Alguns especialistas em infosec acreditam que redes isoladas n\u00e3o precisam de prote\u00e7\u00e3o adicional; se as amea\u00e7as n\u00e3o t\u00eam como entrar, qual o motive da preocupa\u00e7\u00e3o? Mas o isolamento n\u00e3o \u00e9 garantia de invulnerabilidade. Nossa equipe compartilhou v\u00e1rios cen\u00e1rios baseados em casos reais para demonstrar e corroborar esta idea.<\/p>\n
Nossa empresa hipot\u00e9tica tem uma sub-rede isolada com um air gap, o que significa n\u00e3o apenas que n\u00e3o h\u00e1 acesso a ela da Internet, mas que mesmo outros segmentos da rede da mesma empresa n\u00e3o podem alcan\u00e7\u00e1-la. Al\u00e9m disso, de acordo com a pol\u00edtica de seguran\u00e7a da informa\u00e7\u00e3o da empresa, as seguintes regras se aplicam:<\/p>\n
\u25cf Todas as m\u00e1quinas no segmento devem usar prote\u00e7\u00e3o antiv\u00edrus e passar por atualiza\u00e7\u00f5es manuais uma vez por semana (que \u00e9 frequente o suficiente para um segmento isolado);<\/p>\n
\u25cf O sistema de controle de dispositivos de cada m\u00e1quina deve proibir a conex\u00e3o de drives flash, exceto aqueles na lista de dispositivos confi\u00e1veis;<\/p>\n
\u25cf O uso de telefone celular no local \u00e9 proibido.<\/p>\n
Nada fora do comum at\u00e9 aqui. O que poderia dar errado?<\/p>\n
Quando uma instala\u00e7\u00e3o perde o acesso \u00e0 Internet, funcion\u00e1rios entediados adotam solu\u00e7\u00f5es alternativas. Alguns conseguem um telefone extra, entregam um na recep\u00e7\u00e3o e conectam o segundo como um modem para colocar um computador de trabalho online.<\/p>\n
O modelo de amea\u00e7a para este segmento n\u00e3o prev\u00ea ataques \u00e0 rede, malware da Internet ou outros problemas de seguran\u00e7a semelhantes. Na realidade, nem todo administrador atualiza a prote\u00e7\u00e3o antiv\u00edrus toda semana e, como resultado, os cibercriminosos podem infectar um computador com um Trojan spyware, obter acesso \u00e0 rede e espalhar o malware por toda a sub-rede, vazando informa\u00e7\u00f5es at\u00e9 que a pr\u00f3xima atualiza\u00e7\u00e3o de antiv\u00edrus os desligue .<\/p>\n
Mesmo redes isoladas permitem exce\u00e7\u00f5es \u2013 drives flash confi\u00e1veis, por exemplo. Mas, sem restri\u00e7\u00f5es ao uso dessas unidades flash, quem pode dizer que uma unidade n\u00e3o ser\u00e1 usada para copiar arquivos de e para o sistema ou para outras necessidades de administrador em partes n\u00e3o isoladas da rede? Al\u00e9m do mais, a equipe de suporte t\u00e9cnico \u00e0s vezes conecta seus laptops a uma rede isolada, por exemplo, para configurar o equipamento de rede dentro do segmento.<\/p>\n
Se uma unidade flash ou laptop confi\u00e1vel se tornar um vetor de entrega para malware do tipo zero day, a presen\u00e7a do malware na rede de destino deve durar pouco \u2013 uma vez atualizado, o antiv\u00edrus n\u00e3o isolado da organiza\u00e7\u00e3o neutralizar\u00e1 a amea\u00e7a ali. Olhando al\u00e9m dos danos que pode causar \u00e0 rede principal n\u00e3o isolada, mesmo nesse curto per\u00edodo de tempo, no entanto, o malware permanecer\u00e1 no segmento isolado at\u00e9 a pr\u00f3xima atualiza\u00e7\u00e3o desse segmento, o que em nosso cen\u00e1rio n\u00e3o acontecer\u00e1 por pelo menos uma semana.<\/p>\n
O resultado depende da variante do malware. Por exemplo, ele pode gravar dados nessas unidades flash confi\u00e1veis. Depois de um curto per\u00edodo, outra amea\u00e7a zero day no segmento n\u00e3o isolado pode come\u00e7ar a pesquisar os dados ocultos nos dispositivos conectados e envi\u00e1-los para fora da empresa. Como alternativa, o objetivo do malware pode ser alguma forma de sabotagem, como alterar o software ou as configura\u00e7\u00f5es do controlador industrial.<\/p>\n
Um funcion\u00e1rio comprometido e com acesso \u00e0s instala\u00e7\u00f5es onde o segmento de rede isolado est\u00e1 localizado pode comprometer deliberadamente o per\u00edmetro. Por exemplo, eles podem conectar um dispositivo malicioso baseado em Raspberry-Pi em miniatura \u00e0 rede, tendo-o equipado com um cart\u00e3o SIM e acesso \u00e0 Internet m\u00f3vel. O caso DarkVishnya \u00e9 um exemplo.<\/p>\n
Em todos os tr\u00eas casos, um detalhe vital estava faltando: uma solu\u00e7\u00e3o de seguran\u00e7a atualizada. Se o Kaspersky Private Security Network tivesse sido instalado no segmento isolado, ele teria reagido e encerrado todas as amea\u00e7as em tempo real. A solu\u00e7\u00e3o \u00e9 essencialmente uma vers\u00e3o local de nossa Kaspersky Security Network baseada em nuvem, mas capaz de funcionar em modo de diodo de dados.<\/p>\n