Trennen Sie die Internetverbindung

 (computer.rip)
1 Punkte von GN⁺ 2024-08-02 | 1 Kommentare | Auf WhatsApp teilen
  • Es gab einen Vorfall, bei dem das „virtuelle“ Sicherheitsunternehmen „ClownStrike“ durch ein unzureichend getestetes Content-Update den Großteil der installierten Windows-Basis lahmlegte
  • Viele suchen in einer solchen Situation nach Schuldigen, aber die meisten wiederholen nur die Behauptung: „Solche Systeme sollten nicht mit dem Internet verbunden sein.“

Praktische Überlegungen dazu, nicht mit dem Internet verbunden zu sein

  • Moderne Geschäftscomputer fungieren fast vollständig als Kommunikationsgeräte
  • Ohne Vernetzung über organisatorische und geografische Grenzen hinweg ist es kaum möglich, Wert zu schaffen
  • Systeme wie Flugreservierungs- und Planungssysteme sind ihrem Wesen nach Kommunikationssysteme und können ohne Networking nicht funktionieren

Die Bedeutung der Netzwerkverbindung für Wartung und Betrieb

  • Selbst bei Systemen, die keine Echtzeitkommunikation benötigen, ist eine Netzwerkverbindung für Wartung, Monitoring und die Anpassung an veränderte Geschäftsanforderungen äußerst nützlich

Die verschiedenen Bedeutungen von „nicht mit dem Internet verbunden“

  • Es gibt viele Formen, nicht mit dem Internet verbunden zu sein; ohne eine klare Definition ist eine ernsthafte Diskussion schwierig
  • Die Szenarien reichen von einem einzelnen Gerät ohne Netzwerkverbindung bis hin zu NSA-zertifizierten Cross-Domain-Lösungen
  • Es gibt verschiedene Formen eingeschränkter Internetanbindung, darunter private WANs, verschlüsselte Tunnel und AWS Private VPCs

Die Unbequemlichkeit beim Betrieb von Systemen ohne Internetverbindung

  • Fast alle Softwareumgebungen sind unter der Annahme einer Internetverbindung entworfen, sodass in Offline-Umgebungen alles schwieriger wird
  • Bei OS-Updates, Paketmanagern, TLS-Zertifikaten, Cloud-Lizenzierung und in vielen weiteren Bereichen entstehen zusätzliche Arbeit und Kosten
  • Durch komplexe Interaktionen mit Anbietern von Enterprise-Software steigen Zeit- und Kostenaufwand in vielen Fällen erheblich

Offline-Umgebungen sind selten

  • Stark abgeschottete Offline-Umgebungen sind auf Verteidigung, Nachrichtendienste und einige Banken beschränkt
  • Diese Branchen sind meist dafür bekannt, übermäßig viel Zeit und Geld zu verschlingen
  • Selbst schwächere Formen finden sich meist nur in stark regulierten Branchen oder bei einigen sicherheitsorientierten Unternehmen

Vorschläge zur Verbesserung

  • So weit wie möglich restriktive Netzwerkrichtlinien anwenden (Clouds wie AWS erleichtern dies)
  • Software mit Blick auf Offline-Umgebungen entwickeln (externe Verbindungen minimieren, Alternativen für Endpunkte bereitstellen usw.)
  • TLS und andere implizite Annahmen überdenken, etwa durch Nutzung des System-Trust-Stores und das Auflösen von Abhängigkeiten zum Zeitpunkt der Bereitstellung
  • Docker ist ein paradoxes Beispiel dafür, wie die Verwaltung von Offline-Umgebungen noch schwieriger werden kann

Meinung von GN⁺

  • Der CrowdStrike-Vorfall hat nichts damit zu tun, ob eine Internetverbindung besteht oder nicht. Auch in Offline-Umgebungen müssen Sicherheitsupdates zwingend eingespielt werden
  • In der Praxis verzögern sich Offline-Updates jedoch leicht, was der Sicherheit paradoxerweise auch helfen kann
  • Die Trennung vom Netz ist konzeptionell attraktiv, in der tatsächlichen Umsetzung aber sehr schwierig. Die Softwareindustrie muss sich künftig besser darauf vorbereiten
  • Gleichzeitig sollte man die grundlegenden Grenzen moderner IT-Umgebungen erkennen, die eine Internetverbindung voraussetzen, und zunächst nach umsetzbaren Verbesserungen wie strengeren Netzwerkrichtlinien suchen
  • In Bereichen mit extrem hohen Sicherheitsanforderungen wie kritischer Infrastruktur oder Verteidigung kann es sinnvoll sein, trotz aller Schwierigkeiten eine physische Netztrennung zu prüfen

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-08-02
Hacker-News-Kommentare

  • Als jemand, der in den Bereichen Sicherheit/Systeme/Betrieb arbeitet, sehe ich, dass die meisten Leute ihre Arbeit nicht gut machen und die gesamte Branche darauf ausgelegt ist, das zu unterstützen

    • Bei der Bereitstellung von Digital Signage sollte der Netzwerkzugang nur für die IP-Adresse des Servers erlaubt sein, und es sollten nur signierte Updates sowie Verbindungen mit Certificate Pinning akzeptiert werden
    • IoT-Geräte sind oft schlecht abgesichert und haben viele Standardpasswörter und offene Ports
    • Die meisten Unternehmen machen ihre Arbeit nicht gut, und „Best Practices“ oder den Anweisungen eines Vendors zu folgen bedeutet nicht, dass man gute Arbeit leistet

  • In Schweden gibt es mit Sjunet ein vom Internet isoliertes privates Netzwerk, das von Gesundheitsdienstleistern genutzt wird

    • Sjunet kann als branchenweites Air-Gap-Umfeld betrachtet werden; es verbessert die Sicherheit, verursacht aber nur geringe Kosten

  • Als Steuerungsingenieur bin ich der Meinung, dass Maschinen mit Ethernet-Kabeln nicht mit dem Internet verbunden sein sollten

    • In Produktionsanlagen verwenden PLC- und HMI-Systeme Ethernet, sind aber nicht dem Internet ausgesetzt
    • Ältere Maschinen wie Widerstandsschweißgeräte benötigen keine modernen Sicherheitssysteme

  • Ich stimme der Behauptung nicht zu, dass Systeme nicht per Air Gap getrennt werden sollten

    • Man sollte keine internetzentrierten Entwicklungspraktiken verwenden
    • Es ist falsch, wenn ein MRI-Gerät JS-Abhängigkeiten von NPM bezieht

  • Beim Betrieb eines privaten Netzwerks ist es wahrscheinlich, dass interne Dienste keine TLS-Zertifikate einer populären CA haben

    • Wegen Problemen mit dem Trust Store der JRE kann man viel Zeit verschwenden

  • Nachdem ich einen McDonald’s-Kiosk benutzt hatte, habe ich auch Geräte an anderen Orten getestet

    • Ein Kiosk in einem Food Court hatte vollständigen Internetzugang, und man konnte Malware herunterladen
    • Ein Parkkiosk war nicht gehärtet
    • Ein interaktives Display einer Biermarke richtete keinen großen Schaden an, aber ich hinterließ die Nachricht „Trink Wasser“

  • Die wichtigste Schlussfolgerung ist nicht, dass Systeme nicht mit dem Internet verbunden sein sollten

    • Systeme sollten keine ausgehenden Netzwerkflüsse erlauben
    • Bei vielen Enterprise-Software-Produkten kann man automatische Updates deaktivieren
    • Updates können schrittweise ausgerollt werden, um Probleme zu minimieren

  • Hamnet ist teilweise internetfähig geroutet und nutzt das Amateurfunkspektrum

    • Kommerzielle Nutzung ist verboten

  • Reservierungssysteme von Fluggesellschaften müssen mit Netzwerken verbunden sein, aber viele Geräte müssen nicht online sein

    • Es gibt viele Geräte wie Kühlschränke, Wasserkocher und Garagentore, die mit dem Internet verbunden sind
    • Jede Sicherheitsmaßnahme verursacht für Nutzer Unannehmlichkeiten

  • Bestimmte Software hat an Popularität verloren und richtet keinen Schaden mehr an

    • Dennoch gibt es weiterhin viele Blackboxes und proprietäre Software, und die Fähigkeiten zur Disaster Recovery sind unzureichend