การป้องกัน MFA สำหรับเครือข่าย Air-Gapped

การโจมตีทางไซเบอร์เมื่อเร็วๆ นี้ที่เปิดตัวในฐานะส่วนหนึ่งของสงครามรัสเซีย-ยูเครน ได้ปลุกความกังวลเกี่ยวกับความปลอดภัยของเครือข่ายช่องว่างทางอากาศ โดยเฉพาะอย่างยิ่งเกี่ยวกับการปกป้องตัวตน ช่องว่างอากาศ ถูกนำมาใช้เพื่อลดพื้นผิวการโจมตีของเครือข่ายที่มีความอ่อนไหวสูง เช่นเครือข่ายที่พบในโครงสร้างพื้นฐานที่สำคัญของประเทศ สภาพแวดล้อมทางทหารและหน่วยงานของรัฐ และโรงงานผลิต เครือข่ายประเภทนี้มีแนวโน้มที่จะตกเป็นเป้าหมายของผู้คุกคาม ซึ่งเป็นโอกาสที่ทำหน้าที่เป็นทางเลือกในการแสดงความเป็นปรปักษ์ในขณะที่ละเว้นจากการทำสงครามแบบเดิม ในบทความนี้ เราจะสำรวจว่า Silverfort ปึกแผ่น การป้องกันตัวตน แพลตฟอร์มบังคับใช้การรับรองความถูกต้องที่ปลอดภัยภายในสภาพแวดล้อมที่มีช่องว่างอากาศโดยเปิดใช้งานการใช้โทเค็นฮาร์ดแวร์ FIDO2 สำหรับ MFA โดยไม่มีตัวแทน การแก้ไขรหัส หรือการเปลี่ยนแปลงโครงสร้างพื้นฐานการตรวจสอบสิทธิ์ ในลักษณะนี้ Silverfort ให้การป้องกันตามเวลาจริงกับเครือข่ายเหล่านี้ การเคลื่อนไหวด้านข้าง และการเผยแพร่มัลแวร์แบบอัตโนมัติ

เครือข่าย Air-Gapped คืออะไร?

เครือข่ายช่องว่างอากาศเป็นเครือข่ายคอมพิวเตอร์ที่ไม่มีอินเทอร์เฟซเชื่อมต่อกับโลกภายนอก เห็นได้ชัดว่านี่เป็นมาตรการที่รุนแรง ดังนั้นโดยทั่วไปวิธีการนี้จึงถูกใช้โดยองค์กรที่มีความละเอียดอ่อนสูงเท่านั้น ซึ่งต้องการระดับความปลอดภัยสูงสุด

เครือข่ายแบบ Air-gapped เป็นสภาพแวดล้อมการใช้งานจริงที่เครื่องที่ประกอบด้วยสภาพแวดล้อมไม่มีการเชื่อมต่อแบบหันหน้าออกด้านนอก ไม่ว่าจะเชื่อมต่อกับอินเทอร์เน็ตโดยตรงหรือโดยอ้อมกับเครือข่ายภายในแบบหันหน้าออก เครือข่ายมีช่องว่างอากาศเพื่อลดช่องว่าง พื้นผิวการโจมตี และเพิ่มความยืดหยุ่นต่อการโจมตีทางไซเบอร์

ตัวอย่างที่โดดเด่นของเครือข่ายที่มีช่องว่างทางอากาศ ได้แก่ ผู้มีบทบาทด้านความมั่นคงของชาติต่างๆ เช่น ฝ่ายกลาโหม รัฐบาล และหน่วยงานทางทหาร ตลอดจนหน่วยงานโครงสร้างพื้นฐานที่สำคัญที่ให้บริการด้านพลังงาน สาธารณูปโภคด้านน้ำ และบริการอื่นๆ องค์กรประเภทเหล่านี้พยายามแยกส่วนเครือข่ายที่ละเอียดอ่อนที่สุดออกจากกันโดยสิ้นเชิง ดังนั้นจึงถูกตัดขาดจากการเชื่อมต่ออินเทอร์เน็ตใดๆ

เครือข่าย Air-Gapped ยังคงเสี่ยงต่อการแทรกซึมที่เป็นอันตราย

แม้ว่าแนวทางนี้จะสมเหตุสมผลในทางทฤษฎี แต่ในทางปฏิบัติมีข้อ จำกัด มากมายที่ทำให้ช่องว่างอากาศทั้งหมดแทบจะเป็นไปไม่ได้เลย สิ่งที่มักจะเกิดขึ้นคือการเชื่อมต่อกับโลกภายนอกในระดับหนึ่งยังคงอยู่ โดยไม่คำนึงถึงความตั้งใจเริ่มต้นทั้งหมด ส่วนใหญ่เกิดจากเหตุผลในการดำเนินงาน: ผู้ปฏิบัติงานที่ต้องการถ่ายโอนไฟล์ภายนอกเข้าสู่เครือข่าย การอัปเดตซอฟต์แวร์ การสนับสนุนด้านเทคนิคจากระยะไกลเป็นเพียง ตัวอย่างทั่วไปบางส่วน ในตอนท้ายของวัน ทั้งหมดนี้ทำให้ไม่สามารถใช้งานสถาปัตยกรรมแบบ air-gapped ได้ 100% เดอะ มัลแวร์ Stuxnet, ซึ่งเริ่มนำเข้าสู่เครือข่าย air-gapped โดยใช้ไดรฟ์แบบถอดได้ที่ติดไวรัส เช่น แฟลชไดรฟ์ USB ควรเป็นเครื่องเตือนใจอย่างต่อเนื่องว่าการเข้าถึงเครือข่าย air-gapp ในเบื้องต้นยังคงเป็นไปได้

การเคลื่อนไหวด้านข้างในเครือข่าย Air-Gapped

เมื่อผู้โจมตีตั้งฐานหลักในเครือข่าย air-gapped แล้ว พวกเขาสามารถติดตามการเคลื่อนไหวด้านข้าง โดยใช้รหัสผ่านและข้อมูลประจำตัวที่ขโมยมาเพื่อขยายการแสดงตนและเพิ่มผลกระทบจากการโจมตี ในปี 2017 การโจมตี NotPetya ที่น่าอับอายได้ดำเนินการเคลื่อนไหวด้านข้างทั้งในเครือข่ายไอทีมาตรฐานและเครือข่าย OT ที่มีช่องว่างทางอากาศ

ดังนั้น ช่องว่างของอากาศโดยตัวมันเองจึงไม่สามารถรับรองการป้องกันที่หุ้มด้วยเหล็กตามชื่อของมันได้ ในอดีตอาจเป็นวิธีที่เป็นไปได้ แต่ในสภาพแวดล้อมไอทีที่เชื่อมต่อหลายมิติในปัจจุบัน สิ่งนี้เรียกร้องให้มีการประเมินใหม่ว่าเครือข่ายดังกล่าวควรได้รับการปกป้องที่ดีที่สุดอย่างไร ทั้งจากการเข้าถึงที่เป็นอันตรายในครั้งแรก ตลอดจนจากการเคลื่อนไหวด้านข้างในระยะหลังการประนีประนอม

ข้อ จำกัด ใดที่ทำให้การป้องกันเครือข่าย Air-Gapped เป็นเรื่องท้าทาย

เครือข่าย Air-gapped ไม่สามารถป้องกันได้ง่ายๆ ด้วยโซลูชันความปลอดภัยมาตรฐาน

ก่อนอื่น ไม่สามารถใช้โซลูชันใด ๆ ที่อาศัยการเชื่อมต่อคลาวด์หรือการเชื่อมต่ออินเทอร์เน็ตได้

ประการที่สอง คุณสมบัติหลักของเครือข่าย air-gapped คือความมุ่งมั่นต่อความเสถียรในการปฏิบัติงานตลอด 24x7x365 ตัวอย่างเช่น หมายความว่าไม่สามารถรีบูตได้หลังจากติดตั้งซอฟต์แวร์หรือแพตช์แล้ว ในหลายกรณี เครือข่ายเหล่านี้ยังใช้ระบบที่เป็นกรรมสิทธิ์อื่นๆ ที่อยู่ภายใต้เงื่อนไขการรับประกันที่เข้มงวดของผู้จำหน่าย ซึ่งไม่อนุญาตให้ติดตั้งซอฟต์แวร์ของบุคคลที่สามบนเซิร์ฟเวอร์ นอกจากนี้ คุณมักจะพบระบบเดิมที่ยังคงใช้งานอยู่ในเครือข่ายเหล่านี้ แม้ว่าจะไม่มีการสนับสนุนของผู้ผลิตแล้วก็ตาม กฎนี้กำหนดโซลูชันที่อิงตามตัวแทนทุกประเภท

และประการที่สาม ลักษณะของเครือข่ายเหล่านี้จะเพิ่มความไวต่อการหยุดชะงักของการดำเนินงานซึ่งเกิดจากผลบวกปลอมหรือการหยุดชะงักของกระบวนการที่สำคัญ ในขณะที่ปิดกั้นกิจกรรมที่เป็นอันตราย ข้อควรพิจารณาทั้งหมดเหล่านี้จำกัดขอบเขตของผลิตภัณฑ์ความปลอดภัยเพิ่มเติมที่สามารถใช้ในเครือข่ายแบบ air-gapped ให้แคบลงอย่างมาก

ข้อกำหนดสำหรับการรับรองความถูกต้องด้วยหลายปัจจัยในเครือข่าย Air-Gapped

เอาชนะข้อ จำกัด ด้านความปลอดภัยในตัว

การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) เป็นทางออกที่ดีที่สุดสำหรับการโจมตีที่ใช้ข้อมูลรับรองที่ถูกบุกรุกเพื่อเข้าถึงทรัพยากรเป้าหมาย เช่น การยึดครองบัญชีและการเคลื่อนไหวด้านข้าง อย่างไรก็ตาม เพื่อให้มีประสิทธิภาพในเครือข่าย air-gapped โซลูชัน MFA จะต้องเป็นไปตามเกณฑ์หลายประการ ตามข้อจำกัดที่เราได้อธิบายไว้ข้างต้น:

• ใช้งานได้เต็มที่โดยไม่ต้องพึ่งการเชื่อมต่ออินเทอร์เน็ต
• ไม่ต้องการการปรับใช้ตัวแทนในเครื่องที่ป้องกัน
• สร้างการหยุดชะงักน้อยที่สุดและไม่เป็นอันตรายต่อความเสถียรและความพร้อมใช้งานของระบบและกระบวนการที่ละเอียดอ่อน

รองรับโทเค็นฮาร์ดแวร์

นอกจากนี้ แนวทางปฏิบัติทั่วไปในเครือข่าย air-gapped คือการใช้โทเค็นการรักษาความปลอดภัยฮาร์ดแวร์ทางกายภาพแทนอุปกรณ์พกพามาตรฐานที่ต้องการการเชื่อมต่ออินเทอร์เน็ต การพิจารณานี้เพิ่มข้อกำหนดอื่น:

• สามารถใช้โทเค็นของฮาร์ดแวร์เพื่อให้ปัจจัยการรับรองความถูกต้องที่สอง

FIDO2 เป็นมาตรฐานที่ต้องการสำหรับฮาร์ดโทเค็นและได้รับการพิจารณา ทนทานต่อการโจมตีแบบฟิชชิ่งขั้นสูงและแบบดั้งเดิม

อย่างไรก็ตาม โทเค็น FIDO2 สามารถใช้ได้เฉพาะกับ เว็บauthN or U2F โปรโตคอลการรับรองความถูกต้อง หากระบบภายในเครือข่าย air-gapped ไม่ได้รับการออกแบบให้ทำงานร่วมกับโปรโตคอลเหล่านี้ในตอนแรก การดำเนินการแก้ไขที่จำเป็นจะเป็นเรื่องยากมาก (ดูด้านบนเกี่ยวกับความพร้อมใช้งาน 24/7/365) ส่งผลให้ความต้องการล่าสุดไม่ได้รับการตอบสนองอย่างง่ายดาย ทำให้เครือข่ายที่มีช่องว่างทางอากาศจำนวนมากถูกโจมตี

Silverfort การรับรองความถูกต้องที่ปลอดภัยสำหรับเครือข่าย Air-Gapped

ภารกิจของเราที่ Silverfort คือการขยายการรับรองความถูกต้องที่ปลอดภัยไปยังผู้ใช้ เข้าถึงอินเทอร์เฟซและทรัพยากรทั้งหมด เราประสบความสำเร็จในการใช้การป้องกัน MFA กับทรัพยากรที่ไม่เคยได้รับการปกป้องในลักษณะนี้มาก่อน เช่น โครงสร้างพื้นฐานด้านไอที การแชร์ไฟล์ ฐานข้อมูล IIOT และแม้แต่ระบบ OT เช่น HMI และเซิร์ฟเวอร์ที่ใช้งานจริง

สอดคล้องกับวิสัยทัศน์นี้ Silverfort ยังให้การป้องกัน MFA แบบไม่ใช้เอเจนต์สำหรับเครือข่าย air-gapped ทำให้สามารถใช้โทเค็นฮาร์ดแวร์ FIDO2 ได้โดยไม่ต้องเปลี่ยนรหัสใดๆ บนระบบที่ได้รับการป้องกัน:

1. A เราทุ่มเท  โหมดการปรับใช้ ไม่เชื่อเรื่องพระเจ้า การเชื่อมต่ออินเทอร์เน็ต: Silverfort นำเสนอโหมดการปรับใช้ภายในองค์กรเต็มรูปแบบ ในโหมดนี้ Silverfort ถูกปรับใช้เป็น Virtual Appliance ในองค์กรพร้อมฟังก์ชันการทำงานเต็มรูปแบบ โปรดทราบว่า Silverfort ยังมีตัวเลือกการปรับใช้ SaaS และตัวเลือกการปรับใช้ SaaS ภายในองค์กรแบบไฮบริด
2. สถาปัตยกรรมแบบไร้ตัวแทน กับ ไม่จำเป็นต้องเปลี่ยนรหัส: Silverfortสถาปัตยกรรมนวัตกรรมที่เป็นเอกลักษณ์ของ ช่วยให้องค์กรสามารถขยาย Multi-Factor Authentication ไปยังระบบหรือทรัพยากรใดๆ โดยไม่ต้องติดตั้ง Agent บนเครื่องที่ได้รับการป้องกัน และไม่ต้องปรับแต่งโค้ดใดๆ หรือเปลี่ยนแปลงโปรโตคอลการตรวจสอบสิทธิ์ใดๆ
3. โทเค็นฮาร์ดแวร์ที่สอดคล้องกับ FIDO2: Silverfort ช่วยให้องค์กรสามารถเลือกตัวตรวจสอบความถูกต้องในสภาพแวดล้อมแบบ air-gapped รวมถึงโทเค็นฮาร์ดแวร์ FIDO2 ทั้งหมด

การใช้งานที่ได้รับความนิยมมากที่สุดในระบบนิเวศของลูกค้าคือของเรา การรวมเข้ากับโทเค็น YubiKey. การรวมที่ราบรื่นนี้เชื่อมช่องว่างระหว่างโทเค็น FIDO2 ที่ทันสมัยและโครงสร้างพื้นฐานการตรวจสอบสิทธิ์ที่มีอยู่ของคุณ การป้องกัน MFA ที่ครอบคลุม สู่เครือข่ายช่องว่างอากาศ

สรุป

Air-gapping เป็นกลยุทธ์การรักษาความปลอดภัยที่ดี —แต่เราต้องรับทราบทั้งช่องว่างและผลที่ตามมาในผลิตภัณฑ์รักษาความปลอดภัยที่คุณสามารถใช้ได้ SilverfortMFA ของช่วยให้คุณสามารถบังคับใช้การรับรองความถูกต้องที่ปลอดภัยและตรวจสอบตัวตนของผู้ใช้ในเครือข่ายที่มีช่องว่างทางอากาศ เพื่อให้มั่นใจว่าพวกเขาได้รับการปกป้องจาก การโจมตีตามข้อมูลประจำตัว.