MFA-Schutz für Air-Gap-Netzwerke

Die jüngsten Cyberangriffe, die im Rahmen des russisch-ukrainischen Krieges gestartet wurden, haben die Besorgnis über die Sicherheit von Air-Gap-Netzwerken, insbesondere im Hinblick auf den Identitätsschutz, erneut geweckt. Luftspaltung wird implementiert, um die Angriffsfläche eines hochsensiblen Netzwerks zu reduzieren, wie sie beispielsweise in kritischen Infrastrukturen von Nationen, in militärischen und staatlichen Umgebungen und in Produktionshallen zu finden sind. Diese Arten von Netzwerken werden wahrscheinlich von Bedrohungsakteuren angegriffen, eine Wahrscheinlichkeit, die als alternativer Ausdruck von Feindseligkeit dient, während sie von konventioneller Kriegsführung Abstand nimmt. In diesem Artikel untersuchen wir, wie die Silverfort Einheitlicher Identitätsschutz Die Plattform erzwingt eine sichere Authentifizierung in Air-Gap-Umgebungen, indem sie die Verwendung von FIDO2-Hardware-Tokens für MFA ohne Agenten, Codeänderungen oder Änderungen der Authentifizierungsinfrastruktur ermöglicht. Auf diese Weise, Silverfort bietet diesen Netzwerken Echtzeitschutz seitliche Bewegung und automatisierte Malware-Verbreitung.

Was ist ein Air-Gap-Netzwerk?

Air-Gap-Netzwerke sind Computernetzwerke ohne Schnittstellen zur Außenwelt. Dies ist offensichtlich eine drastische Maßnahme, sodass der Ansatz normalerweise nur von hochsensiblen Organisationen verwendet wird, die ein Höchstmaß an Sicherheit benötigen.

Air-Gap-Netzwerke sind Produktionsumgebungen, in denen die Maschinen, aus denen die Umgebung besteht, keine nach außen gerichtete Verbindung haben, weder direkt zum Internet noch indirekt zu einem nach außen gerichteten internen Netzwerk. Netzwerke werden mit Luftspalten versehen, um ihre zu reduzieren Angriffsfläche und erhöht ihre Widerstandsfähigkeit gegenüber Cyberangriffen.

Einige prominente Beispiele für Air-Gap-Netzwerke sind verschiedene nationale Sicherheitsakteure wie Verteidigung, Regierungen und militärische Einrichtungen sowie kritische Infrastruktureinrichtungen, die Energie, Wasserversorgung und andere unterstützende Dienste bereitstellen. Organisationen dieser Art bemühen sich, ihre sensibelsten Netzwerksegmente vollständig zu trennen, sodass sie von allen Internetverbindungen abgeschnitten sind.

Air-Gap-Netzwerke sind immer noch böswilliger Infiltration ausgesetzt

Obwohl dieser Ansatz theoretisch sinnvoll ist, gibt es in der Praxis verschiedene Einschränkungen, die ein vollständiges Air-Gapping zu einer nahezu unmöglichen Aufgabe machen. Was normalerweise passiert, ist, dass ein gewisses Maß an Konnektivität zur Außenwelt immer noch aufrechterhalten wird, ungeachtet aller anfänglichen Absichten, hauptsächlich aus betrieblichen Gründen: Betreiber, die externe Dateien in das Netzwerk übertragen müssen, Software-Updates, technischer Fernsupport sind gerechtfertigt ein paar gängige Beispiele. Am Ende des Tages summiert sich all dies zu einer inhärenten Unfähigkeit, eine echte 100% Air-Gap-Architektur zu implementieren. Der Stuxnet-Malware, der ursprünglich mit infizierten Wechseldatenträgern wie USB-Flash-Laufwerken in Air-Gap-Netzwerke eingeführt wurde, sollte eine ständige Erinnerung daran sein, dass der anfängliche Zugriff auf ein Air-Gap-Netzwerk möglich bleibt.

Seitliche Bewegung in Air-Gap-Netzwerken

Sobald Angreifer im Air-Gap-Netzwerk Fuß gefasst haben, können sie mit gestohlenen Kennwörtern und Zugangsdaten seitlich agieren, um die Präsenz zu erweitern und die Angriffswirkung zu erhöhen. Im Jahr 2017 führte der berüchtigte NotPetya-Angriff eine solche seitliche Bewegung sowohl in Standard-IT-Netzwerken als auch in Air-Gap-OT-Netzwerken durch.

Air Gapping allein kann also nicht für den eisernen Schutz bürgen, den sein Name impliziert. In der Vergangenheit war das vielleicht möglich, aber in der heutigen hypervernetzten IT-Umgebung ist es einfach unpraktisch. Dies erfordert eine Neubewertung, wie solche Netzwerke am besten geschützt werden sollten, sowohl vor anfänglichem böswilligem Zugriff als auch vor lateraler Bewegung in einer Phase nach der Kompromittierung.

Welche Beschränkungen machen Air-Gapped Network Protection zu einer Herausforderung?

Air-Gap-Netzwerke können nicht einfach mit Standard-Sicherheitslösungen geschützt werden.

In erster Linie kann keine Lösung verwendet werden, die auf Cloud-Konnektivität oder Internet-Konnektivität angewiesen ist.

Zweitens ist ein Hauptmerkmal von Air-Gap-Netzwerken ihr Engagement für Betriebsstabilität rund um die Uhr. Dies bedeutet beispielsweise, dass es unmöglich ist, sie neu zu starten, nachdem eine Softwareinstallation oder ein Patch angewendet wurde. In vielen Fällen verwenden diese Netzwerke auch andere proprietäre Systeme, die strengen Garantiebedingungen des Anbieters unterliegen, die die Installation von Software von Drittanbietern auf den Servern nicht zulassen. Außerdem findet man in diesen Netzwerken oft Altsysteme, die noch aktiv sind, auch wenn der Herstellersupport nicht mehr existiert. Dies schließt jede Art von agentenbasierter Lösung aus.

Und drittens erhöht die Natur dieser Netzwerke ihre Empfindlichkeit für Betriebsunterbrechungen, die durch Fehlalarme oder das Unterbrechen kritischer Prozesse verursacht werden, während böswillige Aktivitäten blockiert werden. All diese Überlegungen schränken den Umfang optionaler Sicherheitsprodukte, die in Air-Gap-Netzwerken verwendet werden können, erheblich ein.

Anforderungen für die Multi-Faktor-Authentifizierung in Air-Gapped-Netzwerken

Überwindung der eingebauten Sicherheitsbeschränkungen

Multi-Faktor-Authentifizierung (MFA) ist die ultimative Lösung gegen Angriffe, die kompromittierte Anmeldeinformationen verwenden, um auf gezielte Ressourcen wie Kontoübernahmen und Lateral Movement zuzugreifen. Um jedoch in einem Air-Gap-Netzwerk effektiv zu sein, muss eine MFA-Lösung mehrere Kriterien gemäß den oben beschriebenen Einschränkungen erfüllen:

• Kann vollständig funktionieren, ohne auf eine Internetverbindung angewiesen zu sein
• Erfordert keine Bereitstellung von Agenten auf den Maschinen, die es schützt
• Verursacht minimale Störungen und gefährdet nicht die Stabilität und Verfügbarkeit sensibler Systeme und Prozesse

Hardware-Token-Unterstützung

Darüber hinaus besteht die gängige Praxis in Air-Gap-Netzwerken darin, physische Hardware-Sicherheitstoken anstelle der standardmäßigen mobilen Geräte zu verwenden, die eine Internetverbindung erfordern. Diese Überlegung fügt eine weitere Anforderung hinzu:

• In der Lage sein, ein Hardware-Token zu verwenden, um den zweiten Authentifizierungsfaktor bereitzustellen.

FIDO2 ist der bevorzugte Standard für Hard Tokens und wird berücksichtigt widerstandsfähig gegen fortgeschrittene und traditionelle Phishing-Angriffe.

FIDO2-Token können jedoch nur mit verwendet werden webauthN or U2F Authentifizierungsprotokolle. Wenn die Systeme innerhalb des Air-Gap-Netzwerks ursprünglich nicht dafür ausgelegt waren, mit diesen Protokollen zu arbeiten, wäre es äußerst schwierig, die erforderliche Änderung durchzuführen (siehe oben zur Verfügbarkeit rund um die Uhr). Infolgedessen ist die letzte Anforderung nicht leicht zu erfüllen, wodurch viele Air-Gap-Netzwerke Angriffen ausgesetzt sind.

Silverfort Sichere Authentifizierung für Air-Gap-Netzwerke

Unsere Mission bei Silverfort ist es, die sichere Authentifizierung auf alle Benutzer, Zugriffsschnittstellen und Ressourcen auszudehnen. Uns ist es gelungen, MFA-Schutz auf Ressourcen anzuwenden, die zuvor auf diese Weise niemals hätten geschützt werden können, wie z. B. IT-Infrastruktur, Dateifreigaben, Datenbanken, IIOT und sogar OT-Systeme wie HMIs und Produktionsserver.

In Übereinstimmung mit dieser Vision, Silverfort bietet auch agentenlosen MFA-Schutz für Air-Gap-Netzwerke und ermöglicht die Verwendung von FIDO2-Hardware-Token ohne Codeänderungen auf den geschützten Systemen:

1. A Engagiert  Bereitstellungsmodus Agnostiker zu Internet-Konnektivität: Silverfort bietet einen vollständigen On-Prem-Bereitstellungsmodus. In diesem Modus Silverfort wird als virtuelle Appliance vor Ort bereitgestellt, wobei alle Funktionen verfügbar sind. Beachten Sie, dass Silverfort bietet auch eine SaaS-basierte Bereitstellungsoption und eine hybride On-Premise-SaaS-Bereitstellungsoption.
2. Agentenlose Architektur mit Keine Codeänderungen erforderlich: Silverfort's einzigartige innovative Architektur ermöglicht es Unternehmen, die Multi-Factor Authentication auf jedes System oder jede Ressource auszudehnen, ohne dass Agenten auf den geschützten Maschinen installiert werden müssen und ohne dass Codeanpassungen oder Änderungen der Authentifizierungsprotokolle erforderlich sind.
3. FIDO2-konforme Hardware-Token: Silverfort ermöglicht es Unternehmen, ihren Authentifikator in den Air-Gap-Umgebungen auszuwählen, einschließlich aller FIDO2-Hardware-Token.

Die beliebteste Implementierung im Ökosystem unserer Kunden ist unsere Integration mit YubiKey-Token. Diese nahtlose Integration schließt die Lücke zwischen den modernen FIDO2-Token und Ihrer bestehenden Authentifizierungsinfrastruktur umfassender MFA-Schutz zum Air-Gap-Netzwerk.

Fazit

Air-Gapping ist eine solide Sicherheitsstrategie – aber man muss sowohl ihre Lücken als auch ihre Auswirkungen auf die Sicherheitsprodukte, die Sie verwenden können, berücksichtigen. SilverfortMit MFA können Sie eine sichere Authentifizierung erzwingen und die Identität von Benutzern in Air-Gap-Netzwerken validieren und so sicherstellen, dass sie davor geschützt sind Identitätsbasierte Angriffe.