Algunos especialistas en seguridad de la información creen que las redes aisladas no necesitan protección adicional. Si las amenazas no tienen forma de entrar, ¿para qué molestarse? Pero el aislamiento no garantiza la protección total. Y, para demostrarlo, nuestros expertos han querido compartir una serie de situaciones basadas en casos reales.
Nuestra empresa hipotética tiene una subred aislada con un air gap, lo que significa que no solo no se puede acceder a ella desde Internet, sino que ni siquiera pueden hacerlo otros segmentos de la red de la misma empresa. Además, de acuerdo con la política de seguridad de la información de la empresa, se aplican las siguientes reglas:
- Todos los equipos del segmento deben utilizar protección antivirus y someterse a actualizaciones manuales una vez a la semana (que es lo suficientemente frecuente para un segmento aislado).
- El sistema de control de dispositivos de cada equipo debe prohibir la conexión de unidades USB, excepto aquellas que se encuentren en la lista de dispositivos de confianza.
- Está prohibido el uso de teléfonos móviles en el sitio.
Hasta aquí todo normal, pero, entonces ¿qué puede salir mal?
Primera situación: Una conexión a Internet muy casera
Cuando unas instalaciones pierden el acceso a Internet, los empleados adoptan soluciones alternativas. Por ejemplo, aquellos que tienen más de un teléfono, pueden entregar uno a la recepción y conectar el segundo como módem para tener un ordenador de trabajo con conexión a Internet.
El modelo de amenaza para este segmento no anticipa ataques a la red, malware en Internet u otros problemas de seguridad similares. En realidad, no todos los administradores actualizan la protección antivirus cada semana y, como resultado, los ciberdelincuentes pueden infectar un ordenador con un troyano de spyware, obtener acceso a la red y propagar el malware por toda la subred, filtrando información hasta que la próxima actualización del antivirus los expulse.
Segunda situación: La excepción a todas las reglas
Incluso las redes aisladas permiten excepciones, como, por ejemplo, las unidades USB. Pero sin restricciones en el uso de estos dispositivos, ¿quién puede decir que una unidad no se utilizará para copiar archivos hacia y desde el sistema o para otras necesidades administrativas en partes no aisladas de la red? Es más, el personal de soporte técnico a veces conecta sus ordenadores portátiles a una red aislada, por ejemplo, para configurar los equipos de red del segmento.
Si una unidad USB o un ordenador portátil de confianza se convierte en un vector de entrega de malware de día cero, la presencia del malware en la red de destino debería ser de corta duración; una vez actualizado, el antivirus no aislado de la organización neutralizará la amenaza allí. Sin embargo, si vamos más allá del daño que puede causar a la red principal no aislada, incluso en ese corto tiempo, el malware permanecerá en el segmento aislado hasta la próxima actualización de ese segmento, lo que en nuestra situación no sucederá durante al menos una semana.
El resultado depende de la variante de malware. Por ejemplo, podría escribir datos en esas unidades USB de confianza. Después de un tiempo, otra amenaza de día cero en el segmento no aislado podría comenzar a buscar los datos ocultos en los dispositivos conectados y enviarlos fuera de la empresa. El objetivo del malware también podría ser algún tipo de sabotaje, como alterar la configuración del software o del controlador industrial.
Tercera situación: Los intrusos
Un empleado comprometido con acceso a las instalaciones donde se encuentra el segmento de red aislado puede comprometer deliberadamente el perímetro. Por ejemplo, podría conectar un dispositivo malicioso en miniatura basado en Raspberry-Pi a la red, habiéndolo equipado con una tarjeta SIM y acceso a Internet móvil. El caso de DarkVishnya es un claro ejemplo.
Cómo actuar
En los tres casos anteriores, faltaba un detalle de vital importancia: una solución de seguridad actualizada. Si Kaspersky Private Security Network se hubiera instalado en el segmento aislado, habría reaccionado y cerrado todas las amenazas en tiempo real. La solución es básicamente una versión local de nuestra Kaspersky Security Network basada en la nube, pero capaz de funcionar en modo de diodo de datos.
En otras palabras, aunque sea local, Kaspersky Privacy Security Network recibe información sobre las últimas amenazas desde el exterior y la comparte con las soluciones de endpoint internas. A su vez, evita que cada byte de datos de más allá del perímetro aislado acceda a la red global. Para más información sobre la solución, puedes visitar su página oficial.