Поделиться
АНАЛИЗ УГРОЗ AIR-GAPPED СЕТЕЙ И СОВРЕМЕННЫЕ ТЕХНОЛОГИИ ПРОТИВОДЕЙСТВИЯ ИМ.docx
Гладенко Александр Валерьевич
Магистр технических наук
АНАЛИЗ УГРОЗ air-gapped сетей И Современные технологии ПРОТИВОДЕЙСТВИЯ им
Аннотация. В статье рассмотрено современное состояние угроз информационной безопасности локальных сетей, физически изолированных от интернета и от сетей с низким уровнем безопасности. Описывается классификация угроз внутреннего нарушителя. Автор приводит ряд рекомендаций по повышению защищенности объектов такого типа.
Ключевые слова: физическая изоляция, AIR-GAPPED сети, кибербезопасность, угрозы информационной безопасности, контур защиты.
ANALYSIS OF AIR-GAPPED NETWORK THREATS AND MODERN TECHNOLOGIES TO COUNTER THEM
Abstract. The article examines the current state of information security threats to local networks that are physically isolated from the internet and from networks with a low level of security. A classification of insider threats is described. The author provides a series of recommendations to improve the security of objects of this type.
Keywords: physical isolation, AIR-GAPPED networks, cybersecurity, information security threats, security perimeter, insider threat.
«Воздушный зазор» (air gap) — физическая изоляция объекта информационно-коммуникационной инфраструктуры (далее - ИКИ), как максимальная мера обеспечения кибербезопасности, которая заключается в том, что защищаемая локальная сеть, а наравне с ней информационные ресурсы, физически изолированы от небезопасных сетей: интернета и локальных сетей с низким уровнем безопасности.
Изоляция информационно-коммуникационной инфраструктуры (ИКИ) представляется на первый взгляд весьма привлекательным решением для обеспечения ее безопасности. Однако, более глубокий анализ демонстрирует, что данный подход, часто именуемый созданием сети с "воздушным зазором" (air gap network), неприемлем для большинства современных организаций. Причина кроется в том, что такая изоляция вступает в противоречие с основополагающими принципами построения эффективной сетевой инфраструктуры, а именно - обеспечением беспрепятственного обмена информацией между различными элементами сети, будь то серверы, клиентские устройства, ресурсы данных или конечные пользователи, независимо от их физического местоположения.
В контексте подобной изоляции, важно понимать, что исторически сложившийся концепт сети с воздушным зазором подразумевает полное отсутствие каких-либо онлайн-соединений, обеспечивающих передачу данных в или из внешнейнос информации на съемных носителях: USB-накопителях, оптических дисках (DVD, CD), а ранее, в эпоху менее развитых технологий, – с использованием дискет и магнитной ленты. Такой подход, безусловно, существенно повышает уровень безопасности, но создает значительные сложности в обеспечении оперативной доступности данных и затрудняет взаимодействие с другими системами, что критично для современных бизнес-процессов, требующих высокой степени интеграции и оперативности [1].
В нынешних реалиях, air-gapped сети фактически имеют интерфейсы для подключения к внешнему миру и реализуются посредством:
· сегментации сетевой инфраструктуры на внутренний и внешний контуры [2] (выделенный сегмент терминального доступа через промежуточный сервер [6], однонаправленные шлюзы в промышленности). Этот метод предполагает разделение сетевой инфраструктуры на внутренний и внешний контуры. Внутренний контур, содержащий критически важные системы и данные, изолируется от внешнего контура, обеспечиватрующего потенциально опасный трафик. В промышленных системах, данная концепция часто реализуется с использованием однонаправленных шлюзов, которые позволяют передавать данные только в одном направлении, исключая возможность обратного трафика и, следовательно, потенциальную угрозу заражения;
· использование единой транспортной среды передачи данных посредством выделенного каналообразования или построения виртуальной частной сети (VPN). Выделенное каналообразование подразумевает использование физически выделенных каналов связи для передачи данных между изолированной сетью и внешней средой. Это означает, что для передачи данных используется отдельная линия связи, которая не используется для передачи другого трафика.
Исходя из вышеизложенного, «воздушный зазор» является радикальной мерой [3], поэтому такой подход обычно применяется в организациях, относящихся к критически важным объектам ИКИ [4], нарушение или прекращение функционирования которых может привести к:
· утечке персональных данных ограниченного доступа и иных сведений, содержащих охраняемую законом тайну;
· чрезвычайной ситуации социального и (или) техногенного характера;
· значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, "электронного правительства".
По данным из аналитических отчетов по кибербезопасности за 2024 год (Государственная техническая служба Республики Казахстан [9], ЦАРКА [10], ESET [7], INFOWATCH [11], Kaspersky [12] отмечается:
· доля утечек конфиденциальной информации, к которым привели кибератаки составила около 70%, почти каждое пятое нарушение стало следствием умышленных действий внутреннего нарушителя - около 20% (каждый третий случай – совместные действия внутренних и внешних нарушителей, то есть гибридная атака), случайные действия внутреннего нарушителя – около 1% и 9% - другое;
· увеличилось количество сложных, целевых, распределенных во времени - таргетированных APT-атак [8], в том числе атак хактивистов [13], реализованных за счёт случайных или умышленных действий внутреннего нарушителя.
В результате сделан вывод, что внутренняя угроза вызывает наибольшую тревогу, даже в условиях нарастающей опасности со стороны киберпреступности.
В целях построения эффективного контура защиты критически важных объектов ИКИ, построенных по методу AIR-GAPPED сетей, в статье приведен обзор внутренних угроз и предложена их обобщенная классификация:
Таблица 1. Обобщенная классификация внутренних угроз (вероятного инсайдера)
|
По организационно-штатной деятельности |
|||||||
|
По исполнению роли (обязанностей) |
системный администратор (супер-пользователь) |
администратор безопасности |
руководство организации |
штатные пользователи информационной системы |
внештатные пользователи информационной системы |
Увольняющиеся или намеревающиеся уволиться сотрудники |
|
|
По уровню доверия |
Привилегированные сотрудники |
Непривилегированные сотрудники |
Партнеры |
Бывшие сотрудники |
|||
|
По разграничению доступа |
неограниченные права доступа внутренней инфраструктуре организации |
практически неограниченные права доступа к критичным файлам и внутренней инфраструктуре организации |
частично ограниченные права доступа к критичным файлам |
ограниченные права доступа к критичным файлам в соответствии с политикой безопасности |
санкционированный доступ к критичным файлам или внутренней инфраструктуре организации |
увольняющиеся злоумышленники из числа рядовых сотрудников в большинстве случаев руководствуются корыстными мотивами, а привилегированные сотрудники в основном действуют из соображений личного, некорыстного характера |
|
|
По контролю доступа |
контроль за их действиями не организован или носит периодический характер |
контроль за их действиями осуществляется не в полном объеме |
контроль за их действиями не организован или носит эпизодический характер |
контроль за их действиями организован имеющимися средствами защиты информации |
контроль за их действиями организован, с учетом открытия временных прав доступа |
||
|
По намерениям |
|||||||
|
непреднамеренные |
злонамеренные |
||||||
|
халатные |
манипулируемые (социальной инженерией) |
саботажники (обиженные) |
«нелояльные» сотрудники, принявшие решение сменить место работы, открыть собственное дело |
мотивируемые извне |
|||
|
По мотивам |
|||||||
|
корыстный |
профессиональный |
психологический |
|||||
|
выгода |
саботаж |
месть |
|||||
|
мошенничество |
провоцирование изменений |
стресс |
|||||
|
шпионаж |
самоудовлетворение |
идеология |
|||||
Возросшие риски от внутренних нарушителей требуют рассматривать инсайдерские угрозы как одну из главных причин инцидентов, связанных с информационной безопасностью. Правильная оценка и прогноз угроз безопасности информационных ресурсов организации необходимы для принятия адекватных мер противодействия. В настоящее время для корректного определения внутренних угроз необходимо учесть зависимость от действий, которые инсайдер использует для достижения своих целей [14].
В целях повышения эффективности предотвращения, обнаружения таки внутренних угроз и своевременного реагирования на них, предлагается разделить реализацию потенциальных внутренних угроз на этапы и применить следующие меры защиты:
Таблица 2. Этапы реализации потенциальных внутренних угроз и основные рекомендации по противодействию
|
Этапы реализацию потенциальных внутренних угроз |
|||
|
Принятие решения на атаку |
Рекогносцировка, подготовка к атаке |
Реализация атаки |
Заметание следов |
|
Технические меры защиты |
|||
|
Использование: систем UEBA/UBA в дополнение к DLP системам; сервиса киберразведки |
использование: менеджеров паролей; системы DCAP/DAG для централизованного аудита безопасности критических ресурсов; систем PIM/PAM для контроля действий привилегированных пользователей; IDM-системы для автоматизированного управления правами доступа; NTA/NDR для анализа аномалий трафика; SIEM-систем для мониторинга аномального поведения |
использование: системы DLP; маркирования электронных документов; систем VDR для корпоративного защищенного обмена файлами; SIEM-систем с настроенными правилами корреляции |
сбор событий информационной безопасности в единую LM/SIEM-систему для их хранения, обработки, нормализации и корреляции; дополнительные средства мониторинга на критичных хостах (такие как Sysmon для Windows); Использование SIEM-системы и настройка правил корреляции |
|
Организационные меры защиты |
|||
|
проверка кандидатов перед наймом на благонадежность; микроклимат компании; взаимодействие HR-ИТ- ИБ подразделений; доведение требований об ответственности под роспись. |
повышение осведомленности пользователей; управление процессом контроля доступа |
регламентирование процессов обработки и защиты информации и правил допустимого использования; повышение осведомленности пользователей (правила безопасной работы с конфиденциальной информацией);
|
определение необходимых для журналирования событий; контроль за осуществлением журналирования |
Методы внутренних нарушителей могут меняться, но основные атаки, как правило, происходят через распространенный сценарий [5], [15]. Внедрение мер контроля, приведенных в таблице 2, на каждом из четырех этапов поможет повысить эффективность предотвращения, обнаружения таких внутренних угроз и своевременного реагирования на них.
Литература:
1. «Воздушный зазор» в промышленной сети – что это на самом деле? NEWS / 22.06.2023 / [Электронный ресурс]. – Режим доступа: URL: https://softprom.com/ru/vozdushnyiy-zazor-v-promyishlennoy-seti-chto-eto-na-samom-dele.
2. Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности» / [Электронный ресурс]. – Режим доступа: URL: https://adilet.zan.kz/rus/docs/P1600000832.
3. Как защитить изолированные сети с помощью аутентификации / by Тайгер Оптикс | Posted on 2021-04-07 / [Электронный ресурс]. – Режим доступа: URL: https://blog.tiger-optics.com/2021/04/authentication-in-air-gapped-networks.
4. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 июня 2023 года № 221/НҚ «Об утверждении Правил и критериев отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры» / [Электронный ресурс]. – Режим доступа: URL: https://adilet.zan.kz/rus/docs/V2300032996.
5. Компьютеры с технологией air-gapped — эффективное средство для защиты конфиденциальной информации / [Электронный ресурс]. – Режим доступа: URL: https://cryptobzor.com/kompyutery-s-tehnologiej-air-gapped-effektivnoe-sredstvo-dlya-zashhity-konfidenczialnoj-informaczii.
6. Сердюк В.А. Организация и технология защиты информации: обнаружение и предотвращение информационных атак в автоматизированных системах предприятий. Учебное пособие. Москва, 2011. – 411с.
7. Air-Gapped Networks Vulnerable to DNS Attackshttps / [Электронный ресурс]. – Режим доступа: URL: //www.helpnetsecurity.com/ 2024/10/09/goldenjackal-air-gapped-systems-compromise.
8. Злоумышленники уже могут находиться в сети: что такое APT угрозы и как защититься / [Электронный ресурс]. – Режим доступа: URL: https://cloudnetworks.ru/analitika/apt-ugrozy-i-kak-zashhititsya/.
9. Кибератаки 2024 года: как защититься в эпоху цифровых угроз / [Электронный ресурс]. – Режим доступа: URL:https://sts.kz/2025/02/25/kiberataki-2024-goda-kak-zashhititsya-v-epohu-cifrovyh-ugroz/.
10. Хакеры из Китая получили контроль над ключевыми объектами ИТ-инфраструктуры РК — ЦАРКА / [Электронный ресурс]. – Режим доступа: https://bizmedia.kz/2024-02-21-hakery-iz-kitaya-poluchili-kontrol-nad-klyuchevymi-obektami-it-infrastruktury-rk-czarka/.
11. Экспертно-аналитический центр InfoWatch Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы / [Электронный ресурс]. – Режим доступа: https://www.infowatch.ru/analytics/analitika/utechki-informatsii-v-rossii-otchet-za-proshedshiy-god.
12. Прогнозы по продвинутым угрозам на 2025 год / KASPERSKY SECURITY BULLETIN / [Электронный ресурс]. – Режим доступа: https://securelist.ru/ksb-apt-predictions-2025/111090.
13. APT-атаки: что делать, если компанию атакуют хакеры-профессионалы / [Электронный ресурс]. – Режим доступа: https://securitymedia.org/info/apt-ataki-chto-delat-esli-kompaniyu-atakuyut-khakery-professionaly.html.
14. Классификация инсайдерских угроз информации / [Электронный ресурс]. – Режим доступа: https://cyberleninka.ru/article/n/klassifikatsiya-insayderskih-ugroz-informatsii.
15. Атаки инсайдеров: угроза внутри периметра / [Электронный ресурс]. – Режим доступа: https://jetcsirt.su/analytics/ataki-insayderov-ugroza-vnutri-perimetra.
16. Скачано с www.znanio.ru
![Методы внутренних нарушителей могут меняться, но основные атаки, как правило, происходят через распространенный сценарий [5], [15]](https://fs.znanio.ru/d5af0e/01/d2/93182d86b6490f2e48d55433d913c4b265.jpg)
Материалы на данной страницы взяты из открытых источников либо размещены пользователем в соответствии с договором-офертой сайта. Вы можете сообщить о нарушении.
