В данной статье мы рассмотрим риски и подходы к реализации МФА в сетях, изолированных от Интернета, на основе решения Silverfort.
Что такое изолированная сеть?
Сети, изолированные по принципу «воздушного зазора» (air-gapped) — это компьютерные сети, у которых нет интерфейсов для подключения к внешнему миру. Очевидно, что это достаточно радикальная мера обеспечения безопасности, поэтому такой подход обычно применяется в организациях с крайне чувствительными ресурсами, которым необходим максимальный уровень защиты.
Например, изолированные сети используются компаниями КИИ (обеспечение энерго- и водоснабжения), а также организациями, в которых работают с различными видами совершенно секретных систем и данных (подрядчики министерства обороны, государственные структуры, вооруженные силы). Обычно эти организации полностью изолируют свои наиболее критичные сегменты сети, благодаря чему они, по крайней мере, в теории, отрезаны от любых Интернет-подключений.
В действительности изолированные сети не так безопасны, как кажется
Такая концепция хорошо выглядит на бумаге, но на практике эти сети гораздо менее изолированы, чем предполагают многие операторы. В большинстве случаев все же есть необходимость периодического подключения к внешнему миру. Например, операторам может потребоваться передать в защищенный сегмент сеть внешние файлы. Например, обновления ПО могут передаваться в изолированную сеть с помощью USB-накопителя. Кроме того, время от времени необходимо обращаться за поддержкой удаленного вендора. Это означает, что по сути сеть уже не полностью изолирована от внешней среды. Всем известна история с вредоносом Stuxnet, который проник в изолированные сети через зараженные съемные USB-носители.
Значит, в изолированные сети все-таки можно проникнуть
Оказавшись внутри изолированной сети, злоумышленники могут начать латеральное (внутреннее) движение, чтобы продвинуться вглубь и ближе к ценным ресурсам. Это осуществляется с помощью украденных паролей и учетных записей. Так, в 2017 году при атаках NotPetya злоумышленники использовали известный инструмент Mimikatz, причем этот метод распространения работал не только в ИТ-сетях с выходом в Интернет, но и в изолированных сегментах АСУ ТП.
Изолированные сети вовсе не столь безопасные, как может показаться. Такой подход к обеспечению защиты мог казаться надежным в прошлом, но современные угрозы и способы реализации атак показали, что изоляция сетей не обеспечивает их непроницаемости и защищенности, и этот риск необходимо учитывать.
Трудности защиты изолированных сетей
Изолированные сети содержат особо ценные ресурсы, поэтому организации такими сетевыми сегментами остро нуждаются в гарантии того, что изолированные сети действительно защищены не только от угроз внешнего мира, но и от злоумышленника, которому удалось закрепиться внутри сети.
Проблема в том, что достичь этого нелегко.
Многие изолированные сети содержат критичные системы, которые должны стабильно работать и быть доступны круглосуточно 365 дней в году, поэтому их нельзя перезапускать для установки ПО или патчей. На другие проприетарные системы распространяются жесткие гарантийные условия вендора, по которым на серверах нельзя устанавливать какое-либо стороннее ПО. Кроме того, в этих сетях можно часто обнаружить устаревшие, но до сих пор активные системы, хотя они уже не поддерживаются своими производителями. Обычно это означает, что эти системы больше не поддерживаются и вендорами защитных решений. Таким образом, развертывание программных агентов для защиты систем в изолированных сетях часто является невыполнимой задачей.
Критичные системы должны быть стабильны и доступны, поэтому организациям также необходимо учитывать, как использование защитных средств будет влиять на скорость и стабильность работы приложений и устройств. Если защитное средство генерирует слишком много ложных срабатываний, или, что еще хуже, блокирует легитимные процессы, то оно крайне негативно влияет на работу системы. В этой ситуации решения для многофакторной аутентификации (МФА) обладают преимуществом, так как они предоставляют не только два варианта — разрешить или запретить доступ, — но позволяют пользователям самим подтверждать легитимные запросы доступа без привлечения службы поддержки или SOC. Следовательно, это снижает количество ложных срабатываний, оптимизирует процессы и минимизирует количество прерываний в работе пользователей.
Однако сегодня многие средства защиты информации, особенно решения для аутентификации, требуют подключения к сети Интернет. Очевидно, что из-за этого они не подходят для изолированных сетей. В итоге остается не так уж много вариантов для должной защиты таких сетей, и зачастую безопасность большинства изолированных сред не обеспечивается должным образом.
Требования к безопасной аутентификации в изолированных сетях
Как уже упоминалось, многофакторная аутентификация (МФА) — крайне важное средство защиты информации, позволяющее предотвратить несанкционированный доступ. Однако оно должно соответствовать жестким требованиям изолированных сетей.
Для защиты изолированных сетей нужны решения, обладающие следующими свойствами:
- работа без подключения к Интернету;
- не требуются агенты и изменения кода приложений, так как зачастую развернуть агенты или изменить код невозможно для многих высокодоступных, устаревших или сторонних систем;
- минимизируют количество прерываний в работе и не оказывают негативного влияния на стабильность и доступность чувствительных систем и процессов;
- требование, которое ранее не упоминалось: решения для безопасной аутентификации в изолированных сетях должны предоставлять аппаратные токены, которые считаются наиболее безопасными и могут использоваться там, где использование личных телефонов запрещено.
Из соображений безопасности и из-за отсутствия подключения к Интернету в изолированных сетях вместо мобильных устройств для аутентификации используются аппаратные токены. Токены с поддержкой стандарта аутентификации FIDO2 считаются более безопасными, чем устаревшие OTP-токены, которые можно украсть или потерять, к тому же они уязвимы к атакам «человек посередине». Из-за этого FIDO2 является предпочтительным стандартом, применяемым в аппаратных токенах. Также считается, что токен FIDO2 исключает реализацию как новейших, так и традиционных фишинговых атак.
Однако возможности токенов FIDO2 изначально ограничены. Дело в том, что для их использования нужны защищенные приложения, которые бы применяли поддерживающие их протоколы webauthN или U2F. Очень сложно, если вообще возможно, вносить изменения в защищаемые системы, чтобы они могли поддерживать эти протоколы, поэтому с такими токенами может работать небольшое число приложений.
Таким образом, на сегодняшний день системы в изолированных сетях редко бывают хорошо защищены.
Безопасная аутентификация в изолированных сетях с помощью Silverfort
С момента своего появления Silverfort помогает организациям любых типов защищать активы, которые долго считались незащищаемыми, например, ИТ-инфраструктура, файловые серверы, базы данных, устройства IoT и даже системы АСУ ТП, такие как человеко-машинные интерфейсы (HMI) и производственные серверы. Недавно Silverfort расширил свои возможности по обеспечению безопасной аутентификации на изолированные сети, предоставляя полностью локальное развертывание, при котором не нужны Интернет-соединения, программные агенты на серверах или изменения кода в системах, находящихся под защитой. В качестве второго фактора используются аппаратные токены FIDO2.
1. Новый режим развертывания без подключения к Интернету: начиная с версии 3.0, Silverfort предоставляет режим полностью локального развертывания. В этом режиме Silverfort работает как виртуальная машина и предоставляет полную функциональность, не вызывая сторонних функций. Обратите внимание, что Silverfort также поддерживает вариант SaaS-развертывания и гибридного развертывания в облаке и на площадке заказчика.
2. Безагентная архитектура, не требующая менять код: уникальная инновационная архитектура Silverfort позволяет организациям использовать многофакторную аутентификацию на любых системах или ресурсах, без программных агентов на защищаемых серверах, а также без изменения кода или внедрения новых протоколов аутентификации.
3. Аппаратные токены, совместимые с FIDO2: Silverfort предоставляет организациям выбор поставщика аутентификатора для изолированных сред, обеспечивая гибкую интеграцию с поддержкой всех аппаратных токенов FIDO2.
Благодаря такой интеграции Silverfort бесшовно закрывает технологический разрыв между современными токенами FIDO2 и существующей инфраструктурой предприятий, позволяя заказчикам использовать безопасные аппаратные токены без внесения изменений в инфраструктуру или приложения.
Благодаря инновации Silvefort МФА можно применять для защиты систем в изолированных сетях, не внося изменений в сеть, не используя пакеты разработчиков (SDK), агенты или прокси. МФА позволяет не только проверять подлинность пользовательских учетных записей, но и предотвращать латеральное движение, если злоумышленник попадет во внутреннюю сеть.
Заключение
В организациях с крайне чувствительными ресурсами изоляция сети может стать правильным выбором для ее защиты — но только в том случае, если организации осознают и компенсирует слабые места, которые присущи таким средам. Благодаря платформе безагентной аутентификации Silverfort заказчики могут усилить безопасную аутентификацию, проверяя подлинность пользовательских учетных записей в изолированных сетях, что добавляет компенсирующие защитные меры и обеспечивает непрерывную защиту доступа к наиболее критичным активам.
Авторы — Рон Расин и Ревитал Аронис, Silverfort
