Bazı bilgi güvenliği uzmanları izole edilmiş ağların fazladan korumaya ihtiyacı olmadığını düşünür. Tehditlerin içeri girebilmesinin bir yolu yoksa, neden uğraşasınız ki? Ancak izolasyon, ağın aşılamaz olduğu anlamına gelmez. Uzmanlarımız bunu size kanıtlamak için yaşanmış vakalara dayanan birkaç senaryo paylaştı.
Diyelim ki kuruluşumuzun, hava aralığı olan izole edilmiş bir alt ağı var. Bu da demek oluyor ki, ne internetten, ne de aynı kuruluşun ağının diğer bölütlerinden bu ağa erişilemiyor. Dahası, şirketin bilgi güvenliği politikasına göre aşağıdaki kurallar uygulanıyor:
- Bölütteki tüm makinelerde antivirüs yazılımı kullanılmalı ve haftada bir (izole edilmiş bir bölüt için yeterince iyi bir sıklık) manuel olarak güncellenmeli;
- Her makinenin cihaz kontrol sistemi, güvenilen cihazlar dışındaki flash sürücülere bağlanmayı engellemeli;
- Alanda cep telefonu kullanmak yasak.
Burada tuhaf bir durum yok. Ne kötü gidebilir ki?
Birinci senaryo: Kendin-yap tarzı internet bağlantısı
Bir işletme internet bağlantısını kaybederse, canı sıkılmış çalışanlar geçici çözümlere başvurur. Bazıları fazladan bir telefon bulur, bunu danışmadaki birine verir ve iş bilgisayarını çevrimiçi yapmak için, telefonu modem olarak kullanır.
Bu bölüt için hazırlanan tehdit modeli, ağdan gelen saldırıları, internetten gelen kötü amaçlı yazılımları veya benzer güvenlik sorunlarını beklemez. Ayrıca gerçek hayatta, her yönetici antivirüs programını her hafta güncellemez. Bunun sonucunda da siber suçlular, bir bilgisayarı Truva Atı casus yazılımıyla ele geçirip ağa erişim elde edebilir ve kötü amaçlı yazılımı tüm alt yazılıma yayarak bir antivirüs güncellemesi onu durdurana kadar bilgi sızdırmaya devam edebilir.
İkinci senaryo: Her kuralın istisnası
İzole edilmiş ağların bile istisnaları vardır, örneğin güvenilen flash sürücülere izin verirler. Bu türden flash sürücülerin üzerinde hiç sınırlama olmazken; bunların sistemden dosyaları kopyalamak, sisteme dosya yerleştirmek veya ağın izole edilmemiş kısımlarında yönetici izniyle bir şeyler yapmak için kullanılmayacağını nereden bilebiliriz? Dahası, teknik destek ekibi bazen, örneğin, bölütün içindeki ağ ekipmanını ayarlamak için kendi bilgisayarlarını da izole edilmiş ağa bağlayabilir.
Güvenilen bir flash sürücü veya bilgisayar, sıfır gün kötü amaçlı yazılımları için bir taşıyıcı haline gelse de kötü amaçlı yazılım, genellikle hedef ağda çok uzun süre barınamaz. Güncelleme yapıldığı zaman, işletmenin izole edilmemiş antivirüs programı oradaki hedefi etkisiz hale getirecektir. Yazılımın, o kadar kısa bir zamanda bile ana izole edilmemiş ağa verebileceği zarara gelecek olursak; kötü amaçlı yazılım bölüt güncellenene kadar, yani en az bir hafta, izole edilmiş bölütte kalmaya devam eder.
Ortaya çıkacak sonuç, kötü amaçlı yazılımın türüne bağlı. Bu yazılım, örneğin, o çok güvenilen flash sürücülere bir veri kaydedebilir. Kısa bir süre sonra, izole edilmemiş bölütteki diğer bir sıfır gün tehdidi, bağlı cihazlarda saklı veriyi arayıp şirket dışına göndermeye başlayabilir. Aynı şekilde bu kötü amaçlı yazılımın amacı, bilgisayarın yazılımını veya endüstriyel denetim ayarlarını değiştirmek gibi bir sabotaj yapmak olabilir.
Üçüncü senaryo: İçeriden birileri
İzole edilmiş ağ bölütünün bulunduğu yere erişimi olan kötü amaçlı bir çalışan, isterse ağın çevresini ele geçirebilir. Örneğin, içinde SIM kart ve internet bağlantısı olan minyatür bir Raspberry-Pi gibi kötü amaçlı bir cihazı ağa bağlayabilir. DarkVishnya vakasını buna örnek verebiliriz.
Yapılması gerekenler
Üç senaryoda da eksik olan çok önemli bir detay vardı: Güncel bir güvenlik çözümü. İzole edilmiş bölüte Kaspersky Private Security Network yüklenmiş olsaydı, tehditlerin hepsini zamanında tespit etmiş ve ortadan kaldırmış olurdu. Bu çözüm, temelde bizim bulut tabanlı Kaspersky Security Network ürünümüzün şirket içi versiyonu. Ama bu ürün veri diyotu modunda da çalışabilir.
Diğer bir deyişle Kaspersky Private Security Network, yerel olmasına rağmen en yeni tehditlerle ilgili bilgileri dışarıdan alır ve içerideki uç nokta çözümleriyle paylaşır. Aynı zamanda, izole edilmiş alanın ötesindeki tüm verinin küresel ağa girişini engeller. Bu çözümle ilgili daha fazla bilgi için resmi sayfasını ziyaret edebilirsiniz.