Hava Boşluklu Ağlar için MFA Koruması

Rusya-Ukrayna savaşının bir parçası olarak başlatılan son siber saldırılar, hava boşluklu ağların güvenliği, özellikle kimlik koruması ile ilgili endişeleri yeniden uyandırdı. hava boşluğu ulusların kritik altyapılarında, askeri ve hükümet ortamlarında ve üretim atölyelerinde bulunanlar gibi oldukça hassas bir ağın saldırı yüzeyini azaltmak için uygulanmaktadır. Bu tür ağların, konvansiyonel savaştan kaçınırken düşmanlığın alternatif bir ifadesi olarak hizmet eden bir olasılık olarak, tehdit aktörleri tarafından hedef alınması muhtemeldir. Bu yazıda, Silverfort Bütünleşik Kimlik koruması platform, aracılar, kod değişikliği veya kimlik doğrulama altyapısı değişiklikleri olmadan MFA için FIDO2 donanım belirteçlerinin kullanılmasını sağlayarak hava boşluklu ortamlarda güvenli kimlik doğrulamasını zorlar. Bu şekilde, Silverfort karşı bu ağları gerçek zamanlı koruma sağlar. yanal hareket ve otomatik kötü amaçlı yazılım yayılımı.

Hava Boşluklu Ağ Nedir?

Hava boşluklu ağlar, dış dünyaya bağlı hiçbir arayüzü olmayan bilgisayar ağlarıdır. Bu kesinlikle sert bir önlemdir, bu nedenle yaklaşım tipik olarak yalnızca maksimum düzeyde güvenlik gerektiren son derece hassas kuruluşlar tarafından kullanılır.

Hava boşluklu ağlar, ortamı oluşturan makinelerin doğrudan İnternet'e veya dolaylı olarak giden bir iç ağa dışa dönük bağlantısının olmadığı üretim ortamlarıdır. Ağlar, ağların yoğunluğunu azaltmak için hava boşluklu hale gelir. saldırı yüzeyi ve siber saldırılara karşı dayanıklılıklarını artırır.

Hava boşluklu ağların öne çıkan bazı örnekleri, savunma, hükümetler ve askeri kurumlar gibi çeşitli ulusal güvenlik aktörlerinin yanı sıra enerji, su hizmetleri ve diğer kolaylaştırıcı hizmetleri sağlayan kritik altyapı varlıklarını içerir. Bu tür kuruluşlar, en hassas ağ segmentlerini tamamen ayırmaya çalışır, böylece herhangi bir internet bağlantısı kesilir.

Hava Boşluklu Ağlar Hala Kötü Amaçlı Sızmalara Açıktır

Bu yaklaşım teoride mantıklı olsa da, pratikte tam hava aralığını neredeyse imkansız hale getiren çeşitli kısıtlamalar vardır. Genelde olan şey, baştaki tüm niyetlerden bağımsız olarak, çoğunlukla operasyonel nedenlerden dolayı, dış dünyayla belirli bir derecede bağlantının sürdürülmesidir: harici dosyaları ağa aktarması gereken operatörler, yazılım güncellemeleri, uzaktan teknik destek birkaç yaygın örnek. Günün sonunda tüm bunlar, gerçek bir %100 hava boşluklu mimariyi uygulamak için doğuştan gelen bir yetersizliğe katkıda bulunur. bu Stuxnet kötü amaçlı yazılımı, Başlangıçta USB flash sürücüler gibi virüslü çıkarılabilir sürücüler kullanılarak hava boşluklu ağlara tanıtılan bu sistem, hava boşluklu bir ağa ilk erişimin hala mümkün olduğunu sürekli olarak hatırlatmalıdır.

Hava Boşluklu Ağlarda Yanal Hareket

Saldırganlar hava boşluklu ağda bir ilk dayanak noktası oluşturduktan sonra, varlığı genişletmek ve saldırı etkisini artırmak için çalınan parolaları ve kimlik bilgilerini kullanarak yanal hareketle takip edebilirler. 2017'de kötü şöhretli NotPetya saldırısı, hem standart BT ağlarında hem de hava boşluklu OT ağlarında böyle bir yanal hareket gerçekleştirdi.

Bu nedenle, hava boşluğu tek başına, adından da anlaşılacağı gibi zırhlı korumayı garanti edemez. Geçmişte mümkün olabilirdi, ancak günümüzün hiper bağlantılı BT ortamında, bu kesinlikle pratik değil. Bu, bu tür ağların hem başlangıçtaki kötü niyetli erişimden hem de taviz sonrası aşamada yanal hareketten en iyi şekilde nasıl korunması gerektiğinin yeniden değerlendirilmesini gerektirir.

Hangi Kısıtlamalar Hava Boşluklu Ağ Korumasını Zor Hale Getirir?

Hava boşluklu ağlar, standart güvenlik çözümleriyle kolayca korunamaz.

Her şeyden önce, bulut bağlantısına veya internet bağlantısına dayanan hiçbir çözüm kullanılamaz.

İkincisi, hava boşluklu ağların ana özelliği, 24x7x365 operasyonel kararlılığa bağlılıklarıdır. Örneğin bu, bir yazılım yüklemesi veya düzeltme eki uygulandıktan sonra yeniden başlatmanın imkansız olduğu anlamına gelir. Çoğu durumda, bu ağlar, sunuculara 3. taraf yazılımların yüklenmesine izin vermeyen katı satıcı garantisi koşulları kapsamındaki diğer tescilli sistemleri de kullanır. Ayrıca, üretici desteği artık mevcut olmasa bile, bu ağlarda hala aktif olan eski sistemleri sıklıkla bulabilirsiniz. Bu, her türlü aracı tabanlı çözümü dışlar.

Üçüncüsü, bu ağların doğası, yanlış pozitiflerin neden olduğu operasyonel bozulmaya veya kötü niyetli etkinliği engellerken kritik süreçlerin bozulmasına karşı hassasiyetlerini artırır. Tüm bu hususlar, hava boşluklu ağlarda kullanılabilen isteğe bağlı güvenlik ürünlerinin kapsamını önemli ölçüde daraltmaktadır.

Hava Boşluklu Ağlarda Çok Faktörlü Kimlik Doğrulama Gereksinimleri

Yerleşik Güvenlik Sınırlamalarının Aşılması

Çok Faktörlü Kimlik Doğrulama (MFA) hesap devralma ve yanal hareket gibi hedeflenen kaynaklara erişmek için güvenliği ihlal edilmiş kimlik bilgilerini kullanan saldırılara karşı nihai çözümdür. Bununla birlikte, hava boşluklu bir ağda etkili olabilmesi için, bir MFA çözümünün yukarıda açıkladığımız kısıtlamalara göre birkaç kriteri karşılaması gerekir:

• İnternet bağlantısına güvenmeden tam olarak çalışabilir
• Koruduğu makinelerde aracıların konuşlandırılmasını gerektirmez
• Minimum kesinti yaratır ve hassas sistemlerin ve süreçlerin kararlılığını ve kullanılabilirliğini tehlikeye atmaz

Donanım Jetonu Desteği

Ayrıca hava boşluklu ağlardaki yaygın uygulama, internet bağlantısı gerektiren standart mobil cihazlar yerine fiziksel donanım güvenlik belirteçlerinin kullanılmasıdır. Bu değerlendirme başka bir gereklilik ekler:

• İkinci kimlik doğrulama faktörünü sağlamak için bir donanım belirtecini kullanabilme.

FIDO2, sabit belirteçler için tercih edilen standarttır ve hem gelişmiş hem de geleneksel kimlik avı saldırılarına karşı dayanıklıdır.

Ancak, FIDO2 belirteçleri yalnızca webauthN or U2F kimlik doğrulama protokolleri. Hava boşluklu ağ içindeki sistemler başlangıçta bu protokollerle çalışacak şekilde tasarlanmasaydı, gerekli değişikliği gerçekleştirmek son derece zor olurdu (yukarıya bakın, 24/7/365 kullanılabilirlik). Sonuç olarak, son gereksinim kolayca karşılanmaz ve hava boşluklu birçok ağ saldırılara maruz kalır.

Silverfort Hava Boşluklu Ağlar için Güvenli Kimlik Doğrulama

Misyonumuz Silverfort güvenli kimlik doğrulamasını tüm kullanıcılara, erişim arabirimlerine ve kaynaklara genişletmektir. BT altyapısı, dosya paylaşımları, veritabanları, IIOT ve hatta HMI'ler ve üretim sunucuları gibi OT sistemleri gibi daha önce hiç bu şekilde korunamayan kaynaklara MFA korumasını uygulamayı başardık.

Bu vizyona uygun olarak, Silverfort ayrıca hava boşluklu ağlar için aracısız MFA koruması sağlayarak, korunan sistemlerde herhangi bir kod değişikliği olmadan FIDO2 donanım belirteçlerinin kullanılmasını sağlar:

1. A Dedicated  Dağıtım Modu agnostik Internet Bağlantısı: Silverfort tam şirket içi dağıtım modu sunar. Bu modda, Silverfort tüm işlevselliklere sahip şirket içinde bir Sanal Uygulama olarak dağıtılır. Bunu not et Silverfort ayrıca bir SaaS tabanlı dağıtım seçeneği ve hibrit bir şirket içi SaaS dağıtım seçeneği sunar.
2. Aracısız Mimari ile Kod Değişikliği Gerekmez: Silverfortbenzersiz yenilikçi mimarisi kuruluşların Multi-Factor Authentication'ı korumalı makinelere aracı yüklemeden ve herhangi bir kod özelleştirmesi veya kimlik doğrulama protokollerinde herhangi bir değişiklik gerektirmeden herhangi bir sistem veya kaynağa genişletmesine olanak tanır.
3. FIDO2 Uyumlu Donanım Simgeleri: Silverfort Kuruluşların, tüm FIDO2 donanım belirteçleri dahil olmak üzere hava boşluklu ortamlarda kimlik doğrulayıcılarını seçmelerine olanak tanır.

Müşterilerimizin ekosistemindeki en popüler uygulama, YubiKey belirteçleri ile entegrasyon. Bu sorunsuz entegrasyon, sağlamak için modern FIDO2 belirteçleri ile mevcut kimlik doğrulama altyapınız arasındaki boşluğu doldurur. kapsamlı MFA koruması hava boşluklu ağa.

Sonuç

Air-gapping sağlam bir güvenlik stratejisidir, ancak hem boşlukları hem de kullanabileceğiniz güvenlik ürünleri üzerindeki etkileri kabul edilmelidir. SilverfortMFA, güvenli kimlik doğrulamayı zorunlu kılmanıza ve hava boşluklu ağlardaki kullanıcıların kimliklerini doğrulamanıza olanak tanıyarak, onların bu tür saldırılara karşı korunmasını sağlar. kimlik tabanlı saldırılar.