A kiberbiztonság soha nem volt egyszerű feladat, de a kritikus infrastruktúrával foglalkozó ágazatokban a védelmi szakemberek teljesen saját kategóriában mozognak.
Először is ott vannak az ellenfelek, akik nem olyan alkalmi bűnözők, akik gyors hasznot akarnak szerezni.
Olyan államilag támogatott csoportokról van szó, amelyek kormányzati forrásokból működnek, illetve szervezett kiberbűnözői hálózatokról, amelyek céljai a zsarolóvírusoktól a hosszú távú kémkedésig terjednek.
Azt mondani, hogy nagy a tét, enyhe kifejezés lenne; az FBI 2024-es internetes bűnözésről szóló jelentése több mint 4 800 panaszt rögzített a kritikus infrastruktúrát működtető szervezetektől. Ez talán nem tűnik nagy számnak, amíg nem tekintjük egy egész évre vetítve; statisztikai szempontból ez a szám napi 13 támadást jelenthet, vagyis kettőóránként egyet. Kifejezetten a védelmi szervezetek esetében egy sikeres támadás közvetlenül alááshatja a nemzeti szuverenitást.
Nem meglepő, hogy egy ilyen súlyos fenyegetési környezetben szigorú, nem megkerülhető megfelelési keretrendszerek érvényesülnek, mint például az Egyesült Királyságban működő NCSC (Nemzeti Kiberbiztonsági Központ).
Ugyanakkor az NCSC előírásainak megfelelő biztonsági megoldásokat a rendszer egészére ki kell terjeszteni. A védelmi szervezetek többszintű felépítésűek, ezért védelmüknek modulárisnak kell lennie, és a szervezet egészére ki kell terjednie, nem csupán azokra a területekre, ahol először felmerült az igény.
Éppen ebben a kontextusban lépett partnerségre egy vezető NATO-tengerészeti erő OPSWAT egyértelmű OPSWAT : egy tanúsított, az NCSC-nek megfelelő CDS (Cross Domain Solution) kifejlesztése, amely egy hadosztálynál nagyobb léptékben is alkalmazható, és alapul szolgálhat a széles körű bevezetéshez.
Skálázható CDS-architektúra tervezése több fájltípus és ág számára, szabályozási rugalmasság nélkül
Ügyfelünk olyan kihívással szembesült, amely eleinte megoldhatatlannak tűnt.
CDS-megoldás kidolgozása a különböző besorolási szintek közötti IMPEX (import/export) adatáramlásokhoz, az NCSC szigorú hálózati elválasztási követelményeinek betartásával. A megoldásnak skálázhatónak és több védelmi ágazatban is megismételhetőnek kellett lennie, számos fájltípust kellett támogatnia, valamint a kiberfenyegetésekkel szemben a lehető legmagasabb szintű ellenállóképességet kellett biztosítania.
Vessünk egy pillantást az egyes rétegekre sorban.
Nem létezett jóváhagyott IMPEX doménközi átjáró
A kormányzati és védelmi intézményeken belüli titkosított hálózatokhoz hivatalosan jóváhagyott szabályokra van szükség az IMPEX-adatáramlásokra vonatkozóan, amelyek végrehajtását egy IMPEX Cross Domain Gateway biztosítja. Ez kezdetben nem volt jelen ügyfelünk rendszereiben.
A gyakorlatban ez azt jelenti, hogy az IMPEX-műveletekre egyáltalán nem létezett jóváhagyott digitális folyamat. Ennek hiányában az ügyfél nem tudta az adatokat nyomon követhető, ellenőrzésre alkalmas módon átvinni a besorolási határok között.
A különböző fájltípusok támogatásához szükséges ellenőrzési képességek
Különböző biztonsági besorolású hálózatokon keresztül számos adattípus áramlott: a felhasználói fájlok, a biztonsági javítások, a hardveres firmware-frissítések, a konténeres alkalmazások és az egyedi katonai szoftverek mind át kellett, hogy haladjanak ugyanazon a határon. Az adatokat alaposan ellenőrizni kellett, hogy biztosítani lehessen: semmilyen rosszindulatú elem ne tudjon behatolni a szigorúan titkos környezetekbe.
Minél nagyobb és összetettebb azonban az adatállomány, annál nehezebb ellenőrizni, hogy tiszták-e az adatok. Bizonyos fájltípusokat nem lehetett szokványos dokumentumként kezelni. A javítófájlok, telepítőprogramok, firmware-ek, szkriptek és egyedi katonai szoftverek esetében viselkedésalapú ellenőrzésre volt szükség, mivel a statikus vizsgálat önmagában nem tudta bizonyítani, hogy ezek hogyan viselkednének, ha egyszer titkosított környezetbe kerülnének. Ugyanakkor a lefedettség bármilyen hiányossága veszélybe sodorhatta volna magát a határt is.
A szigorú előírások miatt elengedhetetlen a hálózatok teljes elválasztása
Az NCSC-keretrendszer szigorú szabályokat ír elő arra vonatkozóan, hogy az adatok hogyan mozoghatnak a besorolási szintek között. Ennek központi elemei a SEF-ek (Security Enforcing Functions, biztonsági érvényesítő funkciók): olyan biztonsági ellenőrzések, amelyek a rosszindulatú szoftverek észlelésétől a formátum-ellenőrzésig mindenre kiterjednek.
Az NCSC keretében működő ügyfélnek szigorú szabályokat kellett megállapítania a hálózatok elválasztására vonatkozóan (SECRET/OPEN besorolás). A titkosított és a nem titkosított környezetek között semmilyen kommunikáció nem történhet, a CDS Gateway pedig feltétlen gátként működik.
Ha a SEF-ek ellenőrzésén nem sikerül megfelelni, az akár egy rosszindulatú fájl bejutását eredményezheti egy titkosított hálózatba, akár érzékeny adatok kiszivárogtatását is.
Olyan megoldás kidolgozása, amely szélesebb körű alkalmazásra alkalmas
A cél soha nem csupán egy-egy probléma megoldása volt.
A kormányzati szervezet több ágazatot, ügynökséget, telephelyet és parancsnokságot ölel fel, és az ügyfél által bevezetett Cross Domain megoldásnak mindegyikben működnie kellett.
Ha valami csak egy adott kontextusban működne, az a szervezeti egység egy másik részét ugyanolyan hiányossággal szembesítené. Az ügyfélnek olyan rendszert kellett kiépítenie, amely egységes szabványként szolgálhat, és kiterjeszthető a szervezet egészére.
Amikor nincs helye a hibának: egy réteges, NCSC-tanúsítvánnyal rendelkező, több területet átfogó architektúra
Az ügyfél által felvetett kihívást nem lehetett egyetlen termékkel megoldani.
Ehelyett OPSWAT egy sokrétű architektúrát OPSWAT , amelyet számos termék és technológia támogat, és amelyben minden réteg a tágabb cél elérése érdekében működik: annak biztosítása, hogy semmi se lépje át ellenőrizetlenül a besorolási határt.
Fizikai hálózati elválasztás a MetaDefender Optical DiodeDiode™ segítségével
Az architektúra alapját a hardveres adatdiódák képezték, amelyek hálózati szinten biztosítják az egyirányú adatáramlást. A szoftveralapú vezérlőelemekkel ellentétben – amelyeket helytelenül lehet beállítani vagy megkerülni – a hardveres dióda fizikailag lehetetlenné teszi a visszaáramlást.
A fizikai korlátok garantálják az NCSC által előírt, a SECRET és az OPEN hálózatok közötti abszolút elválasztást.
A MetaDefender Optical Diode hogy biztonságos, hardveresen érvényesített egyirányú adatátvitelt tegyen lehetővé az IT- és az OT-hálózatok között, így fizikailag lehetetlenné téve, hogy az alacsonyabb biztonsági besorolású szintekről forgalom jutjon el a védett környezetekbe.
Többszintű fájlkezelés a MetaDefender Core™ platformon keresztül
MetaDefender Core minden, a határt átlépő fájlt elfog és ellenőrzi, az ellenőrzés részletességét pedig a célkörnyezethez igazítja.
A SECRET hálózatba érkező fájlok a teljes rendszeren haladnak át: többféle multiscanning az észlelési arány növelése érdekében, valamint a Deep CDR™ technológiával eltávolítják az esetleges rejtett fenyegetéseket. Az Adaptive Sandbox emulációalapú dinamikus elemzéstSandbox a gyanús fájlokra, így a felderítést elkerülő kártevő programok kénytelenek olyan viselkedést tanúsítani, amely statikus vizsgálat vagy hagyományos virtuális gépen alapuló sandbox-tesztelés során nem feltétlenül derülne ki.
Az alacsonyabb biztonsági besorolású környezetekbe áthelyezett fájlokat kizárólag több kártevőellenes motorral vizsgálják át, így biztosítva az összes adatáramlás során az egységes védelmet.
MetaDefender Core OPSWATfejlett fenyegetés-felismerő és -megelőző platformja, amely a Deep CDR™ technológiát, a Metascan™ Multiscanning ésSandbox Adaptive Sandbox ötvözi a kritikus infrastruktúrában zajló fájlkezelési folyamatok biztonságánakSandbox .
Automatizált fájlátvitel a MetaDefender Managed File TransferTransfer™ technológiával
A MetaDefender Managed File Transfer automatizálja az ügyfél által kezelt valamennyi különböző adattípus importálását és exportálását, ezzel szabályozott, ellenőrizhető adatáramlási folyamatot hozva létre.
Semmi sem mozog kézzel, semmi sem mozog nyomon követés nélkül, és semmi sem kerüli meg az ellenőrzési szinteket.
Managed File Transfer MetaDefender Managed File Transfer szabályalapú ellenőrzéseket és integrált fenyegetésmegelőzéstManaged File Transfer az érzékeny fájlok szervezetek, rendszerek vagy biztonsági zónák közötti biztonságos továbbításához.
NCSC-tanúsított architektúra
Az OPSWATtermékeire épülő architektúra megfelel az NCSC által a doménközi adatáramlásokra vonatkozóan meghatározott biztonsági mintáknak. Ez lett az első kormányzati tanúsítvánnyal rendelkező IMPEX-megoldás, ami azt jelenti, hogy a szervezet más szervezeti egységeiben is egységes szabványként alkalmazható anélkül, hogy a rendszert a nulláról kellene újratervezni.
Egyszer megépíteni, jól megépíteni, majd napi 1 millió feletti fájlszámra bővíteni
Lényegében a CDS arról szól, hogy a megfelelő elemeket olyan rendszerré állítsuk össze, amely a legszigorúbb szabályozásoknak is megfelel, minden fájltípusra kiterjed, és a valós védelmi műveletek által megkövetelt méretarányban működik.
A környezet kegyetlen: kifinomult, rendkívül motivált ellenfelek, zéró tolerancia a szabályszegésekkel szemben, és nincs helye hibáknak.
Ügyfelünk számára a nagy léptékű CDS-kezelés már megoldott feladat. Közösen létrehoztunk egy tanúsított, moduláris architektúrát, amely napi több mint egymillió fájl feldolgozására is képes.
Ha ez egyszerűnek tűnik, az csak azért van, mert OPSWAT több mint húsz éve a fájlbiztonságra OPSWAT , méghozzá a kritikus infrastruktúra legigényesebb környezeteiben is.
Akár hasonló, több területet érintő kihívással szembesül a vállalata, akár egy általánosabb, a kritikus infrastruktúrával kapcsolatos fájlbiztonsági problémával, OPSWAT a szükséges tapasztalattal, hogy segítsen; beszéljük meg!
