Nicht nur Love Is in the Air

Air-Gapping ist eine Sicherheitsmassnahme, die digitale Ressourcen und Netzwerke von externen Verbindungen isoliert, um sie vor Hackern, Malware und anderen Bedrohungen zu schützen, indem eine undurchdringliche Barriere geschaffen wird. Es hat seine Vorteile, aber auch seine (Sicherheits-)Probleme, und für eine Cybersicherheitslösung müssen die richtigen Lösungen und Einstellungen gefunden werden.

Von der Network Protection bis zum Deplyoment: Air Gapping im Einsatz

Network Air Gapping

Durch die Network Air Gapping-Methode wird ein isoliertes Netzwerk erstellt, das vom Internet getrennt ist, wodurch die Sicherheit erhöht und unbefugter Zugriff verhindert wird. Diese Methode, die in Hochsicherheitsumgebungen wie Militär- und Finanzen-Systemen üblich ist, erschwert die Datenübertragung, Wartung und Aktualisierung, die manuell durchgeführt werden müssen, was erhebliche betriebliche Herausforderungen mit sich bringt.

Deployment Air Gapping

Beim Einsatz von Air Gapping werden kritische Applikationen in isolierten, physisch getrennten Netzwerken platziert, um sensible Daten vor externen Cyber-Bedrohungen zu schützen. Diese Server werden häufig in Banken, im Gesundheitswesen und in Versorgungsunternehmen eingesetzt und sind nur physisch zugänglich. Die Datenverarbeitung erfolgt über USB, externe Medien oder physische Plug-ins.

Virtual Air Gapping

Beim virtuellen Air-Gapping werden Aktivitäten und Geräte mithilfe separater virtueller Maschinen (VMs) isoliert, wodurch eine höhere Sicherheit als bei Firewalls und Antiviren-Software gewährleistet wird. Für das Surfen im Internet, den Zugriff auf das Unternehmensnetzwerk und die Ausführung vertraulicher Aufgaben werden unterschiedliche VMs verwendet. Diese Methode vermeidet die Ineffizienz physischer Air-Gaps und trennt das Unternehmensnetzwerk effektiv vom Internet und sensiblen Daten.

Als Sicherheitsmassnahme soll Air Gapping eine potenziell undurchdringliche Barriere zwischen digitalen Assets, Netzwerken und potenziellen Bedrohungen wie Hackern, Malware, Insidern, Stromausfällen und Naturkatastrophen schaffen. Die Umsetzung beginnt mit der Erstellung eines separaten Netzwerks, das vollständig von allen externen Netzwerken und dem Internet getrennt ist. Diese Strategie beinhaltet die Isolierung digitaler Vermögenswerte von allen Netzwerkverbindungen und die Gewährleistung einer physischen Trennung, um unbefugten Zugriff zu verhindern. Ein Beispiel für eine extreme Massnahme zur Verhinderung des unbefugten Datenzugriffs ist die Lagerung von Sicherungsbändern in einer sicheren Einrichtung wie einem Salzbergwerk. Air-Gaps dienen zwei primären Sicherheitszwecken: der Abwehr von Netzwerkangriffen und dem Schutz digitaler Ressourcen vor Zerstörung, unbefugtem Zugriff oder Manipulation.

Operative Herausforderungen für Hochsicherheits-Umgebungen

Air-Gap-Netzwerke arbeiten ohne physische oder drahtlose Verbindungen zu externen Netzwerken und zum Internet und erfordern manuelle Datenübertragungen, um die Sicherheit zu erhöhen. Dieser Prozess erfordert zusätzliche Überprüfungsprotokolle, die vor der manuellen Datenübertragung angewendet werden, um sicherzustellen, dass die Daten nicht kompromittiert werden, wie z. B. Scannen, Überprüfung digitaler Signaturen, Datenbereinigung und vieles mehr. Dieser Ansatz erschwert jedoch die Wartung und den Betrieb, da die fehlende Konnektivität die Verwaltung von Software-Updates und die Synchronisierung von Daten erschwert. Trotz dieser Hindernisse werden isolierte Netzwerke häufig in Hochsicherheitsumgebungen wie Militär- und Finanzsystemen eingesetzt, um sensible Daten zu schützen.

Bei einer Air-Gapped-Netzwerkarchitektur werden kritische Anwendungen in isolierten Netzwerken untergebracht, die physisch von externen Netzwerken getrennt sind, wodurch sensible Daten und Transaktionen vor Cyber-Bedrohungen und unbefugtem Zugriff geschützt werden. Diese Strategie erhöht die Sicherheit, indem sie potenzielle Angriffsvektoren im Zusammenhang mit der Internetverbindung eliminiert und so Datenverletzungen, Betrug und andere Cyberangriffe verhindert.

In abgeschotteten Umgebungen erfolgt die Datenübertragung, das Einspielen von Patches und Updates über USB-Laufwerke, externe Medien oder andere Offline-Methoden (sneakernet), die eine sichere Handhabung/Verifizierung der physischen Medien erfordern, um die potenzielle Einschleusung von Malware in das abgeschottete Netzwerk zu verhindern. Die Verwaltung von Anwendungen und Systemen erfordert eine physische Verbindung zum internen Netzwerk. Obwohl abgeschottete Umgebungen sicherer sind, gelten sie im Allgemeinen als anspruchsvoller und kostspieliger in der Verwaltung.

Was ist, wenn Cyberrisiken in Air-Gapped Netzwerken noch bestehen?

Air-Gap-Angriffe treten in Umgebungen auf, in denen Arbeits- und Internetnetzwerke physisch voneinander getrennt sind, was als Netzwerktrennung bezeichnet wird und interne Informationen vor externen Eingriffen schützen soll. Die Netzwerktrennung, die in physische und logische Trennung unterteilt ist, bildet die Basisumgebung für Air-Gap-Angriffe, bei denen häufig Seitenkanalverfahren zum Einsatz kommen, die Timing-Informationen, Strom und elektromagnetische Signale nutzen.

Trotz der potenziell höheren Sicherheit aufgrund der fehlenden Kommunikation mit Externen Netzwerken sind Daten und Netzwerke hinter Air-Gaps leider immer noch verschiedenen Cyberrisiken ausgesetzt:

1. Insider-Angriffe: Böswillige Insider mit Zugriff auf das Netzwerk können die Sicherheit absichtlich gefährden, indem sie Malware einschleusen oder sensible Daten stehlen.

2. Physische Angriffe: Angreifer könnten physisch in die Einrichtung eindringen, in der sich das Netzwerk befindet, ohne eine Internetverbindung, um schädliche Geräte zu installieren oder Daten zu stehlen.

3. Angriffe über das Mobilfunknetz: Ausgefeilte Methoden wie die Ausnutzung elektromagnetischer Emissionen oder akustischer Signale können möglicherweise abgeschirmte Umgebungen durchdringen.

4. Angriffe über die Supply-Chain: Schadsoftware kann über Hardware, z. B. Router, oder manipulierte Software eingeschleust werden und Schwachstellen des jeweiligen Herstellers ausnutzen, um Zugriff auf die isolierte Umgebung zu erhalten.

5. Menschliches Versagen: Fehler bei der manuellen Datenübertragung, wie die Verwendung infizierter Medien, können unbeabsichtigt Schwachstellen oder Malware in das Netzwerk einschleusen.

Erkennen von Insider-Bedrohungen mit Behavioral Analytics: Ein KI-basiertes System zur Verbesserung der Sicherheit von isolierten Netzwerken

Ein KI-basiertes Netzwerkerkennungssystem kann helfen, Cyberrisiken in isolierten Netzwerken zu minimieren, indem es Verhaltensmuster von Nutzern analysiert, um Insider-Bedrohungen zu erkennen. Gerade bei der Verhaltensanalyse: Das KI-System überwacht ständig die typischen Verhaltensmuster von Nutzern und Geräten im Netzwerk, wie etwa die üblichen Anmeldezeiten, Datenzugriffsgewohnheiten und Dateiübertragungsaktivitäten, und lernt daraus. Durch die Erstellung einer Baseline für das normale Verhalten kann die KI Abweichungen von dieser Norm erkennen. Wenn beispielsweise ein Mitarbeiter oder ein Gerät, das normalerweise auf bestimmte Dateien zugreift, plötzlich zu ungewöhnlichen Zeiten auf sensible oder eingeschränkte Daten zugreift, wird dies von der KI als Anomalie gemeldet. Wenn die KI verdächtige Aktivitäten wie ungewöhnliche Datenzugriffe oder grosse Datenübertragungen erkennt, die von den üblichen Mustern abweichen, wird das Sicherheitsteam sofort benachrichtigt. Je mehr Daten das KI-System im Laufe der Zeit sammelt, desto genauer kann es zwischen harmlosen Anomalien und echten Bedrohungen unterscheiden, wodurch die Anzahl der Fehlalarme reduziert und die allgemeine Sicherheit verbessert wird.

Durch die proaktive Erkennung ungewöhnlicher Verhaltensweisen, die auf böswillige Aktivitäten von Insidern hindeuten, erhöht ein KI-gestütztes Netzwerkerkennungssystem die Sicherheit von Netzwerken trotz Air-Gapping erheblich und trägt auf verschiedene Weise dazu bei, Cyberrisiken in isolierten Netzwerken zu minimieren, insbesondere in Bezug auf die folgenden Szenarien:

• Bedrohungen durch Insider: KI analysiert Verhaltensmuster von Benutzern und Geräten, um Anomalien zu erkennen, die auf potenzielle Bedrohungen hinweisen, wie z. B. ungewöhnliche Datenzugriffs- oder Übertragungsaktivitäten, und benachrichtigt die Benutzer über diese Anomalien.

• Physische Angriffe: KI-basierte Überwachungs- und Kontrollsysteme können auch die physische Sicherheit verbessern, indem sie unbefugte Zugriffe, Bewegungen oder andere ungewöhnliche Aktivitäten im Netzwerk erkennen und so dazu beitragen, physische Infiltrationen zu identifizieren.

• Angriffe über die Supply-Chain: KI kann die Integrität von Hardware und Software überprüfen, bevor diese in die geschützte Umgebung gelangen, und potenzielle Bedrohungen für die Supply-Chain identifizieren und eindämmen. Wenn beispielsweise Schwachstellen in der Hardware oder Software des abgeschirmten Netzwerks, die von Malware ausgenutzt werden, versuchen, sich lateral im Netzwerk zu bewegen oder einen Command-and-Control-Kanal (C&C) einzurichten und mit diesem zu kommunizieren, kann ein KI-basiertes Sicherheitssystem dies erkennen.

• Menschliche Fehler: KI kann den Datentransferprozess im Netzwerk unterstützen, indem sie Medien auf Malware scannt und überprüft, bevor sie in das Netzwerk gelangen, und so das Risiko einer versehentlichen Kontamination verringert. Darüber hinaus kann KI in Echtzeit Anweisungen und Überprüfungen bereitstellen, um sicherzustellen, dass Datentransfers sicher abgewickelt werden.

Bringen Sie etwas Intelligenz in die Luft:

Die Implementierung eines Cybersicherheitstools über Air-Gap ist eine Option für viele sensible Branchen, in denen die Zugriffskontrolle und Authentifizierung zu Datenschutz und Compliance führen und den unbefugten Zugriff auf das Cybersicherheitstoolsystem innerhalb des Air-Gapped Netzwerks verhindern sollten, insbesondere im Hinblick auf die Speicherung und Verarbeitung sensibler Netzwerkdaten innerhalb einer Air-Gap Umgebung.

Um eine Cyber-Sicherheitslösung in ein Netzwerk ohne Internetverbindung zu implementieren, müssen Organisationen zunächst eine Bewertung und Planung durchführen, bei der sie kritische Vermögenswerte und Infrastrukturen ermitteln, die von einer Internetabschaltung profitieren könnten. Die Netzwerkarchitektur muss so konzipiert werden, dass eine physische Isolierung gewährleistet ist, und es müssen strenge Zugriffskontrollmechanismen integriert werden. Während der Implementierung muss das Netzwerk ohne physische oder drahtlose Verbindungen aufgebaut und installiert werden, und für die Datenübertragung müssen verschlüsselte Methoden verwendet werden. Es müssen Protokolle für die Datenverarbeitung festgelegt werden, indem strenge Richtlinien für die Datenübertragung definiert und durchgesetzt werden, wie z. B. die Verwendung von gesäuberten und verifizierten physischen Medien. Schliesslich muss das Netzwerk regelmässig aktualisiert und mit Patches versehen werden. Ausserdem sind regelmässige Sicherheitsprüfungen durchzuführen, um die Einhaltung der Sicherheitsrichtlinien zu gewährleisten.

Um die Sicherheit und Compliance zu gewährleisten, können zusätzliche Datendioden verwendet werden, um physisch einen oneway-Datenpfad zu erzwingen, der sicherstellt, dass Informationen nur in eine Richtung fliessen können. So sollen Daten aus dem sicheren Netzwerk gesendet werden können (ausgehend), aber keine Daten in das Netzwerk gelangen können (eingehend).

Tools wie ExeonTrace, ein KI basiertes NDR gewährleisten die Effektivität trotz fehlender Internetverbindung. Mit seinen vorbereiteten Modellen wählen Kunden KI-Modelle und -Algorithmen, die effektiv mit den in der Air-Gap-Umgebung (vor-)gesammelten Netzwerkmetadaten arbeiten können, ohne dass für Updates oder Schulungen ein ständiger Internetzugang erforderlich ist. Es ist weder der Einsatz von Netzwerksensoren zur Erfassung des Netzwerkverkehrs und der Metadaten noch eine Verbindung zu externen Servern erforderlich.

Die KI-Modelle von ExeonTrace, die in der Air-Gapped-Umgebung eingesetzt werden, stellen sicher, dass ihre Modelle ordnungsgemäss konfiguriert und für die spezifische Netzwerkarchitektur und die Verkehrsmuster optimiert sind. Die erfassten Netzwerkdaten werden in der Air-Gapped-Umgebung vorverarbeitet. Dazu gehören die Bereinigung, Aggregation und Strukturierung der Daten, um sie für die KI-Analyse vorzubereiten. Die Algorithmen werden mithilfe von vorab trainierten KI-Algorithmen zur Analyse von Netzwerkdaten und zur Erkennung von Anomalien, Eindringlingen oder verdächtigen Aktivitäten implementiert, um Muster zu identifizieren, die auf Cyberbedrohungen hinweisen, ohne auf externe Datenquellen angewiesen zu sein. Anschliessend werden Mechanismen entwickelt, um Warnungen und Benachrichtigungen auf der Grundlage der von der KI erkannten Bedrohungen zu generieren. So wird sichergestellt, dass die Warnmeldungen innerhalb der abgeschotteten Umgebung verwaltet und beantwortet werden können, wobei eine Integration in andere lokale Sicherheitsmanagementsysteme möglich ist. Ausserdem kann die Leistung des KI-gestützten Cybersicherheitstools innerhalb der abgeschotteten Umgebung permanent überwacht und seine Effektivität bei der Erkennung und Reaktion auf Bedrohungen anhand von historischen Daten und realen Vorfällen bewertet und verbessert werden.