Algunos especialistas en seguridad de la información creen que las redes aisladas no necesitan protección adicional. Si las amenazas no tienen forma de entrar, ¿para qué molestarse? Pero el aislamiento no garantiza la protección total. Y, para demostrarlo, nuestros expertos han querido compartir una serie de situaciones basadas en casos reales.
Nuestra empresa hipotética tiene una subred aislada con un air gap, lo que significa que no solo no se puede acceder a ella desde Internet, sino que ni siquiera pueden hacerlo otros segmentos de la red de la misma empresa. Además, de acuerdo con la política de seguridad de la información de la empresa, se aplican las siguientes reglas:
Hasta aquí todo normal, pero, entonces ¿qué puede salir mal?
Cuando unas instalaciones pierden el acceso a Internet, los empleados adoptan soluciones alternativas. Por ejemplo, aquellos que tienen más de un teléfono, pueden entregar uno a la recepción y conectar el segundo como módem para tener un ordenador de trabajo con conexión a Internet.
El modelo de amenaza para este segmento no anticipa ataques a la red, malware en Internet u otros problemas de seguridad similares. En realidad, no todos los administradores actualizan la protección antivirus cada semana y, como resultado, los ciberdelincuentes pueden infectar un ordenador con un troyano de spyware, obtener acceso a la red y propagar el malware por toda la subred, filtrando información hasta que la próxima actualización del antivirus los expulse.
Incluso las redes aisladas permiten excepciones, como, por ejemplo, las unidades USB. Pero sin restricciones en el uso de estos dispositivos, ¿quién puede decir que una unidad no se utilizará para copiar archivos hacia y desde el sistema o para otras necesidades administrativas en partes no aisladas de la red? Es más, el personal de soporte técnico a veces conecta sus ordenadores portátiles a una red aislada, por ejemplo, para configurar los equipos de red del segmento.
Si una unidad USB o un ordenador portátil de confianza se convierte en un vector de entrega de malware de día cero, la presencia del malware en la red de destino debería ser de corta duración; una vez actualizado, el antivirus no aislado de la organización neutralizará la amenaza allí. Sin embargo, si vamos más allá del daño que puede causar a la red principal no aislada, incluso en ese corto tiempo, el malware permanecerá en el segmento aislado hasta la próxima actualización de ese segmento, lo que en nuestra situación no sucederá durante al menos una semana.
El resultado depende de la variante de malware. Por ejemplo, podría escribir datos en esas unidades USB de confianza. Después de un tiempo, otra amenaza de día cero en el segmento no aislado podría comenzar a buscar los datos ocultos en los dispositivos conectados y enviarlos fuera de la empresa. El objetivo del malware también podría ser algún tipo de sabotaje, como alterar la configuración del software o del controlador industrial.
Un empleado comprometido con acceso a las instalaciones donde se encuentra el segmento de red aislado puede comprometer deliberadamente el perímetro. Por ejemplo, podría conectar un dispositivo malicioso en miniatura basado en Raspberry-Pi a la red, habiéndolo equipado con una tarjeta SIM y acceso a Internet móvil. El caso de DarkVishnya es un claro ejemplo.
En los tres casos anteriores, faltaba un detalle de vital importancia: una solución de seguridad actualizada. Si Kaspersky Private Security Network se hubiera instalado en el segmento aislado, habría reaccionado y cerrado todas las amenazas en tiempo real. La solución es básicamente una versión local de nuestra Kaspersky Security Network basada en la nube, pero capaz de funcionar en modo de diodo de datos.
En otras palabras, aunque sea local, Kaspersky Privacy Security Network recibe información sobre las últimas amenazas desde el exterior y la comparte con las soluciones de endpoint internas. A su vez, evita que cada byte de datos de más allá del perímetro aislado acceda a la red global. Para más información sobre la solución, puedes visitar su página oficial.
Fuente: Kaspersky