Uit handen van hackers blijven: kan air gapping gevoelige bedrijfsgegevens veilig houden?

Uit handen van hackers blijven: kan air gapping gevoelige bedrijfsgegevens veilig houden?

Het overgrote deel van alle bedrijven en organisaties krijgt vroeg of laat te maken met cybercriminaliteit. Onderzoek toont aan dat vorig jaar maar liefst 86 procent van het grootbedrijf slachtoffer was van cybercriminelen. Bij middelgrote en kleine bedrijven was dit 71 procent en onder zelfstandigen 55 procent. En dat terwijl ze de nodige beveiligingsmaatregelen hadden getroffen.

Dit onderstreept hoe belangrijk het is om te zorgen voor uiteenlopende beschermingsniveaus en beveiligingsmaatregelen voor specifieke data, al naar gelang de gevoeligheid daarvan. Zonder een dergelijke gelaagde aanpak is robuuste cyberbeveiliging verre van gegarandeerd.

Er bestaat echter een ‘radicalere’ oplossing, die‘air gapping’ heet. Deze beveiligingsmaatregel isoleert een computer en voorkomt dat die een verbinding naar buiten kan maken. Het doel is om onbevoegde toegang en cyberaanvallen te voorkomen. Geen toegang betekent immers geen hack.

Het hoe en waarom van air gapping

Maar hoe ziet air gapping er nu precies uit in de praktijk? Van werkelijke fysieke air gapping is sprake als applicaties en data worden geïsoleerd van alle netwerkverbindingen, zodat ze volledig offline zijn. Het doel is eenvoudig: bescherming bieden tegen onbevoegde toegang, cyberaanvallen, ransomware en datalekken.

In dit scenario kunnen gegevens alleen handmatig van en naar een fysiek systeem met air gapping worden overgedragen, bijvoorbeeld met een USB-stick of andere verwijderbare media. Deze aanpak wordt als uiterst veilig beschouwd, omdat die het aanvalsoppervlak drastisch reduceert.

Air gapping betekent tegenwoordig echter voor iedereen weer iets anders. Sommige mensen laten de term voorafgaan door ‘logisch’ of ‘virtueel’. Dat houdt in dat er voor air gapping gebruikgemaakt wordt van aanvullende technieken, zoals de opslag van back-ups in de cloud. Het probleem is dat er in dit geval geen sprake is van een werkelijke air gap, aangezien er per definitie sprake is van een of andere verbinding tussen de gebruiker en de clouddienst.

Een logische air gap maakt bijvoorbeeld gebruik van software en configuratiestrategieën om te zorgen voor een scheiding of isolatie tussen systemen of netwerken. Deze techniek maakt echter geen einde aan fysieke verbindingen. Bij een logische air gap wordt gebruikgemaakt van technologieën zoals firewalls en virtual LAN’s (VLAN’s) om voor netwerksegmentatie te zorgen. Dit maakt het mogelijk om de toegang tussen geïsoleerde systemen en het overkoepelende netwerk of het internet te regelen en in te perken.

Logische air gaps verkleinen de kans op onbevoegde toegang of het lekken van data tussen de afgescheiden onderdelen van een netwerk. Maar omdat systemen fysiek verbonden blijven, is de beveiliging minder sterk dan bij een fysieke air gap. Het relatieve gemak van een logische air gap (ten opzichte van de fysieke variant) brengt ook een prijs met zich mee: grotere vatbaarheid voor geavanceerde cyberaanvallen die in staat zijn om de logische controlemechanismen te omzeilen.

Feit is echter dat zelfs de meest vluchtige internetverbinding aanzienlijke risico’s met zich mee kan brengen. Als een airgapped systeem kortstondig wordt verbonden, bijvoorbeeld in het kader van patching, kan dat cybercriminelen een kans bieden om kwaadaardige code te injecteren die sluimerend aanwezig blijft totdat het systeem opnieuw wordt verbonden.

Air gapping is met name relevant voor organisaties die de 3-2-1-regel hanteren. Dat houdt in dat er drie kopieën van data worden gemaakt die in twee verschillende typen opslagomgevingen worden opgeslagen: op locatie, in de cloud of offline. Om dit proces te voltooien wordt er één back-up opgeslagen op een externe locatie, zoals een server in de publieke cloud. Air gapping versterkt de 3-2-1-regel met een veilige locatie voor onwijzigbare back-ups en legt zo de toegang tot data verder aan banden.

De beperkingen van air gapping

Het is natuurlijk geen haalbare kaart om air gapping overal binnen het netwerk in te zetten. De meeste moderne technologie moet met het internet zijn verbonden om aan de functionele eisen of gebruikersverwachtingen te voldoen. Airgapped systemen zijn bovendien inherent inflexibel. Ze zijn immers ontwikkeld om de gegevensoverdracht en communicatiemogelijkheden te beperken. Dit kan soms tot lastige situaties en operationele inefficiëntie leiden.

En zoals bij elke IT-architectuur bestaat er altijd het gevaar van menselijke fouten en kwaadwillende insiders. Argeloze medewerkers zouden kwetsbaarheden kunnen introduceren, en insiders met kwade bedoelingen zouden de isolatie die air gapping biedt volledig kunnen omzeilen. Systemen met air gapping vragen om handmatige updates en onderhoud. Dit is een arbeidsintensief proces, en de relatieve complexiteit daarvan vergroot de kans op configuratiefouten of vertraging bij de installatie van essentiële beveiligingsupdates. Dit maakt de systemen vatbaar voor cyberaanvallen.

Zijn er alternatieven voor air gapping beschikbaar?

Er bestaan inderdaad alternatieven voor fysieke airgapping. Zo is het mogelijk om gebruik te maken van een data-diode die gegevensoverdracht in één richting afdwingt. Deze oplossing wordt onder meer ingezet voor militaire netwerken en netwerken die vitale infrastructuren ondersteunen. Zelfs als het ontvangende netwerk is gehackt of met malware is besmet, zorgt het gebruik van een data-diode ervoor dat het geen kwaadaardige data naar systemen met air gapping kan retourneren.

Air gapping wordt idealiter gebruikt in combinatie met andere beveiligingstechnologieën en -processen. Deze gelaagde aanpak stelt organisaties in staat om juiste mate van bescherming te bieden op basis van een overkoepelende zero trust-strategie. Dit zorgt voor maximale cyberveerkracht en geeft hen grip op alle uitdagingen rond beveiliging en databescherming waarmee zij ongetwijfeld te maken zullen krijgen.

Dit is een ingezonden bijdrage van Zerto. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.