Så förhindras cyberattacker mot isolerade system

Isolerade system, också kallade ”air-gapped”, används ofta i känsliga miljöer inom totalförsvaret, och innebär att systemen är isolerade från andra nätverk, särskilt internet. Denna separation av nätverk är utformad för att skydda mot cyberattacker genom att skapa en ”luftspalt” mellan systemen och innebär att air gappade system är fysiskt frånkopplade från övriga nätverk. Trots denna försiktighetsåtgärd har det visat sig att dessa system inte är immuna mot attacker, särskilt när statsaktörer är med på spelplanen.

Insiders

En av metoderna med mest förutsägbar effekt är att kompromettera ett isolerat system genom fysiska attacker, vilket enklast kan ske genom insiders. Personer som har legitim åtkomst till ett isolerat system kan utgöra ett betydande hot mot säkerheten. Detta kan ske genom att en insider medvetet agerar som en aktör för en angripare eller genom att bli lurad eller utpressad att delta i en attack, efter en gedigen rekryteringsprocess. Läs mer om hur insiderhotet kan hanteras i artikeln Lär känna insidern.

Vissa hotaktörer har även förmågan att ta sig förbi fysiskt skalskydd, oupptäckt, genom att imitera auktoriserad personal, som underleverantörer- och servicearbetare. Detta gäller främst statsaktörer med i princip oändliga resurser, kompetens och motivation, där syftet kan vara att installera dolda kommunikationskanaler i isolerade system för att sedan ha möjlighet att påverka dem från avstånd eller helt enkelt förstöra systemen. För att försvåra detta och skapa tröskeleffekt krävs såklart genomtänkt skalskydd och behörighetszoner, men en stor del är också utbildning och övning för medarbetarna i att artigt konfrontera okända personer. Läs mer om den mänskliga faktorn och simulerade inbrott i artikeln Red team och hur de skyddar er verksamhet – del två.

USB-minnen spelar en central roll i attacker mot isolerade system. De används ofta för att överföra uppdateringar eller annan nödvändig data till dessa system på grund av deras isolerade natur. Angripare kan utnyttja denna process genom att infektera dessa USB-minnen med skadlig kod, vilket sedan överförs till det isolerade systemet när enheten ansluts. Ett känt exempel på denna typ av attack är Stuxnet, ett sofistikerat självreplikerande virus, som spreds världen över till USB-enheter i syfte att nå sin förutbestämda destination; Irans kärnkraftsanläggning i Natanz. Denna hotvektor kan hanteras genom en strukturerad och robust rutin för import av filer som inkluderar genomsökning av skadliga filer på det lagringsmedia som används.

Supply chain-attacker

Supply chain-attacker innebär att skadlig kod introduceras i systemet genom komprometterade leveranskedjor. Detta kan innebära att hårdvara eller mjukvara som används i det isolerade systemet infekteras med skadlig kod genom uppdateringar. Genom att infektera uppdateringsfiler hos källan (där de utvecklas och produceras) kan angripare styra eller förstöra de isolerade systemen. Denna metod är särskilt farlig eftersom den drar nytta av tilliten som användare har för legitim mjukvara och uppdateringar från pålitliga källor. Detta kan leda till att man kringgår existerande säkerhetsrutiner, som precis som med insiders innefattar att skadlig kod introduceras i den isolerade miljön med hjälp av USB-minnen eller annan lagringsmedia. Basalt rekommenderar att ha en vattentät rutin för säker anskaffning av mjukvara, där analyser bör genomföras av bland annat tredjepartsleverantörer avseende deras historik kring sårbarheter, generell säkerhetsmedvetenhet, moralisk kompass och transparens.

Alternativa kommunikationskanaler

Trots den fysiska isoleringen hos dessa system kan känslig data exfiltreras genom alternativa kommunikationskanaler med hjälp av radiofrekvenser, ljus eller ljud efter att skadlig kod introducerats. Angripare kan exempelvis manipulera systemets interna komponenter för att generera radiovågor som kan fångas upp på avstånd. En annan metod är att använda ljussignaler från lysdioder (LEDs) på datorns maskinvara, såsom statuslampor, för att överföra data i form av blinkande mönster som kan avläsas visuellt. Dessa alternativa kommunikationskanaler ryms under begreppet RÖS (röjande signaler). Sofistikerade riktade angrepp kan därför upphäva ”luftspalten” i systemet och framkalla dolda kommunikationsvägar. Detta kan förhindras bland annat genom anskaffning av RÖS-godkänd hårdvara eller genom att nyttja säkerhetsavstånd för att minimera möjligheten att snappa upp signaler från avstånd (även med känsliga sensorer). Precis som med konfiguration av mjukvara bör funktioner och komponenter som kan användas för dold kommunikation analyseras, och funktioner som inte används bör således deaktiveras.

Därför behöver du införa strikta säkerhetsåtgärder

Även om isolerade system erbjuder en hög grad av säkerhet genom sin fysiska separation, är de inte oövervinnerliga att påverka för en motiverad aktör. Fysiska attacker och supply chain-attacker utgör ett verkligt hot mot dessa system, särskilt när de i de allra flesta fall involverar mjukvaruuppdateringar med ovisshet för inbäddad skadlig kod. För att effektivt skydda isolerade system är det avgörande att införa strikta säkerhetsåtgärder, inklusive noggrann kontroll av lagringsmedia och rigorösa procedurer för hantering av mjukvaruuppdateringar, för att förhindra att skadlig kod introduceras. Detta ingår i det systematiska säkerhetsarbetet kring verksamhetsskydd och informationssäkerhet. Dessa säkerhetshöjande åtgärder kan Basalt självklart hjälpa till med, vare sig det krävs omtag från grunden, eller om redan existerande lösningar behöver verifieras med hjälp av penetrationstester.

Välkommen att höra av dig om du vill veta mer om hur vi kan stötta din verksamhet mot inre och yttre hot. Våra it-säkerhetsexperter har lång erfarenhet av isolerade system och delar gärna med sig av sin kompetens.