Alcuni specialisti di sicurezza informatica sono dell\u2019idea che le reti isolate non abbiano bisogno di una protezione aggiuntiva: se le minacce non hanno modo di entrare, perch\u00e9 preoccuparsi? Tuttavia, l\u2019isolamento non \u00e8 una garanzia di invulnerabilit\u00e0. I nostri esperti ci propongono alcune situazioni basate su casi reali per dimostrarlo.<\/p>\n
La nostra ipotetica azienda ha una sottorete isolata con air gap, il che significa non solo che questa sottorete non ha accesso a Internet, ma che anche altri settori della stessa rete aziendale non possono connettersi. Inoltre, in linea con la politica di sicurezza informatica dell\u2019azienda, si applicano le seguenti regole:<\/p>\n
Tutto nella norma insomma. Cosa potrebbe andare storto?<\/p>\n
Quando un\u2019infrastruttura non permette l\u2019accesso a Internet, i dipendenti annoiati adottano soluzioni alternative. Alcuni si procurano un telefono extra, ne consegnano uno alla reception e utilizzano il secondo come modem per avere un computer portatile che possa connettersi online.<\/p>\n
Il threat model<\/em> per questo segmento non pu\u00f2 prevedere gli attacchi alla rete, i malware su Internet o altri problemi di sicurezza simili. In realt\u00e0, non tutti gli amministratori aggiornano la protezione antivirus ogni settimana e, di conseguenza, i criminali informatici possono infettare un computer con un Trojan spyware, ottenere l\u2019accesso alla rete e diffondere il malware in tutta la sottorete, facendo trapelare informazioni fino all\u2019 aggiornamento antivirus successivo.<\/p>\n Anche le reti isolate permettono delle eccezioni, mediante delle unit\u00e0 USB fidate, per esempio. Ma senza restrizioni sull\u2019uso di queste unit\u00e0 flash, chi pu\u00f2 dire che un\u2019unit\u00e0 non verr\u00e0 utilizzata per copiare file da e verso il sistema o per altre esigenze amministrative che interessano parti non isolate della rete? Inoltre, il personale di assistenza tecnica a volte collega i propri computer portatili a una rete isolata, ad esempio per configurare le apparecchiature di rete all\u2019interno del segmento.<\/p>\n Se un\u2019unit\u00e0 flash di fiducia o un portatile diventa un vettore di consegna per un malware zero-day, la presenza del malware nella rete di destinazione dovrebbe essere di breve durata: una volta aggiornato, l\u2019antivirus non isolato dell\u2019azienda neutralizzer\u00e0 la minaccia. Guardando oltre il danno che pu\u00f2 fare alla rete principale non isolata anche in quel breve tempo, tuttavia, il malware rimarr\u00e0 nel segmento isolato fino all\u2019aggiornamento successivo di quel segmento, che nel nostro scenario non avverr\u00e0 per almeno una settimana.<\/p>\n Il risultato dipende dalla variante del malware. Per esempio, potrebbe scrivere dati sulle unit\u00e0 USB affidabili. Dopo poco tempo, un\u2019altra minaccia zero-day nel segmento non isolato potrebbe iniziare a cercare dati nascosti nei dispositivi collegati e inviarli all\u2019esterno dell\u2019azienda. In alternativa, l\u2019obiettivo del malware potrebbe essere una qualche forma di sabotaggio, come l\u2019alterazione dei software o delle impostazioni del controller industriale.<\/p>\n Un dipendente con un sistema compromesso e con accesso ai locali in cui si trova il segmento di rete isolato, pu\u00f2 deliberatamente compromettere il perimetro. Per esempio, potrebbe collegare alla rete un dispositivo miniaturizzato dannoso basato su Raspberry-Pi, dopo averlo dotato di una scheda SIM e di un accesso a Internet. Il caso di DarkVishnya<\/a> \u00e8 un esempio.<\/p>\n In tutti e tre i casi, mancava un dettaglio fondamentale: una soluzione di sicurezza aggiornata. Se Kaspersky Private Security Network fosse stato installato nel segmento isolato, avrebbe reagito e risolto tutte le minacce in tempo reale. Questa soluzione \u00e8 essenzialmente una versione on-premise<\/em> del nostro Kaspersky Security Network, basato su cloud ma in grado di lavorare in modalit\u00e0 diodo di dati.<\/p>\nIpotesi n\u00ba2: l\u2019eccezione che conferma la regola<\/h2>\n
Ipotesi n\u00ba3: un insider<\/h2>\n
Cosa fare<\/h2>\n