Het klinkt al een klucht als u leest wat air gapping anno 2021 eigenlijk betekent en u weet dat er dit jaar wereldwijd 12,3 miljard geconnecteerde IoT-devices actief zijn (en 30 miljard tegen 2025). Wat is Air gapping?
An air gap, air wall, air gapping[1] or disconnected network is a network security measure employed on one or more computers to ensure that a secure computer network is physically isolated from unsecured networks, such as the public Internet or an unsecured local area network.[2] It means a computer or network has no network interface controllers connected to other networks,[3][4] with a physical or conceptual air gap, analogous to the air gap used in plumbing to maintain water quality.(Bron Wikipedia)
Een levensmiddelengigant in de UK - die liever anoniem blijft - heeft een eenvoudige manier gevonden om ransomware en virussen te vermijden: het koppelde het IT-systeem van de fabriek los van het internet. Geen verbinding betekent immers geen aanvallers. Deze aanpak staat bekend als ‘air gapping’. Zonder fysieke verbinding met de buitenwereld wordt de IT-stack geïsoleerd. Veiligheid gegarandeerd in theorie, maar is het een levensvatbare strategie?
“Overheidsinstanties zoals de CIA in de VS zijn begonnen met het aanbevelen van air gapping als onderdeel van een uitgebreid anti-ransomwareprogramma”, merkt Joe Sullivan, chief security officer bij websitebeveiligingsspecialist Cloudflare, op. "Air gapping bestaat als een beveiligings- en beschermingsconcept in bedrijfscontinuïteitsprogramma's al lang voordat de term 'ransomware' populair werd. Het is gebruikt als een typische manier om te beschermen tegen onbedoelde of kwaadaardige vernietiging van primaire gegevensbronnen en software door het maken van back-upkopieën, die offline worden opgeslagen.
"Air gapping groeide in de nasleep van de high-profileaanvallen op o.a. Saudi Aramco en Sony, waar software zoals het Shamoon wiper-virus gebruikt werd om gevoelige gegevens te wissen.”
Tegenwoordig is de motivatie om de stekker uit te trekken sterk. De FBI waarschuwt dat er meer dan 100 ransomware-strains in omloop zijn. In het tweede kwartaal van dit jaar werden er meer dan 300 miljoen aanvalspogingen opgevangen door één beveiligingsprovider alleen al, meer dan in heel 2020. De uitbetalingen in 2021 zouden het hele afgelopen decennium bij elkaar moeten overtreffen.
Er zijn echter goede redenen waarom air gapping nog steeds een sterke niche is: "Er is een oude grap in de beveiliging die zegt dat een computer alleen veilig is als die uitstaat. Helaas is dat waar gebleken. Elk systeem dat aanstaat en online is, wordt bedreigd", stelt Sullivan.
Het probleem van verouderde updates en gemis aan nieuwe cybertools
Een groot probleem met air gapping is dat systemen niet gemakkelijk kunnen worden bijgewerkt. Software-updates worden overgeslagen, waardoor het systeem kwetsbaar wordt. "Als systemen air gapped zijn, verdwijnt de prioriteit om te investeren in de implementatie van goede beveiligingscontroles", zegt Ehsan Foroughi, CTO bij Security Compass. "Systeemontwikkelaars worden te nonchalant en gaan vertrouwen op air gapping als hun verdediging."
Een van de oudste cybergrappen is dat een computer alleen veilig is als die uitstaat. Helaas is dat waar gebleken.
Vroeg of laat moet er een upgrade komen. Het systeem maakt verbinding met de buitenwereld en de blootstelling keert terug, alleen erger dan voorheen. Het onbeschermde systeem is kwetsbaar en mist maanden of jaren van upgrades en beveiligingspatches.
Dan is er ook nog de kwestie van menselijke fouten. Foroughi vertelt het verhaal van een Amerikaans overheidsnetwerk achter een air gap dat in opspraak kwam omdat een werknemer het te moeilijk vond om werk te blijven repliceren tussen twee onverbonden desktops, één verbonden met het air gap-netwerk en één met het internet. Dus verbond hij ze tijdelijk, waardoor de air gap werd verbroken en aanvallers over de brug konden springen naar het beschermde netwerk.
Is unplugged wel degelijk un(b)reachable
Bovendien stelt zich nog een probleem. Het is nogal verrassend dat een losgekoppeld systeem misschien toch niet geïsoleerd is.
Mordechai Guri is een academisch onderzoeker aan de Israëlische Ben-Gurion Universiteit van Negev en expert in het hacken van niet-verbonden systemen. In een recent artikel onthulde hij hoe hij de signalen van een gewone ethernetkabel kon lezen met behulp van een antenne van 1 dollar. De kabel lekt elektrisch informatie, die tot op tientallen meters afstand kan worden gelezen. Hij was ook in staat informatie uit te zenden.
De werkwijze van Guri vereist een directe fysieke aanval op een IT-systeem, waardoor het onwaarschijnlijk is dat Russische ransomware-schurken deze methode zullen toepassen. Maar Guri heeft een tiental andere manieren gevonden om verbinding te maken met luchtafgeschermde systemen door gelekte signalen op te pikken. Eén van zijn methoden bestaat uit het analyseren van de akoestische golfvorm, die door de CPU en de chassisventilatoren wordt uitgezonden om informatie te verzenden, die met 900 bits per uur wordt opgevangen op een mobiele telefoon in de buurt. Een langzame, maar bruikbare manier.
De enige verdediging tegen deze afluistertechniek is aanvallers op een fysieke afstand te houden of een kooi van Faraday te installeren, die elektromagnetische transmissies blokkeert. Maar zelfs dan is een fysieke aanval mogelijk. Hackers kunnen inbreken in een installatie en malware uploaden via een USB-stick. Aangenomen wordt dat het Iraanse nationale nucleaire programma op deze manier werd gecompromitteerd. O ja, het betrof een air-gapped systeem.
(Rogue RF Shielded Rack in Farady Cage)
Air gapping wordt ook geconfronteerd met de uitdaging van alternatieve beschermingsmethodes. Zero Trust-netwerken bijvoorbeeld bieden een verhoogde beveiliging zonder de nadelen. In een Zero Trust-omgeving kan alleen een geringe groep goedgekeurde apparaten verbinding maken. De toegang is beperkt in de tijd. Gebruikers hebben slechts toegang tot een beperkte subset van systemen. De filosofie is gebaseerd op de veronderstelling dat elke toegang een kwaadwillige zou kunnen zijn. Hhet is de bedoeling de straal binnen het interne netwerk te minimaliseren.
Er zijn ook One Way Links, waarbij gebruik wordt gemaakt van netwerkdiodes. Die zorgen er voor dat gegevens slechts in één richting door een systeem reizen. "Met eenrichtingscommunicatie zou je gegevens kunnen verzamelen vanuit een beveiligde, meestal door de lucht afgeschermde plaats zoals een kerncentrale," zegt Steve McGregory, senior director security R&D bij Keysight Technologies. "Dit zou voorkomen dat iemand via die verbinding in de kerncentrale kan komen."
Is er nog een toekomst voor air gapping?
Het onvermogen om air-gapped systemen te updaten betekent dat ze steeds zwakker worden. De kans op een onbedoelde verbinding of een doorbraak van de kloof is reëel. Bovendien is een ontkoppeld systeem beperkt in zijn mogelijkheden: geen e-mails, geen upgrades, geen gegevens delen met de buitenwereld,… Het is een hoge prijs die moet worden betaald.
Maar er is een nut. Back-ups zijn van vitaal belang in de strijd tegen ransomware, wanneer geïnfecteerde systemen moeten worden hersteld. Malware zal echter back-ups opsporen en infecteren. Een eenvoudige methode om ze te beschermen is ze in een met lucht afgesloten opslagruimte te plaatsen. Omslachtig, maar veilig.
"Air gapping is de enige echte verdediging tegen ransomware, die de grootste bedreiging blijft vormen voor informatiesystemen," zegt Tony Proctor, hoofddocent cybersecurity aan de Universiteit van Wolverhampton. "Veel organisaties hebben hun back-upsystemen online gehouden voor het gemak bij het kopiëren van de livegegevens. Als zodanig zijn ze zeer kwetsbaar voor ransomware. Air gapping betekent dat deze back-ups offline kunnen worden gehouden en niet worden aangetast door de ransomware."
Nu ransomware bendes zoals Evil Corp welig tieren, kunnen air gapping-backups de oplossing zijn. Het is niet perfect en tevens arbeidsintensief. Maar als het noodlot toeslaat, kan het de low-techoplossing blijken te zijn die uw bedrijf redt.
