روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ برخی متخصصین امنیت اطلاعات بر این باورند که شبکهای ایزولهشده به لایهی محافظتی اضافی نیازی ندارد؛ یعنی اگر راهی برای رخنه وجود ندارد پس چرا باید زحمت افزودن لایه امنیتی بیشتر را به خود دهیم؟ اما ایزولاسیون مصونیت از آسیبپذیری را تضمین نمیکند. متخصصین ما چندین سناریو را بر اساس موارد واقعی با ما به اشتراک میگذارند. شرکت فرضی ما زیرشبکهی ایزولهشده مجهز به شبکه شکاف هوا[1] دارد؛ بدینمعنا که نه تنها از اینترنت بدان دسترسیای وجود ندارد بلکه حتی سایر بخشهای همان شبکه سازمانی هم نمیتواند بدان دسترسی داشته باشد. افزون بر این، در کنار خطمشی امنیت اطلاعات این شرکت، قوانین زیر نیز بکار میرود:
- همه ماشینهای این بخش باید از حفاظت آنتیویروس استفاده کرده و هفتهای یک بار به صورت دستی آپدیت شوند (این برای یک بخش ایزولهشده کفایت میکند).
- سیستم کنرل دستگاه هر ماشین باید از کانکشن فلش درایوها جلوگیری کند؛ به استثنای آنهایی که در لیست دستگاههای قابلاعتماد قرار دارند.
- استفاده از گوشی همراه روی سایت ممنوع است.
همهچیز که بر طبق روال بوده، پس ایراد کار کجاست؟
سناریوی شماره 1: کانکشن اینترنت به سبک DIY
وقتی یک نهاد دسترسی اینترنتش را از دست میدهد، کارمندان از روی دلزدگی و بیحوصلگی شروع میکنند به اتخاذ یک سری راهکار. برخی یک گوشی دیگر برمیدارند و برای کار کامپیوتری آنلاین از آن به عنوان مودم استفاده میکنند. مدل تهدید این بخش انتظار حملات شبکهای، بدافزار اینترنت یا سایر مسائل امنیتی مشابه را ندارد. در واقعیت، هر ادمینی هم هر هفته حفاظت آنتیویروس را آپدیت نمیکند و در نتیجه مجرمان سایبری میتوانند با یک تروجان جاسوسافزار کامپیوتر را آلوده کرده، دسترسی شبکه دریافت کرده و بدافزار را در کل زیرمجموعه تسری دهند. این نشت داده سپس ادامه پیدا خواهد کرد تا در نهایت آپدیت آنتیویروس بعدی جلوی نشت را بگیرد.
سناریوی شماره 2: استثنایی برای هر قانون
حتی برای شبکههای ایزولهشده هم استثناهایی میتوان قائل شد- برای مثال فلشدرایوهای قابلاعتماد. اما بدون هیچ محدودیتی روی کارکرد آن فلشدرایوها چه کسی است که ادعا کند یک درایو را برای کپی فایلها و از سیستم یا برای نیازهای امین دیگری (که متعلق به بخش ایزولهنشدهی شبکه است) استفاده نمیکنند؟ علاوه بر این، برخیاوقات کارمندان بخش فنی (برای مثال) لپتاپهای خود را به یک شبکه ایزوله وصل میکنند تا در خود بخش، تجهیزات شبکهای اصطلاحاً کانفیگ شود. اگر فلش درایو یا لپتاپ قابل اعتماد به بردار حمله که از طرف بدافزار روز صفر مأمور است تبدیل شود چه؟ با این حال عمر بدافزار در شبکه مورد هدف وقتی آپدیت صورت گرفت، کوتاه خواهد بود. آنتیویروس ایزولهنشده سازمان در این بخش تهدید را خنثی خواهد کرد. این بدافزار ورای خسارتی که میتواند به شبکهی اصلی و ایزولهنشده وارد کند در بخش ایزوله باقی خواهد ماند تا آپدیت بعدی بخش (که در آن سناریوی ما برای دستکم یک هفته رخ نخواهد داد). پیامد به تغیر بدافزار بستگی دارد. برای مثال شاید در آن فلشدرایوهای قابلاعتماد داده بنویسد. بعد از مدت کوتاهی، تهدید روز صفر دیگری در بخش ایزولهنشده شروع خواهد کرد به جستجوی دستگاههای متصل به اینترنت آن هم برای پیدا کردن دادههای مخفی و ارسالشان به خارج از شرکت. به طور جایگزین هدف این بدافزار میتواند نوعی خرابکاری باشد؛ مثلاً تغییر نرمافزار یا دستکاری تنظیمات کنترلر صنعتی.
سناریو شماره 3: نفوذیها
کارمندی نفوذی که به سازمانهایی دسترسی دارد که در آنها بخش ایزولهشدهی شبکه قرار دارد میتواند خواسته و عامدانه این محیط را دستکاری کند. برای مثال شاید چنین کارمندی یک دستگاه آلودهی مینیاتوری مبتنی بر رزبری پای به شبکه وصل کند و آن را با سیمکارت و دسترسی اینترنت موبایل همگام سازد. نمونهاش پروندهی DarkVishnya.
چه کار باید کرد؟
در هر سه مورد، جزئیات مهمی از دست رفته بود: راهکار امنیتی آپدیتشده. اگر Kaspersky Private Security Network در بخش ایزوله نصب شده بود، به طور در لحظه به تهدیدها واکنش نشان میداد و همه را آناً میبست. این راهکار در اصل نسخهی سازمانی Kaspersky Security Network مبتنی بر کلود ماست اما قادر است در حالت دیود داده نیز فعالیت کند. به بیانی دیگر گرچه Kaspersky Privacy Security Network داخلی است اما اطلاعاتی در خصوص جدیدترین تهدیدهای بیرون شرکت نیز دریافت میکند و آن را با راهکارهای اندپوینت داخلی در میان میگذارد.
[1]یک معیار امنیت شبکه است که در یک یا چند رایانه استفاده می شود تا تضمین کند که یک شبکه کامپیوتر امن، از لحاظ فیزیکی از دیگر شبکه های ناامن همچون اینترنت عمومی یا شبکه محلی ناامن محافظت می شود.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.