌ی شبکه است) استفاده نمی‌کنند؟ علاوه بر این، برخی‌اوقات کارمندان بخش فنی (برای مثال) لپ‌تاپ‌های خود را به یک شبکه ایزوله وصل می‌کنند تا در خود بخش، تجهیزات شبکه‌ای اصطلاحاً کانفیگ شود. اگر فلش درایو یا لپ‌تاپ قابل اعتماد به بردار حمله که از طرف بدافزار روز صفر مأمور است تبدیل شود چه؟ با این حال عمر بدافزار در شبکه مورد هدف وقتی آپدیت صورت گرفت، کوتاه خواهد بود. آنتی‌ویروس ایزوله‌نشده سازمان در این بخش تهدید را خنثی خواهد کرد. این بدافزار ورای خسارتی که می‌تواند به شبکه‌ی اصلی و ایزوله‌نشده وارد کند در بخش ایزوله باقی خواهد ماند تا آپدیت بعدی بخش (که در آن سناریوی ما برای دست‌کم یک هفته رخ نخواهد داد). پیامد به تغیر بدافزار بستگی دارد. برای مثال شاید در آن فلش‌درایوهای قابل‌اعتماد داده بنویسد. بعد از مدت کوتاهی، تهدید روز صفر دیگری در بخش ایزوله‌نشده شروع خواهد کرد به جستجوی دستگاه‌های متصل به اینترنت آن هم برای پیدا کردن داده‌های مخفی و ارسالشان به خارج از شرکت. به طور جایگزین هدف این بدافزار می‌تواند نوعی خرابکاری باشد؛ مثلاً تغییر نرم‌افزار یا دستکاری تنظیمات کنترلر صنعتی.

سناریو شماره 3: نفوذی‌ها

کارمندی نفوذی که به سازمان‌هایی دسترسی دارد که در آن‌ها بخش ایزوله‌شده‌ی شبکه قرار دارد می‌تواند خواسته و عامدانه این محیط را دستکاری کند. برای مثال شاید چنین کارمندی یک دستگاه آلوده‌ی مینیاتوری مبتنی بر رزبری پای به شبکه وصل کند و آن را با سیم‌کارت و دسترسی اینترنت موبایل همگام سازد. نمونه‌اش پرونده‌ی DarkVishnya.

چه کار باید کرد؟

در هر سه مورد، جزئیات مهمی از دست رفته بود: راهکار امنیتی آپدیت‌شده. اگر Kaspersky Private Security Network در بخش ایزوله نصب شده بود، به طور در لحظه به تهدیدها واکنش نشان می‌داد و همه را آناً می‌بست. این راهکار در اصل نسخه‌ی سازمانی Kaspersky Security Network مبتنی بر کلود ماست اما قادر است در حالت دیود داده نیز فعالیت کند. به بیانی دیگر گرچه Kaspersky Privacy Security Network داخلی است اما اطلاعاتی در خصوص جدیدترین تهدیدهای بیرون شرکت نیز دریافت می‌کند و آن را با راهکارهای اندپوینت داخلی در میان می‌گذارد.