Если ваша сеть физически изолирована от интернета, вам может казаться, что она в безопасности. Нет входящих соединений, нет внешнего трафика — значит, данные никуда не утекут. Однако самые критичные инфраструктуры в мире используют air-gap, и все равно периодически оказываются взломаны. Изоляция усложняет атаку, но не делает ее невозможной.
В 2022-2024 годах хакерская группа GoldenJackal атаковала изолированные сети правительственных и дипломатических учреждений в Европе. Злоумышленники создали вредоносное ПО, которое при подключении флешки к изолированному компьютеру активировалось, собирало данные и записывало их в скрытую область на том же USB-накопителе. Когда этот флеш-накопитель попадал в обычную сеть, данные передавались злоумышленникам.
На практике air-gap довольно успешно атакуют уже больше 15 лет. Компьютерный червь Stuxnet, разработанный для уничтожения иранской атомной программы, также распространялся через флешки. В 2010 году Stuxnet добрался до управления центрифугами в Натанзе, перехватил управление и изменил режим их работы. В результате более тысячи центрифуг вышли из строя. По масштабу физического ущерба эта атака была сопоставима с точечной воздушной бомбардировкой.
Исследования показывают, что данные можно вытаскивать через акустику, электромагнитное излучение от кабелей, мерцание светодиодов на жестком диске, изменение температуры процессора и даже через электропитание. Два компьютера, подключенные к разным розеткам, но находящиеся в одном здании, могут обмениваться данными через общую электрическую сеть. Один компьютер кратковременно меняет энергопотребление (кодируя биты данных), а второй фиксирует микроскопические колебания напряжения, вызванные этой нагрузкой. Атака не требует никакого дополнительного оборудования.
Еще один способ взлома air-gap — физическое взаимодействие с инфраструктурой. Человек, имеющий доступ в помещения, где находятся компьютеры изолированного сегмента сети, может целенаправленно скомпрометировать периметр. Для этого достаточно подключить к сети миниатюрное вредоносное устройство, предварительно снабдив его сим-картой и выходом в мобильный Интернет. В 2017-2018 годах целями подобных атак стали несколько банков в Восточной Европе. Ущерб от действий злоумышленников составил несколько десятков миллионов долларов.
Как обеспечить безопасность закрытого контура
| Мера | Описание | Приоритет |
| Контролируемое обновление ПО | Внедрить регламент регулярного обновления через доверенные промежуточные узлы: патчи сначала тестируются в изолированной тестовой среде, затем переносятся в продуктивный контур по утвержденному графику | Критический |
| Блокировка почтовых клиентов | Запретить доступ к электронной почте на системах, взаимодействующих с изолированным контуром | Высокий |
| Контроль USB-портов | Отключить порты по умолчанию; разрешать использование только через авторизованные устройства с журналированием | Высокий |
| Обязательная проверка носителей | Все съемные накопители должны проходить антивирусное сканирование на выделенной промежуточной системе перед подключением к изолированной сети | Критический |
| Отключение автозапуска | Запретить автоматическое исполнение кода с внешних устройств через групповые политики и конфигурации ОС | Средний |
| Регулярный аудит | Проводить плановые проверки изолированных систем на наличие аномальной активности, несанкционированных изменений и признаков компрометации | Высокий |
Безопасность изолированного контура определяется не отсутствием внешних подключений, а жестким контролем за любым пересечением периметра. Каждый USB-порт, каждый сотрудник с допуском, каждый перенос данных — потенциальный вектор атаки. Все должно проверяться, журналироваться и контролироваться. Физическая изоляция сети — это не разовая установка барьера, а ежедневная рутина. Как чистка зубов: вы не можете начистить зубы один раз на всю жизнь. Это надо делать ежедневно — только тогда будет эффект.
Читайте также
читайте наш блог о всем самом интересном,
расскажем и покажем кухню легиона изнутри
'%3E%3Cellipse cx='68.2542' cy='381.143' rx='68.2542' ry='381.143' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1236.79 669.182)' fill='%23FF2B5F' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter1_f_3008_1418)'%3E%3Cellipse cx='68.2542' cy='188.98' rx='68.2542' ry='188.98' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1048.82 669.182)' fill='%23FF7032' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter2_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 1109.56 773)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cg filter='url(%23filter3_f_3008_1418)'%3E%3Cellipse cx='120.86' cy='187.481' rx='120.86' ry='187.481' transform='matrix(0.770022 -0.638017 -0.401676 -0.915782 107.614 260.605)' fill='%23FF2D31' fill-opacity='0.5'/%3E%3C/g%3E%3Cdefs%3E%3Cfilter id='filter0_f_3008_1418' x='806.561' y='-242.975' width='659.378' height='1039.13' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter1_f_3008_1418' x='765.351' y='106.29' width='520.23' height='692.56' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='83.8894' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter2_f_3008_1418' x='804.651' y='132.995' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3Cfilter id='filter3_f_3008_1418' x='-197.291' y='-379.399' width='645.326' height='782.404' filterUnits='userSpaceOnUse' color-interpolation-filters='sRGB'%3E%3CfeFlood flood-opacity='0' result='BackgroundImageFix'/%3E%3CfeBlend mode='normal' in='SourceGraphic' in2='BackgroundImageFix' result='shape'/%3E%3CfeGaussianBlur stdDeviation='101.471' result='effect1_foregroundBlur_3008_1418'/%3E%3C/filter%3E%3C/defs%3E%3C/svg%3E%0A)
ИБ в эпоху ИИ-агентов? Claude Mythos Preview
Про новые ИИ-агенты в сфере кибербезопасности, их возможности и проблемы.
Новые правила для КИИ
Какая ответственность предусмотрена для нарушителей в сфере КИИ теперь?
Больше не звонят первыми: разбираем новую схему киберпреступников
Разбираем новую схему атаки и технические уловки злоумышленников, а также объясняем, как распознать поддельное письмо.
Что мешает руководителю по ИБ быть услышанным?
Дело не в качестве ваших аргументов, а в том, что руководитель компании мыслит в других категориях.
Киберпреступность в эпоху тотальной конвергенции
Хакеры-одиночки остались в прошлом. Киберпреступность сегодня – это высокомаржинальная индустрия с автоматизированными процессами.