Securitatea cibernetică nu a fost niciodată o provocare ușor de rezolvat, dar în sectoarele care gestionează infrastructuri critice, specialiștii în securitate acționează într-o categorie cu totul aparte.
Totul începe cu adversarii, care nu sunt infractori oportunisti în căutarea unui câștig rapid.
Ne referim la grupuri susținute de stat, care acționează cu resurse guvernamentale, sau la rețele organizate de criminalitate cibernetică, ale căror obiective variază de la atacuri cu ransomware până la spionaj pe termen lung.
A spune că miza este mare ar fi o subestimare; Raportul FBI privind criminalitatea pe internet din 2024 a înregistrat peste 4.800 de plângeri din partea organizațiilor din domeniul infrastructurii critice. Poate că nu pare un număr mare, până când îl privești în contextul unui an; din punct de vedere statistic, acest număr poate însemna 13 atacuri pe zi, câte unul la fiecare două ore. În cazul organizațiilor din domeniul apărării, în mod specific, un atac reușit poate submina în mod direct suveranitatea națională.
Nu este deloc surprinzător faptul că un mediu cu un nivel atât de ridicat de amenințări funcționează în cadrul unor structuri de conformitate stricte și fără compromisuri, precum NCSC (Centrul Național de Securitate Cibernetică) din Regatul Unit.
În același timp, soluțiile de securitate conforme cu NCSC trebuie să poată fi implementate la scară largă în cadrul întregului sistem. Organizațiile din domeniul apărării au o structură stratificată, astfel încât protecția lor trebuie să fie modulară și aplicabilă la nivelul întregii organizații, nu doar în cadrul unităților care au identificat prima dată această necesitate.
În acest context, o forță navală de prim rang a NATO a inițiat o colaborare cu OPSWAT un mandat clar: o soluție CDS (Cross Domain Solution) certificată și conformă cu standardele NCSC, care să poată fi extinsă dincolo de o singură divizie și să servească drept bază pentru o adoptare pe scară largă.
Proiectarea unei arhitecturi CDS scalabile pentru mai multe tipuri de fișiere și ramuri, în condiții de flexibilitate zero din punct de vedere normativ
Clientul nostru s-a confruntat cu o provocare care, la prima vedere, părea imposibil de rezolvat.
Realizarea unei soluții CDS pentru fluxurile de date IMPEX (import/export) între diferite niveluri de clasificare, în conformitate cu cerințele stricte ale NCSC privind separarea rețelelor. Soluția trebuia să fie scalabilă și replicabilă în cadrul mai multor ramuri ale apărării, să suporte o gamă largă de tipuri de fișiere și să mențină cel mai înalt nivel posibil de reziliență împotriva amenințărilor cibernetice.
Să analizăm fiecare strat pe rând.
Nu exista nicio poartă de acces inter-domenii IMPEX aprobată
Rețelele clasificate din cadrul instituțiilor guvernamentale și de apărare au nevoie de reguli aprobate oficial pentru fluxurile de date IMPEX, aplicate prin intermediul unui IMPEX Cross Domain Gateway. Inițial, acesta nu exista în sistemele clientului nostru.
În practică, aceasta înseamnă că nu exista deloc un proces digital aprobat pentru operațiunile IMPEX. În absența acestuia, clientul nu putea transfera date peste limitele de clasificare într-un mod care să poată fi urmărit și care să îndeplinească cerințele de audit.
Capacități de verificare necesare pentru a suporta mai multe tipuri de fișiere
Mai multe tipuri de date circulau prin rețele cu niveluri diferite de clasificare: fișierele utilizatorilor, patch-urile de securitate, actualizările de firmware pentru hardware, aplicațiile containerizate și software-ul militar personalizat — toate trebuiau să treacă aceeași graniță. Datele trebuiau inspectate amănunțit, pentru a se asigura că niciun element rău intenționat nu ar fi putut pătrunde în medii cu grad ridicat de clasificare.
Cu cât datele sunt mai voluminoase și mai complexe, cu atât este mai dificil să se verifice dacă sunt curate. Anumite tipuri de fișiere nu puteau fi tratate ca niște documente obișnuite. Patch-urile, programele de instalare, firmware-ul, scripturile și software-ul militar personalizat necesitau o inspecție comportamentală, deoarece scanarea statică, pe cont propriu, nu putea demonstra cum s-ar comporta acestea odată introduse într-un mediu clasificat. În același timp, orice lacună în acoperire ar fi putut compromite însăși granița.
Standardele stricte impun o separare absolută a rețelelor
Cadrul NCSC prevede reguli stricte privind modul în care datele trebuie să circule între nivelurile de clasificare. Un element central al acestui cadru îl reprezintă SEF-urile (funcțiile de asigurare a securității): verificări de securitate care acoperă toate aspectele, de la detectarea programelor malware până la validarea formatului.
În cadrul NCSC, clientul a fost nevoit să stabilească reguli stricte privind separarea rețelelor (clasificarea SECRET/OPEN). Mediile clasificate și cele neclasificate nu trebuie să comunice niciodată, CDS Gateway având rolul unei bariere absolute.
Nerespectarea cerințelor de scanare ale SEF-urilor ar putea duce fie la pătrunderea unui fișier rău intenționat într-o rețea clasificată, fie la extragerea de informații sensibile.
Crearea unei soluții potrivite pentru o adoptare pe scară mai largă
Cerința nu a fost niciodată doar aceea de a rezolva o singură problemă.
Departamentul guvernamental cuprinde mai multe ramuri, agenții, locații și comenzi, iar soluția Cross Domain implementată de client trebuia să funcționeze în toate acestea.
O soluție care funcționa doar într-un anumit context ar fi lăsat o altă secție a departamentului să se confrunte cu o lacună identică. Clientul avea nevoie să construiască un sistem care să poată deveni un standard uniform și să poată fi extins la nivelul întregii organizații.
Când nu există marjă de eroare: o arhitectură multidomenială stratificată, certificată NCSC
Provocarea prezentată de client nu putea fi rezolvată cu un singur produs.
În schimb, OPSWAT o arhitectură complexă, susținută de o serie de produse și tehnologii, în care fiecare strat contribuie la atingerea obiectivului general: asigurarea faptului că nimic nu trece de limita de clasificare fără a fi verificat.
Separarea fizică a rețelei prin intermediul MetaDefender Optical DiodeDiode™
Arhitectura se baza pe diode de date hardware, care asigură un flux unidirecțional al datelor la nivel de rețea. Spre deosebire de mecanismele de control bazate pe software, care pot fi configurate incorect sau ocolite, o diodă hardware face ca fluxul invers să fie fizic imposibil.
Constrângerile fizice garantează separarea absolută între rețeaua SECRET și cea OPEN, așa cum este prevăzut de NCSC.
Optical Diode MetaDefender Optical Diode concepută pentru a permite un transfer de date unidirecțional, securizat și asigurat la nivel hardware, între rețelele IT și OT, făcând fizic imposibilă deplasarea traficului de la niveluri de clasificare inferioare către medii protejate.
Gestionarea fișierelor pe mai multe niveluri prin intermediul platformei MetaDefender Core™
Fiecare fișier care trece granița este interceptat și inspectat de MetaDefender Core, gradul de detaliu al inspecției fiind adaptat la mediul de destinație.
Fișierele care intră în rețeaua SECRET trec prin întregul stack: scanare multiplă cu mai multe motoare pentru a spori ratele de detectare și tehnologia Deep CDR™ pentru a elimina orice amenințări ascunse. Adaptive Sandbox o analiză dinamică bazată pe emulare fișierelor suspecte, forțând malware-ul evaziv să-și dezvăluie comportamentul care ar putea să nu apară în cadrul inspecției statice sau al sandboxing-ului tradițional bazat pe mașini virtuale.
Fișierele care sunt transferate în medii cu un nivel de clasificare mai scăzut sunt scanate exclusiv cu ajutorul mai multor motoare anti-malware, asigurând o protecție consistentă pentru fiecare flux.
MetaDefender Core platforma avansată de detectare și prevenire a amenințărilor OPSWAT, care combină tehnologia Deep CDR™, funcția Metascan™ Multiscanning și Adaptive Sandbox asigura securitatea fluxurilor de lucru cu fișiere în cadrul infrastructurii critice.
Transfer automat de fișiere cu tehnologia MetaDefender Managed File TransferTransfer™
Managed File Transfer MetaDefender Managed File Transfer automatizează importul și exportul tuturor tipurilor de date gestionate de client, creând un flux controlat și verificabil.
Nimic nu se mișcă manual, nimic nu se mișcă fără a fi monitorizat și nimic nu ocolește nivelurile de inspecție.
MetaDefender Managed File Transfer controale bazate pe politici și măsuri integrate de prevenire a amenințărilor pentru a asigura transferul în condiții de siguranță al fișierelor sensibile între organizații, sisteme sau zone de securitate.
Arhitectură certificată NCSC
Arhitectura bazată pe produsele OPSWATrespectă modelele de securitate ale NCSC pentru fluxurile de date între domenii. Aceasta a devenit prima soluție IMPEX certificată de guvern, ceea ce înseamnă că poate fi adoptată ca standard uniform în celelalte departamente ale organizației, fără a fi necesară reproiectarea de la zero.
Construim o singură dată, o construim corect, o scalăm la peste 1 milion de fișiere pe zi
În esență, CDS reprezintă o provocare legată de asamblarea elementelor potrivite într-un sistem care să reziste la cele mai stricte reglementări, pentru orice tip de fișier, la scara impusă de operațiunile de apărare din viața reală.
Mediul este extrem de exigent: adversari sofisticați și extrem de motivați, toleranță zero față de nerespectarea normelor și nicio marjă de eroare.
Pentru clientul nostru, implementarea la scară largă a sistemului CDS nu mai reprezintă o problemă. Împreună, am creat o arhitectură certificată și modulară, capabilă să proceseze peste un milion de fișiere pe zi.
Dacă pare simplu, asta se datorează faptului că OPSWAT concentrează pe securitatea fișierelor de peste douăzeci de ani, în cele mai exigente medii pe care le implică infrastructura critică.
Indiferent dacă compania dumneavoastră se confruntă cu o provocare similară la nivel inter-domenii sau cu o problemă mai generală legată de securitatea fișierelor din cadrul infrastructurii critice, OPSWAT experiența necesară pentru a vă ajuta; haideți să discutăm.
