Nicht nur Love Is in the Air
Kann Air-Gapping allein die Cybersicherheit für kritische Branchen verbessern?
Air-Gapping ist eine Sicherheitsmassnahme, die digitale Ressourcen und Netzwerke von externen Verbindungen isoliert, um sie vor Hackern, Malware und anderen Bedrohungen zu schützen, indem eine undurchdringliche Barriere geschaffen wird. Es hat seine Vorteile, aber auch seine (Sicherheits-)Probleme, und für eine Cybersicherheitslösung müssen die richtigen Lösungen und Einstellungen gefunden werden.
Von der Network Protection bis zum Deplyoment: Air Gapping im Einsatz
Network Air Gapping
Durch die Network Air Gapping-Methode wird ein isoliertes Netzwerk erstellt, das vom Internet getrennt ist, wodurch die Sicherheit erhöht und unbefugter Zugriff verhindert wird. Diese Methode, die in Hochsicherheitsumgebungen wie Militär- und Finanzen-Systemen üblich ist, erschwert die Datenübertragung, Wartung und Aktualisierung, die manuell durchgeführt werden müssen, was erhebliche betriebliche Herausforderungen mit sich bringt.
Deployment Air Gapping
Beim Einsatz von Air Gapping werden kritische Applikationen in isolierten, physisch getrennten Netzwerken platziert, um sensible Daten vor externen Cyber-Bedrohungen zu schützen. Diese Server werden häufig in Banken, im Gesundheitswesen und in Versorgungsunternehmen eingesetzt und sind nur physisch zugänglich. Die Datenverarbeitung erfolgt über USB, externe Medien oder physische Plug-ins.
Virtual Air Gapping
Beim virtuellen Air-Gapping werden Aktivitäten und Geräte mithilfe separater virtueller Maschinen (VMs) isoliert, wodurch eine höhere Sicherheit als bei Firewalls und Antiviren-Software gewährleistet wird. Für das Surfen im Internet, den Zugriff auf das Unternehmensnetzwerk und die Ausführung vertraulicher Aufgaben werden unterschiedliche VMs verwendet. Diese Methode vermeidet die Ineffizienz physischer Air-Gaps und trennt das Unternehmensnetzwerk effektiv vom Internet und sensiblen Daten.
Funktioniert Air-Gapping?
Ein Blick in die Geschichtsbücher:
Eine der berühmtesten Erfolgsgeschichten im Zusammenhang mit Air-Gapping ist das iranische Atomprogramm. Die Urananreicherungsanlage in Natanz sollte durch ein Air-Gao vor Cyberangriffen geschützt werden. Dennoch gelang es dem hochentwickelten Schadprogramm Stuxnet, das System zu infizieren. Die anfängliche Sicherheitsmassnahme des Air-Gaps verzögerte die Infektion jedoch erheblich und bewies damit ihre Wirksamkeit beim Schutz sensibler Systeme. Der Wurm wurde wahrscheinlich von einem Insider über ein infiziertes USB-Laufwerk eingeschleust, aber das Air-Gap des Netzwerks verlangsamte seine Ausbreitung und gab den Sicherheitsteams mehr Zeit, um zu reagieren. Dieser Fall verdeutlicht die Rolle des Air-Gaps bei der Schaffung einer robusten Verteidigungslinie, die Angriffe erschwert und verzögert und so wertvolle Zeit für Gegenmassnahmen schafft.
Im Gegensatz dazu stellen die Edward-Snowden-Leaks ein Versagen des Air-Gapping dar. Das interne Netzwerk der NSA, bekannt als NSAnet, war vom öffentlichen Internet getrennt. Trotzdem konnte Snowden, ein Insider mit berechtigtem Zugriff, grosse Mengen an vertraulichen Daten extrahieren und sie mithilfe tragbarer Speichergeräte herausschmuggeln. Dieser Vorfall zeigt die Grenzen des Air-Gapping auf, insbesondere im Hinblick auf Bedrohungen durch Insider. Es zeigt, dass das Air-Gapping zwar externe Cyberangriffe verhindern kann, die Risiken durch vertrauenswürdige Personen mit physischem Zugriff auf das Netzwerk jedoch nicht vollständig mindern kann.
Als Sicherheitsmassnahme soll Air Gapping eine potenziell undurchdringliche Barriere zwischen digitalen Assets, Netzwerken und potenziellen Bedrohungen wie Hackern, Malware, Insidern, Stromausfällen und Naturkatastrophen schaffen. Die Umsetzung beginnt mit der Erstellung eines separaten Netzwerks, das vollständig von allen externen Netzwerken und dem Internet getrennt ist. Diese Strategie beinhaltet die Isolierung digitaler Vermögenswerte von allen Netzwerkverbindungen und die Gewährleistung einer physischen Trennung, um unbefugten Zugriff zu verhindern. Ein Beispiel für eine extreme Massnahme zur Verhinderung des unbefugten Datenzugriffs ist die Lagerung von Sicherungsbändern in einer sicheren Einrichtung wie einem Salzbergwerk. Air-Gaps dienen zwei primären Sicherheitszwecken: der Abwehr von Netzwerkangriffen und dem Schutz digitaler Ressourcen vor Zerstörung, unbefugtem Zugriff oder Manipulation.
Operative Herausforderungen für Hochsicherheits-Umgebungen
Air-Gap-Netzwerke arbeiten ohne physische oder drahtlose Verbindungen zu externen Netzwerken und zum Internet und erfordern manuelle Datenübertragungen, um die Sicherheit zu erhöhen. Dieser Prozess erfordert zusätzliche Überprüfungsprotokolle, die vor der manuellen Datenübertragung angewendet werden, um sicherzustellen, dass die Daten nicht kompromittiert werden, wie z. B. Scannen, Überprüfung digitaler Signaturen, Datenbereinigung und vieles mehr. Dieser Ansatz erschwert jedoch die Wartung und den Betrieb, da die fehlende Konnektivität die Verwaltung von Software-Updates und die Synchronisierung von Daten erschwert. Trotz dieser Hindernisse werden isolierte Netzwerke häufig in Hochsicherheitsumgebungen wie Militär- und Finanzsystemen eingesetzt, um sensible Daten zu schützen.
Bei einer Air-Gapped-Netzwerkarchitektur werden kritische Anwendungen in isolierten Netzwerken untergebracht, die physisch von externen Netzwerken getrennt sind, wodurch sensible Daten und Transaktionen vor Cyber-Bedrohungen und unbefugtem Zugriff geschützt werden. Diese Strategie erhöht die Sicherheit, indem sie potenzielle Angriffsvektoren im Zusammenhang mit der Internetverbindung eliminiert und so Datenverletzungen, Betrug und andere Cyberangriffe verhindert.
In abgeschotteten Umgebungen erfolgt die Datenübertragung, das Einspielen von Patches und Updates über USB-Laufwerke, externe Medien oder andere Offline-Methoden (sneakernet), die eine sichere Handhabung/Verifizierung der physischen Medien erfordern, um die potenzielle Einschleusung von Malware in das abgeschottete Netzwerk zu verhindern. Die Verwaltung von Anwendungen und Systemen erfordert eine physische Verbindung zum internen Netzwerk. Obwohl abgeschottete Umgebungen sicherer sind, gelten sie im Allgemeinen als anspruchsvoller und kostspieliger in der Verwaltung.
Was ist, wenn Cyberrisiken in Air-Gapped Netzwerken noch bestehen?
Air-Gap-Angriffe treten in Umgebungen auf, in denen Arbeits- und Internetnetzwerke physisch voneinander getrennt sind, was als Netzwerktrennung bezeichnet wird und interne Informationen vor externen Eingriffen schützen soll. Die Netzwerktrennung, die in physische und logische Trennung unterteilt ist, bildet die Basisumgebung für Air-Gap-Angriffe, bei denen häufig Seitenkanalverfahren zum Einsatz kommen, die Timing-Informationen, Strom und elektromagnetische Signale nutzen.
Trotz der potenziell höheren Sicherheit aufgrund der fehlenden Kommunikation mit Externen Netzwerken sind Daten und Netzwerke hinter Air-Gaps leider immer noch verschiedenen Cyberrisiken ausgesetzt:
1. Insider-Angriffe: Böswillige Insider mit Zugriff auf das Netzwerk können die Sicherheit absichtlich gefährden, indem sie Malware einschleusen oder sensible Daten stehlen.
2. Physische Angriffe: Angreifer könnten physisch in die Einrichtung eindringen, in der sich das Netzwerk befindet, ohne eine Internetverbindung, um schädliche Geräte zu installieren oder Daten zu stehlen.
3. Angriffe über das Mobilfunknetz: Ausgefeilte Methoden wie die Ausnutzung elektromagnetischer Emissionen oder akustischer Signale können möglicherweise abgeschirmte Umgebungen durchdringen.
4. Angriffe über die Supply-Chain: Schadsoftware kann über Hardware, z. B. Router, oder manipulierte Software eingeschleust werden und Schwachstellen des jeweiligen Herstellers ausnutzen, um Zugriff auf die isolierte Umgebung zu erhalten.
5. Menschliches Versagen: Fehler bei der manuellen Datenübertragung, wie die Verwendung infizierter Medien, können unbeabsichtigt Schwachstellen oder Malware in das Netzwerk einschleusen.
Zwischen-Fazit:
Air-Gapping ist eine Sicherheitsmassnahme, die digitale Ressourcen vor potenziellen Bedrohungen schützt, indem sie physisch von allen Netzwerkverbindungen isoliert werden. Air-Gapped-Netzwerke sind isolierte Systeme, die physisch von anderen Netzwerken getrennt sind, um jeglichen Zugriff von aussen zu verhindern und sensible Informationen zu schützen.
Die Bereitstellung in einem abgeschotteten Netzwerk bezieht sich auf die Implementierung eines Systems oder einer Anwendung in einem abgeschotteten Netzwerk, um maximale Sicherheit zu gewährleisten, indem die Verbindung zu externen Netzwerken unterbunden wird. Dies erfordert physische Barrieren/Schutzmassnahmen sowie eine Netzwerkisolierung. Die Bereitstellung in dieser Umgebung ist für die Einhaltung von Vorschriften in allen Branchen von entscheidender Bedeutung, da sie die Sicherheit kritischer Infrastrukturen und Datenspeicher erhöht. Im Rahmen der DSGVO speichern abgeschottete Netzwerke personenbezogene Daten sicher, verhindern unbefugten Zugriff und unterstützen die Einhaltung der Vorschriften durch die Durchsetzung eines strengen Zugriffsmanagements. Im Rahmen der HIPAA Regularien beschränken Systeme mit Air-Gap den Zugriff auf geschützte Gesundheitsdaten und stellen sicher, dass nur physischer Zugriff möglich ist. Diese Systeme bieten auch umfassende Prüfprotokolle und Zugriffsprotokolle, die für die Einhaltung der Vorschriften unerlässlich sind. Durch die Isolierung sensibler Daten von Netzwerkverbindungen hilft Air-Gap Organisationen dabei, die gesetzlichen Standards einzuhalten und sich vor Datenverletzungen zu schützen.
Erkennen von Insider-Bedrohungen mit Behavioral Analytics: Ein KI-basiertes System zur Verbesserung der Sicherheit von isolierten Netzwerken
Ein KI-basiertes Netzwerkerkennungssystem kann helfen, Cyberrisiken in isolierten Netzwerken zu minimieren, indem es Verhaltensmuster von Nutzern analysiert, um Insider-Bedrohungen zu erkennen. Gerade bei der Verhaltensanalyse: Das KI-System überwacht ständig die typischen Verhaltensmuster von Nutzern und Geräten im Netzwerk, wie etwa die üblichen Anmeldezeiten, Datenzugriffsgewohnheiten und Dateiübertragungsaktivitäten, und lernt daraus. Durch die Erstellung einer Baseline für das normale Verhalten kann die KI Abweichungen von dieser Norm erkennen. Wenn beispielsweise ein Mitarbeiter oder ein Gerät, das normalerweise auf bestimmte Dateien zugreift, plötzlich zu ungewöhnlichen Zeiten auf sensible oder eingeschränkte Daten zugreift, wird dies von der KI als Anomalie gemeldet. Wenn die KI verdächtige Aktivitäten wie ungewöhnliche Datenzugriffe oder grosse Datenübertragungen erkennt, die von den üblichen Mustern abweichen, wird das Sicherheitsteam sofort benachrichtigt. Je mehr Daten das KI-System im Laufe der Zeit sammelt, desto genauer kann es zwischen harmlosen Anomalien und echten Bedrohungen unterscheiden, wodurch die Anzahl der Fehlalarme reduziert und die allgemeine Sicherheit verbessert wird.
Durch die proaktive Erkennung ungewöhnlicher Verhaltensweisen, die auf böswillige Aktivitäten von Insidern hindeuten, erhöht ein KI-gestütztes Netzwerkerkennungssystem die Sicherheit von Netzwerken trotz Air-Gapping erheblich und trägt auf verschiedene Weise dazu bei, Cyberrisiken in isolierten Netzwerken zu minimieren, insbesondere in Bezug auf die folgenden Szenarien:
Bedrohungen durch Insider: KI analysiert Verhaltensmuster von Benutzern und Geräten, um Anomalien zu erkennen, die auf potenzielle Bedrohungen hinweisen, wie z. B. ungewöhnliche Datenzugriffs- oder Übertragungsaktivitäten, und benachrichtigt die Benutzer über diese Anomalien.
Physische Angriffe: KI-basierte Überwachungs- und Kontrollsysteme können auch die physische Sicherheit verbessern, indem sie unbefugte Zugriffe, Bewegungen oder andere ungewöhnliche Aktivitäten im Netzwerk erkennen und so dazu beitragen, physische Infiltrationen zu identifizieren.
Angriffe über die Supply-Chain: KI kann die Integrität von Hardware und Software überprüfen, bevor diese in die geschützte Umgebung gelangen, und potenzielle Bedrohungen für die Supply-Chain identifizieren und eindämmen. Wenn beispielsweise Schwachstellen in der Hardware oder Software des abgeschirmten Netzwerks, die von Malware ausgenutzt werden, versuchen, sich lateral im Netzwerk zu bewegen oder einen Command-and-Control-Kanal (C&C) einzurichten und mit diesem zu kommunizieren, kann ein KI-basiertes Sicherheitssystem dies erkennen.
Menschliche Fehler: KI kann den Datentransferprozess im Netzwerk unterstützen, indem sie Medien auf Malware scannt und überprüft, bevor sie in das Netzwerk gelangen, und so das Risiko einer versehentlichen Kontamination verringert. Darüber hinaus kann KI in Echtzeit Anweisungen und Überprüfungen bereitstellen, um sicherzustellen, dass Datentransfers sicher abgewickelt werden.
Bringen Sie etwas Intelligenz in die Luft:
Die Implementierung eines Cybersicherheitstools über Air-Gap ist eine Option für viele sensible Branchen, in denen die Zugriffskontrolle und Authentifizierung zu Datenschutz und Compliance führen und den unbefugten Zugriff auf das Cybersicherheitstoolsystem innerhalb des Air-Gapped Netzwerks verhindern sollten, insbesondere im Hinblick auf die Speicherung und Verarbeitung sensibler Netzwerkdaten innerhalb einer Air-Gap Umgebung.
Um eine Cyber-Sicherheitslösung in ein Netzwerk ohne Internetverbindung zu implementieren, müssen Organisationen zunächst eine Bewertung und Planung durchführen, bei der sie kritische Vermögenswerte und Infrastrukturen ermitteln, die von einer Internetabschaltung profitieren könnten. Die Netzwerkarchitektur muss so konzipiert werden, dass eine physische Isolierung gewährleistet ist, und es müssen strenge Zugriffskontrollmechanismen integriert werden. Während der Implementierung muss das Netzwerk ohne physische oder drahtlose Verbindungen aufgebaut und installiert werden, und für die Datenübertragung müssen verschlüsselte Methoden verwendet werden. Es müssen Protokolle für die Datenverarbeitung festgelegt werden, indem strenge Richtlinien für die Datenübertragung definiert und durchgesetzt werden, wie z. B. die Verwendung von gesäuberten und verifizierten physischen Medien. Schliesslich muss das Netzwerk regelmässig aktualisiert und mit Patches versehen werden. Ausserdem sind regelmässige Sicherheitsprüfungen durchzuführen, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten.
Um die Sicherheit und Compliance zu gewährleisten, können zusätzliche Datendioden verwendet werden, um physisch einen oneway-Datenpfad zu erzwingen, der sicherstellt, dass Informationen nur in eine Richtung fliessen können. So sollen Daten aus dem sicheren Netzwerk gesendet werden können (ausgehend), aber keine Daten in das Netzwerk gelangen können (eingehend).
Tools wie ExeonTrace, ein KI basiertes NDR gewährleisten die Effektivität trotz fehlender Internetverbindung. Mit seinen vorbereiteten Modellen wählen Kunden KI-Modelle und -Algorithmen, die effektiv mit den in der Air-Gap-Umgebung (vor-)gesammelten Netzwerkmetadaten arbeiten können, ohne dass für Updates oder Schulungen ein ständiger Internetzugang erforderlich ist. Es ist weder der Einsatz von Netzwerksensoren zur Erfassung des Netzwerkverkehrs und der Metadaten noch eine Verbindung zu externen Servern erforderlich.
Die KI-Modelle von ExeonTrace, die in der Air-Gapped-Umgebung eingesetzt werden, stellen sicher, dass ihre Modelle ordnungsgemäss konfiguriert und für die spezifische Netzwerkarchitektur und die Verkehrsmuster optimiert sind. Die erfassten Netzwerkdaten werden in der Air-Gapped-Umgebung vorverarbeitet. Dazu gehören die Bereinigung, Aggregation und Strukturierung der Daten, um sie für die KI-Analyse vorzubereiten. Die Algorithmen werden mithilfe von vorab trainierten KI-Algorithmen zur Analyse von Netzwerkdaten und zur Erkennung von Anomalien, Eindringlingen oder verdächtigen Aktivitäten implementiert, um Muster zu identifizieren, die auf Cyberbedrohungen hinweisen, ohne auf externe Datenquellen angewiesen zu sein. Anschliessend werden Mechanismen entwickelt, um Warnungen und Benachrichtigungen auf der Grundlage der von der KI erkannten Bedrohungen zu generieren. So wird sichergestellt, dass die Warnmeldungen innerhalb der abgeschotteten Umgebung verwaltet und beantwortet werden können, wobei eine Integration in andere lokale Sicherheitsmanagementsysteme möglich ist. Ausserdem kann die Leistung des KI-gestützten Cybersicherheitstools innerhalb der abgeschotteten Umgebung permanent überwacht und seine Effektivität bei der Erkennung und Reaktion auf Bedrohungen anhand von historischen Daten und realen Vorfällen bewertet und verbessert werden.
Author:
Connor Wood
Cyber Security Engineer
email:
connor.wood@exeon.com
Share:
Published on:
04.07.2024