Rede com gap de ar

Conteúdo

Compartilhe este glossário:

Redes air-gapped são redes internas completamente isoladas da nuvem ou de outras redes externas. Na maioria dos casos, isso se deve a questões de segurança física ou a uma forte necessidade de confidencialidade dos dados. Alguns exemplos comuns de redes isoladas incluem vários intervenientes na segurança nacional, tais como defesa, governos e organismos militares, bem como entidades de infra-estruturas críticas que fornecem energia, serviços de água e outros serviços facilitadores.

Uma rede isolada representa o auge da segurança cibernética. Para se protegerem contra ameaças cibernéticas, estas redes estão fisicamente isoladas das ligações externas. O conceito de rede air-gapped envolve manter sistemas ou dados sensíveis completamente desconectados da Internet ou de qualquer outra rede, garantindo um nível de proteção incomparável.

Importância das redes air-gapped na segurança cibernética

A importância das redes isoladas na segurança cibernética não pode ser exagerada. Eles servem como última linha de defesa contra ataques sofisticados, evitando acesso não autorizado, exfiltração de dados e exploração remota de ativos críticos. Ao eliminar a conectividade, as redes air-gapped reduzem o superfície de ataque, tornando extremamente difícil a penetração de agentes mal-intencionados no sistema.

Muitas indústrias utilizam redes isoladas para proteger seus dados e recursos. Incluindo setores como governo, defesa, finanças, saúde e infraestrutura crítica, protegendo dados confidenciais, propriedade intelectual e operações confidenciais. Fornecer uma camada adicional de proteção a ativos altamente valiosos poderia ter consequências graves se estes fossem comprometidos.

O que é um entreferro?

Um air-gap é uma separação completa entre uma rede ou computador e quaisquer conexões externas, incluindo a Internet pública. Como resultado deste isolamento, os ativos ficam protegidos contra atividades cibernéticas maliciosas. As redes air-gapped originaram-se da constatação de que, por mais robusto que seja um sistema de segurança online, sempre existirão lacunas de segurança que podem ser exploradas. Ao isolar fisicamente sistemas críticos, o air gap fornece uma camada adicional de defesa contra ataques potenciais.

O conceito de air-gapping remonta aos primórdios da computação, quando os sistemas eram autônomos e não interconectados. Nos últimos anos, no entanto, ganhou destaque como medida de segurança devido ao aumento das ameaças cibernéticas e à constatação de que nenhum sistema de segurança online pode fornecer proteção total. Como resultado da necessidade de proteger informações confidenciais e infraestruturas críticas contra ataques cada vez mais sofisticados, computadores e redes com isolamento aéreo foram amplamente adotados.

Princípios-chave por trás das redes sem ar

  1. Isolamento físico

As redes air-gapped baseiam-se no princípio do isolamento físico. Para minimizar o risco de acesso não autorizado, os sistemas críticos devem ser fisicamente separados das redes externas. Vários métodos podem ser usados ​​para alcançar esse isolamento, incluindo separação física, instalações seguras e limitação do acesso físico aos sistemas.

  1. Conectividade restrita

As redes air-gapped impõem controles de segurança rigorosos na conectividade da rede para minimizar o número de possíveis vetores de ataque. Esses controles limitam o número de pontos de entrada e restringem o acesso à rede apenas a indivíduos ou sistemas autorizados. Ao reduzir a quantidade de conectividade, a superfície de ataque é significativamente reduzida, tornando mais difícil para agentes mal-intencionados comprometerem a rede.

  1. Fluxo de dados unidirecional

O princípio do fluxo de dados unidirecional é um componente crítico das redes isoladas. Como resultado, os dados só podem fluir em uma direção, normalmente de uma rede confiável para o sistema isolado. Ao fazer isso, evita-se a exfiltração de dados ou a comunicação não autorizada da rede isolada. Técnicas como diodos de dados, que permitem que os dados fluam apenas em uma direção, são comumente empregadas para reforçar a transferência de dados unidirecional.

Quem usa redes air gap?

As redes air-gapped são normalmente utilizadas por diversas organizações e setores que priorizam a segurança e a proteção de suas informações confidenciais. Aqui estão alguns exemplos de entidades que comumente usam redes com isolamento aéreo:

  • Agências Governamentais e de Defesa: Agências governamentais, organizações de inteligência e instituições militares dependem frequentemente de redes isoladas para salvaguardar informações confidenciais, segredos de estado e sistemas de defesa sensíveis. Estas redes garantem que os dados críticos permaneçam isolados e inacessíveis a indivíduos não autorizados ou adversários estrangeiros.
  • Instituições Financeiras: Bancos, organizações financeiras e bolsas de valores empregam redes isoladas para proteger dados financeiros confidenciais, sistemas transacionais e informações de clientes. Estas redes evitam acessos não autorizados, violações de dados e atividades fraudulentas, mantendo a integridade e a confidencialidade dos sistemas informáticos financeiros.
  • Setor de Saúde: Hospitais, centros de pesquisa médica e organizações de saúde utilizam redes isoladas para proteger equipamentos médicos, registros de pacientes, dados de pesquisas médicas e outras informações confidenciais de saúde. Essas redes garantem a conformidade com as regulamentações de privacidade, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), e protegem contra acesso não autorizado ou adulteração de dados médicos confidenciais.
  • Setor de Energia e Utilidades: Infra-estruturas críticas, incluindo centrais eléctricas, instalações de tratamento de água, centrais nucleares e sistemas de transporte, dependem frequentemente de redes isoladas para proteger os seus sistemas de controlo industrial e dados operacionais. Ao manter estas redes fisicamente isoladas, as potenciais ameaças são mitigadas, evitando o acesso não autorizado e potenciais interrupções nos serviços essenciais.
  • Instituições de pesquisa e desenvolvimento: Organizações envolvidas em pesquisa e desenvolvimento avançados, como empresas aeroespaciais, de defesa e instituições científicas, utilizam redes isoladas para proteger a propriedade intelectual, dados de pesquisa confidenciais e informações proprietárias. Estas redes evitam a espionagem industrial e protegem inovações valiosas.
  • Agências Jurídicas e de Aplicação da Lei: escritórios de advocacia, agências de aplicação da lei e sistemas judiciais empregam redes isoladas para proteger arquivos de casos confidenciais, informações confidenciais de clientes e documentos jurídicos confidenciais. Ao isolar estas redes, o acesso não autorizado e a adulteração de dados legais cruciais são atenuados.
  • Instalações de alta segurança: Ambientes altamente seguros, como data centers, farms de servidores e instalações de pesquisa ultrassecretas, utilizam redes isoladas para criar perímetros de segurança robustos. Estas redes garantem que a infraestrutura crítica, os repositórios de dados e os sistemas de comunicação permaneçam imunes a ameaças externas.

Quais são as vantagens das redes air gap?

As redes air-gapped oferecem diversas vantagens que as tornam uma medida de segurança atraente para as organizações, tais como:

  • Segurança melhorada: A principal vantagem das redes com isolamento aéreo é a sua segurança superior. Ao isolar fisicamente sistemas e dados críticos de redes externas, eles fornecem uma camada adicional de segurança contra ameaças cibernéticas. Sem conectividade direta ou indireta, torna-se extremamente difícil para os invasores violarem a rede ou comprometerem informações confidenciais.
  • Proteção contra ataques direcionados: As redes air-gapped são especialmente eficazes na proteção contra ataques direcionados, onde os adversários planejam e executam meticulosamente técnicas de intrusão sofisticadas. Uma vez que estas redes não são diretamente acessíveis a partir da Internet, reduzem significativamente a superfície de ataque e frustram as tentativas de explorar lacunas de segurança na infraestrutura de rede ou no software.
  • Proteção de informações confidenciais: Redes isoladas são cruciais para proteger informações sensíveis e confidenciais. Eles são amplamente utilizados em setores como governo, defesa, finanças e saúde, onde a integridade e a confidencialidade dos dados são fundamentais. Ao manter os dados críticos fisicamente isolados, as redes com isolamento aéreo evitam o acesso não autorizado e mantêm a privacidade das informações confidenciais.
  • Limitando a propagação de malware: redes isoladas atuam como uma barreira contra a propagação de malware e outros softwares maliciosos. Sem conectividade direta, torna-se um desafio para o malware se propagar de fontes externas para a rede isolada. Isso ajuda a prevenir infecções generalizadas e reduz o risco de perda de dados ou comprometimento do sistema devido a ransomware.
  • Reduzindo Vulnerabilidades: Ao remover a conectividade externa, as redes com isolamento aéreo reduzem os potenciais vetores de ataque e as vulnerabilidades que podem ser exploradas pelos cibercriminosos. Como não existem interfaces de rede, componentes ou software diretos expostos a ameaças externas, o risco de comprometimento do sistema ou acesso não autorizado é significativamente reduzido.
  • Conformidade Regulamentar: As redes isoladas muitas vezes desempenham um papel crucial no cumprimento dos requisitos regulamentares de proteção de dados, privacidade e seguro cibernético. Setores como finanças e saúde possuem regulamentações rigorosas, e a utilização de redes isoladas ajuda as organizações a cumprir esses padrões e a demonstrar seu compromisso com a proteção de informações confidenciais.
  • Segurança física: Redes isoladas dependem de medidas de segurança física para manter a integridade da rede. Isto inclui instalações seguras, acesso controlado a equipamentos e sistemas de vigilância. Ao garantir que apenas pessoal autorizado tenha acesso físico à rede, o risco de adulteração física ou modificações não autorizadas é minimizado.

Quais são as desvantagens das redes sem ar?

Embora as redes com isolamento aéreo ofereçam vantagens de segurança robustas, elas também apresentam algumas desvantagens e desafios, por isso é importante que as organizações avaliem cuidadosamente os benefícios e as desvantagens das redes com isolamento aéreo. em seu contexto específico.

Equilibrar as necessidades de segurança, os requisitos operacionais e as considerações de usabilidade é crucial para determinar as medidas de segurança cibernética mais adequadas para a organização. Em alguns casos, uma abordagem híbrida que combine redes isoladas com outras medidas de segurança pode ser considerada para enfrentar desafios específicos e encontrar um equilíbrio entre segurança e funcionalidade.

Aqui estão algumas considerações:

  • Complexidade Operacional: Implementar e gerenciar uma rede isolada pode ser muito complexo e consumir muitos recursos. Requer infraestrutura adicional, hardware especializado e planejamento cuidadoso para garantir isolamento físico adequado e conectividade restrita. As organizações devem alocar recursos suficientes para configuração, manutenção e monitoramento contínuo da rede.
  • Funcionalidade Limitada: A própria natureza das redes air gap, com a sua falta de conectividade, pode limitar a funcionalidade e a conveniência de certas operações. Por exemplo, a transferência de dados entre a rede isolada e sistemas externos pode exigir processos manuais, como o uso de mídia removível ou dispositivos de conexão física. Isso pode desacelerar os fluxos de trabalho e introduzir etapas adicionais que precisam ser gerenciadas com cuidado.
  • Ameaças internas: embora as redes air-gapped forneçam proteção contra ameaças cibernéticas externas, elas não são imunes a ameaças internas. Indivíduos autorizados com acesso físico à rede ainda podem representar um risco. Pessoas internas mal-intencionadas ou erros não intencionais cometidos por funcionários podem comprometer potencialmente a segurança da rede isolada. Controles rígidos de acesso, monitoramento e treinamento de conscientização em segurança são cruciais para mitigar esses riscos.
  • Transmissão de malware: Redes isoladas não são invulneráveis ​​a malware. Embora a conectividade direta com a Internet esteja ausente, o malware ainda pode ser introduzido através de meios físicos, como unidades USB ou dispositivos de armazenamento externos, que podem ser usados ​​para transferência de dados. O software malicioso pode propagar-se na rede se for introduzido através desses meios, exigindo protocolos de segurança rigorosos e medidas de verificação abrangentes para prevenir infecções.
  • Desafios de usabilidade: O isolamento físico e a conectividade restrita de redes isoladas podem apresentar desafios de usabilidade. Pode ser complicado acessar e atualizar software, aplicar patches de segurança ou implementar atualizações de sistema. Além disso, a falta de acesso direto à Internet pode limitar a capacidade de utilizar serviços em nuvem, acessar recursos online ou se beneficiar de inteligência sobre ameaças em tempo real.
  • Manutenção e Atualizações: Redes isoladas exigem manutenção cuidadosa e atualizações regulares para garantir a segurança e a funcionalidade contínuas da rede. Isso inclui a aplicação de patches de segurança, atualização de software e realização de auditorias periódicas. Manter a integridade do ambiente isolado e garantir que ele permaneça seguro pode consumir muitos recursos e muito tempo.

As redes air-gapped podem ser violadas?

Embora as redes air-gapped sejam projetadas para fornecer um alto nível de segurança e tornar extremamente difícil a violação da rede por ameaças externas, é importante reconhecer que nenhuma medida de segurança é totalmente à prova de balas. Embora o isolamento físico e a conectividade restrita das redes isoladas reduzam significativamente o risco de ataques cibernéticos, ainda existem formas potenciais de violação:

  1. Movimento lateral: Depois que os invasores estabelecerem uma posição inicial na rede com isolamento aéreo, eles poderão se mover lateralmente pela rede usando credenciais roubadas para expandir sua presença e aumentar o impacto do ataque. Em 2017, o infame ataque NotPetya realizou tais movimento lateral tanto em redes de TI padrão quanto em redes de TO isoladas.
  2. Ameaças internas: Uma das principais preocupações das redes isoladas é a ameaça interna. Pessoas internas mal-intencionadas que autorizaram o acesso físico à rede podem violar intencionalmente as medidas de segurança. Eles podem introduzir malware ou comprometer a integridade da rede, contornando potencialmente os protocolos de segurança e expondo informações confidenciais.
  3. Engenharia social: Redes isoladas não estão imunes a ataques de engenharia social. Os invasores podem tentar manipular funcionários autorizados com acesso físico à rede, induzindo-os a comprometer as medidas de segurança. Por exemplo, um invasor pode se passar por um indivíduo confiável ou explorar vulnerabilidades humanas para obter acesso não autorizado à rede.
  4. Introdução de malware através de mídia física: embora as redes air-gapped estejam desconectadas das redes externas, elas ainda podem ser vulneráveis ​​a malware introduzido por meio de mídia física, como unidades USB ou dispositivos de armazenamento externos. Se essa mídia estiver conectada à rede isolada sem verificação adequada ou medidas de segurança, o malware poderá potencialmente infectar a rede.
  5. Ataques de Canal Lateral: Atacantes sofisticados podem empregar ataques de canal lateral para coletar informações de redes isoladas. Esses ataques exploram o vazamento não intencional de informações, como radiação eletromagnética, sinais acústicos ou flutuações de energia, para coletar dados e potencialmente violar a rede.
  6. Erro humano: O erro humano também pode levar a violações inadvertidas de redes isoladas. Por exemplo, um indivíduo autorizado pode conectar por engano um dispositivo não autorizado ou transferir informações confidenciais para um sistema externo não seguro, comprometendo inadvertidamente a segurança da rede.

Exemplos do mundo real de violações isoladas

Embora as redes air-gapped sejam geralmente consideradas altamente seguras, houve alguns casos notáveis ​​em que tais redes foram violadas ou comprometidas. Aqui estão alguns exemplos do mundo real:

Stuxnet: Um dos casos mais famosos de violação de rede sem comunicação é o worm Stuxnet. Descoberto em 2010, o Stuxnet tinha como alvo instalações nucleares iranianas. Ele foi projetado para explorar vulnerabilidades em redes isoladas, espalhando-se através de unidades USB infectadas. Uma vez dentro da rede isolada, o Stuxnet interrompeu a operação das centrífugas usadas no processo de enriquecimento de urânio do Irã.

O Grupo Equação: O Equation Group, um grupo de espionagem cibernética altamente sofisticado atribuído aos Estados Unidos, teria como alvo redes com isolamento aéreo usando uma variedade de técnicas. Um de seus métodos envolvia o uso de malware conhecido como “EquationDrug” para preencher a lacuna de ar. Ele infectaria sistemas conectados à rede isolada e atuaria como um canal secreto para transmissão de dados aos invasores.

Hacking Equipe: Em 2015, a empresa italiana de software de vigilância Hacking Team sofreu uma violação que expôs uma quantidade significativa de dados sensíveis, incluindo informações sobre os seus clientes e as suas ferramentas. Foi descoberto que a equipe de hackers usou uma rede isolada para proteger seu código-fonte e informações confidenciais. No entanto, a violação foi alegadamente conseguida através de engenharia social e do comprometimento de pessoal autorizado, permitindo aos atacantes obter acesso à rede isolada.

ShadowBrokers: O grupo de hackers ShadowBrokers ganhou notoriedade em 2016, quando vazou uma quantidade significativa de ferramentas de hackers classificadas, supostamente pertencentes à Agência de Segurança Nacional (NSA). Entre as ferramentas vazadas estavam explorações projetadas para violar redes isoladas. Essas ferramentas visavam vulnerabilidades em vários sistemas operacionais e protocolos de rede, demonstrando o potencial de violação de ambientes supostamente seguros.

Vault 7: Em 2017, o WikiLeaks divulgou uma série de documentos conhecidos como “Vault 7” que expuseram as capacidades de hacking da Agência Central de Inteligência (CIA). Os documentos vazados revelaram que a CIA possuía ferramentas e técnicas capazes de contornar redes isoladas. Uma dessas ferramentas, chamada “Brutal Kangaroo”, permitiu à CIA infectar redes isoladas, aproveitando mídias removíveis, como unidades USB, para propagar malware.

NotPetya: Em 2017, o ataque de ransomware NotPetya causou estragos generalizados, visando principalmente organizações ucranianas. O NotPetya infectou sistemas explorando uma vulnerabilidade em um software de contabilidade popular. Uma vez dentro de uma rede, ele se espalha rapidamente, até mesmo para sistemas isolados, abusando da funcionalidade de linha de comando da Instrumentação de Gerenciamento do Windows (WMIC) e roubando credenciais administrativas. A capacidade do NotPetya de se propagar em redes sem ar demonstrou o potencial de movimento lateral e infecção além dos limites da rede tradicional.

Estas violações sublinham a evolução das capacidades e técnicas dos ciberataques. Eles destacam a importância do monitoramento contínuo, da inteligência sobre ameaças e da adoção de medidas de segurança robustas, mesmo em ambientes isolados. As organizações devem permanecer vigilantes e atualizar regularmente os seus protocolos de segurança para mitigar os riscos associados a violações de redes isoladas.

Como você pode proteger redes isoladas?

Protegendo redes sem ar requer uma abordagem multicamadas que combine medidas de segurança físicas, técnicas e operacionais. Requer vigilância contínua, atualizações regulares e uma abordagem proativa à segurança, por isso é crucial manter-se informado sobre ameaças emergentes, manter-se a par das melhores práticas de segurança e adaptar as medidas de segurança conforme necessário para garantir a proteção contínua da rede.

Aqui estão várias estratégias importantes para melhorar a proteção de redes isoladas:

Executar Autenticação multifator

  • Superando as restrições de segurança integradas: A autenticação multifator (MFA) é a solução definitiva contra ataques que utilizam credenciais comprometidas para acessar recursos direcionados, como aquisições de contas e movimentação lateral. No entanto, para ser eficaz em uma rede sem ar, um Solução MFA deve atender a vários critérios, como ser capaz de funcionar plenamente sem depender de conectividade com a Internet e não exigir a implantação de agentes nas máquinas que protege
  • Suporte a token de hardware: Além disso, a prática comum em redes air-gapped é usar tokens de segurança de hardware físico no lugar dos dispositivos móveis padrão que exigem conectividade com a Internet. Esta consideração acrescenta outro requisito: poder utilizar um token de hardware para fornecer o segundo fator de autenticação.

Segurança física

  • Instalação Segura: Mantenha um ambiente fisicamente seguro limitando o acesso à localização da rede através de medidas como controles de acesso, guardas de segurança, sistemas de vigilância e sistemas de detecção de intrusão.
  • Proteção de Equipamentos: Proteja os equipamentos físicos, incluindo servidores, estações de trabalho e dispositivos de rede, contra acesso não autorizado, adulteração ou roubo.

Segmentação de Rede

  • Isole sistemas críticos: segmente a rede isolada de sistemas não críticos para minimizar ainda mais a superfície de ataque e limitar o impacto potencial de uma violação.
  • Gerenciamento de rede separado: Implemente uma rede de gerenciamento separada para administrar a rede isolada para evitar acesso não autorizado e mitigar o risco de ameaças internas.

Transferência Segura de Dados

  • Uso controlado de mídia: Estabeleça protocolos rígidos para transferência de dados de e para a rede isolada usando mídia removível autorizada e devidamente digitalizada. Verifique e higienize regularmente todas as mídias para evitar a introdução de malware.
  • Diodos de dados: Considere a utilização de diodos de dados ou outros mecanismos de transferência unidirecional para garantir o fluxo de dados unidirecional, permitindo que os dados se movam com segurança de redes confiáveis ​​para a rede isolada, evitando qualquer fluxo de dados de saída.

Proteção de endpoint

  • Proteção antivírus e contra malware: implemente soluções antivírus e antimalware robustas em todos os sistemas da rede isolada. Atualize regularmente o software e implemente verificações em tempo real para detectar e mitigar ameaças potenciais.
  • Firewalls baseados em host: Utilize firewalls baseados em host para controlar o tráfego de rede e evitar tentativas de comunicação não autorizadas.

Conscientização e treinamento de segurança

  • Educar o pessoal autorizado: Forneça treinamento abrangente de conscientização sobre segurança para indivíduos com acesso à rede isolada. Este treinamento deve abranger temas como engenharia social, ataques de phishing, melhores práticas de segurança física e a importância de seguir os protocolos estabelecidos.

Monitoramento e Auditoria

  • Monitoramento de Rede: Implemente sistemas de monitoramento robustos para detectar quaisquer anomalias ou atividades suspeitas dentro da rede isolada. Isso inclui monitorar o tráfego de rede, logs do sistema e atividades do usuário.
  • Auditorias de segurança regulares: Realize auditorias de segurança periódicas para avaliar a eficácia das medidas de segurança, identificar vulnerabilidades e garantir a conformidade com políticas e procedimentos estabelecidos.

Resposta a Incidentes

  • Desenvolva um plano de resposta a incidentes especificamente adaptado para redes isoladas. Definir procedimentos para detectar, investigar e responder a incidentes de segurança de forma rápida e eficaz.