Le sottoreti isolate sembrano sicure

Isolare un segmento di rete è davvero garanzia di invulnerabilità?

Alcuni specialisti di sicurezza informatica sono dell’idea che le reti isolate non abbiano bisogno di una protezione aggiuntiva: se le minacce non hanno modo di entrare, perché preoccuparsi? Tuttavia, l’isolamento non è una garanzia di invulnerabilità. I nostri esperti ci propongono alcune situazioni basate su casi reali per dimostrarlo.

La nostra ipotetica azienda ha una sottorete isolata con air gap, il che significa non solo che questa sottorete non ha accesso a Internet, ma che anche altri settori della stessa rete aziendale non possono connettersi. Inoltre, in linea con la politica di sicurezza informatica dell’azienda, si applicano le seguenti regole:

  • Tutti i dispositivi del segmento devono usare una protezione antivirus e sottoporsi ad aggiornamenti manuali una volta alla settimana (è abbastanza frequente per un segmento isolato);
  • Il sistema di controllo dei dispositivi di ogni macchina deve proibire la connessione di unità flash eccetto quelle nella lista dei dispositivi di fiducia;
  • L’uso del telefono cellulare in loco è vietato.

Tutto nella norma insomma. Cosa potrebbe andare storto?

Ipotesi nº1: connessione a Internet in stile “fai da te”

Quando un’infrastruttura non permette l’accesso a Internet, i dipendenti annoiati adottano soluzioni alternative. Alcuni si procurano un telefono extra, ne consegnano uno alla reception e utilizzano il secondo come modem per avere un computer portatile che possa connettersi online.

Il threat model per questo segmento non può prevedere gli attacchi alla rete, i malware su Internet o altri problemi di sicurezza simili. In realtà, non tutti gli amministratori aggiornano la protezione antivirus ogni settimana e, di conseguenza, i criminali informatici possono infettare un computer con un Trojan spyware, ottenere l’accesso alla rete e diffondere il malware in tutta la sottorete, facendo trapelare informazioni fino all’ aggiornamento antivirus successivo.

Ipotesi nº2: l’eccezione che conferma la regola

Anche le reti isolate permettono delle eccezioni, mediante delle unità USB fidate, per esempio. Ma senza restrizioni sull’uso di queste unità flash, chi può dire che un’unità non verrà utilizzata per copiare file da e verso il sistema o per altre esigenze amministrative che interessano parti non isolate della rete? Inoltre, il personale di assistenza tecnica a volte collega i propri computer portatili a una rete isolata, ad esempio per configurare le apparecchiature di rete all’interno del segmento.

Se un’unità flash di fiducia o un portatile diventa un vettore di consegna per un malware zero-day, la presenza del malware nella rete di destinazione dovrebbe essere di breve durata: una volta aggiornato, l’antivirus non isolato dell’azienda neutralizzerà la minaccia. Guardando oltre il danno che può fare alla rete principale non isolata anche in quel breve tempo, tuttavia, il malware rimarrà nel segmento isolato fino all’aggiornamento successivo di quel segmento, che nel nostro scenario non avverrà per almeno una settimana.

Il risultato dipende dalla variante del malware. Per esempio, potrebbe scrivere dati sulle unità USB affidabili. Dopo poco tempo, un’altra minaccia zero-day nel segmento non isolato potrebbe iniziare a cercare dati nascosti nei dispositivi collegati e inviarli all’esterno dell’azienda. In alternativa, l’obiettivo del malware potrebbe essere una qualche forma di sabotaggio, come l’alterazione dei software o delle impostazioni del controller industriale.

Ipotesi nº3: un insider

Un dipendente con un sistema compromesso e con accesso ai locali in cui si trova il segmento di rete isolato, può deliberatamente compromettere il perimetro. Per esempio, potrebbe collegare alla rete un dispositivo miniaturizzato dannoso basato su Raspberry-Pi, dopo averlo dotato di una scheda SIM e di un accesso a Internet. Il caso di DarkVishnya è un esempio.

Cosa fare

In tutti e tre i casi, mancava un dettaglio fondamentale: una soluzione di sicurezza aggiornata. Se Kaspersky Private Security Network fosse stato installato nel segmento isolato, avrebbe reagito e risolto tutte le minacce in tempo reale. Questa soluzione è essenzialmente una versione on-premise del nostro Kaspersky Security Network, basato su cloud ma in grado di lavorare in modalità diodo di dati.

In altre parole, anche se si trova in locale, Kaspersky Privacy Security Network riceve informazioni sulle ultime minacce dall’esterno e le condivide con le soluzioni endpoint interne. Allo stesso tempo, impedisce che ogni singolo byte di dati che arriva dall’esterno del perimetro isolato entri nella rete globale. Per maggiori informazioni su questa soluzione, potete consultare la pagina dedicata.

Consigli