Изолированные сети требуют особого подхода к кибербезопасности, ведь они не подключены к Интернету и внешним устройствам. В этой статье мы рассмотрим, как реализовать многофакторную аутентификацию (МФА) в таких сетях, чтобы усилить защиту.
Что такое изолированная сеть
У сетей, изолированных по принципу «воздушного зазора» (air-gapped), нет интерфейсов для подключения к внешнему миру. В теории они отрезаны от Интернета, и к ним нельзя подключиться через флешку или другие устройства. Это радикальная мера, поэтому такой подход обычно применяется в организациях с критической информационной инфраструктурой (КИИ), например, электростанции, банки, заводы. Сюда же относятся организации, в которых работают с секретными системами и данными: подрядчики министерства обороны, государственные структуры, вооруженные силы.
Изолированные сети не так безопасны, как кажется
Такая концепция хорошо выглядит на бумаге, но на практике эти сети гораздо менее изолированы, чем хотелось бы. Иногда все же приходится подключаться к внешнему миру. Например, обновления ПО могут передаваться в изолированную сеть с помощью USB-накопителя. Кроме того, время от времени нужна техническая поддержка удаленного вендора. Это означает, что сеть уже не полностью изолирована от внешней среды. Всем известна история с вредоносом Stuxnet, который проник в изолированные сети через USB-носители.
Оказавшись внутри сети, злоумышленники начинают латеральное (внутреннее) движение, чтобы продвинуться ближе к ценным ресурсам. Для этого они используют украденные пароли и учетные записи. В 2017 году при атаках NotPetya злоумышленники использовали для взлома инструмент Mimikatz, причем этот метод распространения работал не только в ИТ-сетях с выходом в Интернет, но и в изолированных сегментах АСУ ТП.
Сети, отрезанные от внешнего мира, могли казаться надежными в прошлом, но современные угрозы и атаки доказали, что изоляция не обеспечивает их непроницаемости.
Почему изолированные сети сложно защитить
Многие изолированные сети содержат критичные системы, которые должны стабильно работать и быть доступны круглосуточно 365 дней в году, поэтому их нельзя перезапускать для установки ПО или патчей. На другие проприетарные системы распространяются жесткие гарантийные условия, по которым на серверах нельзя устанавливать какое-либо стороннее ПО. Кроме того, в этих сетях можно часто обнаружить устаревшие, но до сих пор активные системы. Обычно это означает, что эти системы больше не поддерживаются вендорами. Таким образом, развернуть защитные программные агенты в изолированных сетях часто невозможно.
Организациям также необходимо учитывать, как использование защитных средств будет влиять на скорость и стабильность работы. Если защитное средство генерирует слишком много ложных срабатываний, или, что еще хуже, блокирует легитимные процессы, оно тормозит работу всей системы.
В этой ситуации решения для многофакторной аутентификации (МФА) обладают преимуществом, так как они предоставляют не только два варианта — разрешить или запретить доступ, — но позволяют пользователям самим подтверждать легитимные запросы доступа без привлечения службы поддержки или SOC. Это снижает количество ложных срабатываний, оптимизирует процессы, пользователи реже отвлекаются на ввод учетных данных. Однако сегодня многие решения для аутентификации требуют подключения к Интернету, а значит, не подходят для изолированных сетей.
Требования к безопасной аутентификации
в изолированных сетях
Многофакторная аутентификация (МФА) — средство защиты информации, позволяющее предотвратить несанкционированный доступ в корпоративные системы. Чтобы обеспечить безопасность изолированных сетей, оно должно соответствовать требованиям:
- работает без подключения к Интернету;
- не требует агентов и изменений в коде приложений, так как зачастую это невозможно в устаревших или сторонних системах;
- не прерывает работу и не влияет на стабильность и доступность чувствительных систем;
- предоставляет аппаратные токены, которые считаются наиболее безопасными и могут использоваться там, где запрещены личные устройства.
Из соображений безопасности и из-за отсутствия подключения к Интернету для аутентификации в изолированных сетях вместо мобильных телефонов используются аппаратные токены. Токены с поддержкой стандарта FIDO2 считаются безопаснее устаревших OTP-токенов, которые можно украсть или потерять, к тому же они уязвимы к атакам «человек посередине».
Многофакторная аутентификация с помощью Silverfort
С момента своего появления Silverfort помогает организациям любых типов защищать активы, которые долго считались незащищаемыми: ИТ-инфраструктура, файловые серверы, базы данных, устройства IoT, системы АСУ ТП. Теперь Silverfort может обеспечить безопасную аутентификацию в изолированных сетях через локальное решение, при котором не нужно подключаться к Интернету, развертывать программные агенты или изменять код. В качестве второго фактора аутентификации используются аппаратные токены FIDO2.
Новый режим развертывания без подключения к Интернету: новую версию Silverfort 3.0 можно развернуть локально. В этом режиме Silverfort работает как виртуальная машина на площадке заказчика.
Безагентная архитектура: инновационная архитектура Silverfort позволяет организациям использовать многофакторную аутентификацию в любых системах, не требуя установки программных агентов, изменений кода или внедрения новых протоколов аутентификации.
Аппаратные токены, совместимые с FIDO2: Silverfort предоставляет организациям выбор поставщика аутентификатора, обеспечивая гибкую интеграцию с поддержкой всех аппаратных токенов FIDO2.
Благодаря этим функциям МФА можно применять для защиты изолированных сетей, не внося изменений в код и не используя агенты или прокси. МФА позволяет не только проверить подлинность учетных записей пользователей, но и предотвратить латеральное движение, если злоумышленник все же попал в сеть.
Безопасная аутентификация — безопасная сеть
В организациях с чувствительными ресурсами изоляция сети может стать правильной стратегией защиты — но только в том случае, если руководители по кибербезопасности осознают и устраняют уязвимости, присущие таким средам. МФА помогает в этом, поэтому команда Silverfort создала платформу, которая позволяет без труда проверить подлинность учетных записей и защитить доступ к критичным активам изолированной сети.