Algunos especialistas en seguridad de la información creen que las redes aisladas no necesitan protección adicional; si las amenazas no pueden entrar, ¿para qué molestarse? Pero el aislamiento no garantiza la invulnerabilidad. Nuestros expertos comparten varios escenarios basados en casos reales para demostrarlo.
Nuestro empresa hipotética tienen una subred aislada con un air gap, lo que significa no solo que no puede accederse a ella desde Internet, sino que ni siquiera otros segmentos de la misma red de la empresa pueden llegar a ella. Es más, se aplican las siguientes reglas siguiendo la política de seguridad de la información de la empresa:
- Todas las máquinas en el segmento deben utilizar protección antivirus y someterse a actualizaciones manuales una vez a la semana (la frecuencia suficiente para un segmento aislado).
- El sistema de control de dispositivos de cada máquina debe prohibir la conexión de unidades de memoria flash, a excepción de los incluidos en la lista de dispositivos de confianza.
- Se prohíbe el uso de teléfonos celulares en el sitio.
Nada fuera de lo normal. ¿Qué podría salir mal?
Escenario uno: conexión a Internet hecha por uno mismo
Cuando una instalación pierde el acceso a Internet, los empleados aburridos hacen adaptaciones. Algunos se consiguen un teléfono adicional, entregan uno en la recepción y utilizan el segundo como módem para conectar la computadora a Internet.
El modelo de amenazas para este segmento no anticipa ataques de red, malware de Internet u otros problemas de seguridad parecidos. En realidad, no todos los administradores actualizan la protección antivirus cada semana, y, como resultado, los cibercriminales pueden infectar una computadora con un spyware troyano, obtener acceso a la red y esparcir malware en toda la subred, filtrando información hasta que sean desconectados en la siguiente actualización del antivirus.
Escenario dos: una excepción a cada regla
Incluso las redes aisladas aceptan excepciones, por ejemplo, unidades de memoria flash de confianza. Pero sin restricciones en el uso de estas unidades de memoria flash, ¿quién garantiza que dicha unidad no se utilizará para copiar los archivos a y desde el sistema o para otras necesidades administrativas en partes no aisladas de la red? Es más, en ocasiones, el personal de soporte técnico conecta sus laptops a una red aislada, por ejemplo para configurar el equipo de la red dentro del segmento.
Si una unidad de memoria flash o laptop se convierte en portadora de malware de día cero, la presencia del malware en la red objetivo no debería durar mucho; una vez actualizado, el antivirus de la organización neutralizará la amenaza. Sin embargo, más allá del daño que puede hacer en la red principal no aislada incluso en poco tiempo, el malware permanecerá en el segmento no aislado hasta que la siguiente actualización del segmento, lo que en nuestro escenario será hasta dentro de una semana.
El resultado depende de la variante de malware. Por ejemplo, podría escribir datos en las unidades de memoria flash de confianza. Después de poco tiempo, otra amenaza de día cero en el segmento no aislado podría empezar a buscar en dispositivos conectados datos ocultos y enviarlos fuera de la empresa. De igual manera, el objetivo del malware podría ser alguna forma de sabotaje como alterar el software o los ajustes del controlador industrial.
Escenario tres: infiltrados
Un empleado comprometido con acceso a las instalaciones donde se ubica el segmento de red aislado puede comprometer de manera deliberada el perímetro. Por ejemplo, podría conectar a la red un dispositivo malicioso basado en Raspberry Pi, al que se le haya integrado una tarjeta SIM y acceso a Internet móvil. El caso de DarkVishnya es un ejemplo de esto.
¿Qué hacer?
En los tres casos, faltaba un detalle crucial: una solución de seguridad actualizada. Si se hubiera instalado Kaspersky Private Security Network en el segmento aislado, este habría reaccionado y cerrado todas las amenazas en tiempo real. La solución es, en esencia, una versión en sitio de nuestra Kaspersky Security Network basada en la nube, pero que es capaz de funcionar en modo de diodo de datos.
En otras palabras, aunque es local, Kaspersky Privacy Security Network recibe información sobre las amenazas más recientes desde el exterior y la comparte con las soluciones de endpoint internas. Al mismo tiempo, evita que cada byte de datos más allá del perímetro aislado llegue a la red global. Puedes conocer más sobre la solución en su página oficial.