Mas o isolamento não é garantia de invulnerabilidade. Nossos especialistas compartilham vários cenários baseados em casos reais para demonstrar.

Nossa empresa hipotética tem uma sub-rede isolada com um air gap, o que significa não apenas que não há acesso a ela pela Internet, mas que mesmo outros segmentos da rede da mesma empresa não podem alcançá-la. Além disso, em linha com a política de segurança da informação da empresa, aplicam-se as seguintes regras:

Todas as máquinas do segmento devem usar proteção antivírus e passar por atualizações manuais uma vez por semana (o que é frequente o suficiente para um segmento isolado);

O sistema de controle de dispositivos de cada máquina deve proibir a conexão de drives flash, exceto aqueles na lista de dispositivos confiáveis;

O uso de telefone celular no local é proibido.

Nada fora do comum aqui. O que poderia dar errado?

Cenário um: conexão de Internet estilo faça-você-mesmo

Quando uma instalação perde o acesso à Internet, funcionários entediados adotam soluções alternativas. Alguns conseguem um telefone extra, entregam um na recepção e conectam o segundo como um modem para colocar um computador de trabalho online.

O modelo de ameaça para este segmento não prevê ataques à rede, malware da Internet ou outros problemas de segurança semelhantes. Na realidade, nem todo administrador atualiza a proteção antivírus toda semana e, como resultado, os cibercriminosos podem infectar um computador com um cavalo de Troia de spyware, obter acesso à rede e espalhar o malware por toda a sub-rede, vazando informações até que a próxima atualização de antivírus os desligue.

Cenário dois: uma exceção para todas as regras

Mesmo redes isoladas permitem exceções - drives flash confiáveis, por exemplo. Mas sem restrições ao uso dessas unidades flash, quem pode dizer que uma unidade não será usada para copiar arquivos de e para o sistema ou para outras necessidades de administrador em partes não isoladas da rede? Além do mais, a equipe de suporte técnico às vezes conecta seus laptops a uma rede isolada, por exemplo, para configurar equipamentos de rede dentro do segmento.

Se uma unidade flash ou laptop confiável se tornar um vetor de entrega de malware de dia zero, a presença do malware na rede de destino deve durar pouco - uma vez atualizado, o antivírus não isolado da organização neutralizará a ameaça. Olhando além dos danos que pode causar à rede principal não isolada, mesmo nesse curto espaço de tempo, no entanto, o malware permanecerá no segmento isolado até a próxima atualização desse segmento, o que em nosso cenário não acontecerá por pelo menos uma semana.

O resultado depende da variante do malware. Por exemplo, ele pode gravar dados nessas unidades flash confiáveis. Depois de um curto período, outra ameaça de dia zero no segmento não isolado pode começar a pesquisar os dados ocultos nos dispositivos conectados e enviá-los para fora da empresa. Alternativamente, o objetivo do malware pode ser alguma forma de sabotagem, como alterar o software ou as configurações do controlador industrial.

Cenário três: Insiders

Um funcionário comprometido com acesso às instalações onde o segmento de rede isolado está localizado pode comprometer deliberadamente o perímetro. Por exemplo, eles podem conectar um dispositivo malicioso em miniatura baseado em Raspberry-Pi à rede, tendo-o equipado com um cartão SIM e acesso à Internet móvel. O caso de DarkVishnya é um exemplo.

O que fazer

Em todos os três casos, um detalhe vital estava faltando: uma solução de segurança atualizada. tivesse sido instalado no segmento isolado, ele teria reagido e encerrado todas as ameaças em tempo real.

O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.