1125 подписчиков

Диод данных: эффективная технология сетевой безопасности

19 июня 202019 июн 2020

202

7 мин

Современная бизнес-среда становится все более цифровой и более уязвимой к кибератакам. Вследствие этого разрабатываются различные технологии сетевой безопасности для защиты организационных данных и инфраструктур. Одной из наиболее эффективных из этих современных технологий является технология однонаправленного диода данных. Диод данных - это устройство связи, которое обеспечивает безопасную одностороннюю передачу данных между сегментированными сетями.

Интеллектуальная конструкция диода данных обеспечивает физическое и электрическое разделение сетей источника и назначения, устанавливая немаршрутизируемый, полностью закрытый односторонний протокол передачи данных между сетями. Интеллектуальные диоды данных эффективно устраняют внешние точки входа в систему-источник, предотвращая проникновение злоумышленников и опасных элементов в сеть. Защита всего потока данных в сети с помощью диодов данных делает невозможной для незащищенной или враждебной сети передачу вредоносных программ, доступ к системе или случайное внесение вредоносных изменений.

Диоды данных позволяют компаниям осуществлять мониторинг данных процесса в режиме реального времени в системе управления информацией для использования при принятии финансовых, клиентских и управленческих решений без ущерба для безопасности сети. Это защищает ценную информацию и сетевую инфраструктуру от кражи, разрушения, взлома и человеческих ошибок, уменьшая потенциальную потерю денег и бесчисленных часов работы.

Однонаправленный диод - это электронный компонент, который позволяет электрическим сигналам поступать только в одном направлении. Технология диодов данных позволяет безопасно передавать информацию от защищенных областей к менее защищенным системам, не допуская обратного доступа. Диод данных также создает физический барьер или «воздушный зазор» между двумя точками. Это одностороннее соединение предотвращает утечку данных, устраняет угрозу вредоносных программ и полностью защищает сеть управления процессами. Кроме того, один диод данных может обрабатывать передачу данных с нескольких серверов или устройств одновременно.

🟣Используются две вариации данного устройства:

1) диод данных как сетевое устройство, позволяющее передавать необработанные данные только в одном направлении, используемое для обеспечения информационной безопасности или защиты критически важных цифровых систем, таких как промышленные системы управления, от входящих кибератак;

2) однонаправленный шлюз - комбинация аппаратного и программного обеспечения, работающего на прокси-компьютерах в исходной и целевой сетях.

Аппаратное обеспечение, диод данных, обеспечивает физическую однонаправленность, а программное обеспечение реплицирует базы данных и эмулирует протокольные серверы для управления двунаправленной связью.

Однонаправленный шлюз способен передавать несколько протоколов и типов данных одновременно. Он содержит более широкий спектр функций кибербезопасности, таких как безопасная загрузка, управление сертификатами, целостность данных, прямое исправление ошибок (FEC), безопасная связь через TLS.

Уникальной характеристикой является то, что данные передаются детерминистически (в заранее определенные местоположения) с протоколом «разрыв», который позволяет передавать данные через диод данных. Диоды данных обычно используются в военных и правительственных учреждениях с высокой степенью защиты, но в настоящее время они широко распространены в промышленном секторе, особенно категории «критическое производство».

Первые диоды данных были разработаны правительственными организациями в восьмидесятых и девяностых годах. Сегодня объем передаваемых данных увеличился, а непрерывный поток данных в реальном времени стал более важным, работа устройства стала автоматизированной.

В 2013 году промышленное управление кибербезопасностью под руководством Французского агентства сетевой и информационной безопасности (ANSSI) запретило использовать брандмауэры для защиты подключения сетей класса три, например, систем железнодорожной коммутации, к сети более низкого класса или корпоративной сети; разрешено использование только однонаправленной технологии.

Простейшей формой однонаправленной сети является модифицированная волоконно-оптическая линия связи, в которой приемопередатчики отправки и приема удалены или отключены для одного направления, а любые механизмы защиты от сбоев линии связи отключены. Некоторые коммерческие продукты добавляют другие функциональные возможности программного обеспечения, которые предоставляют приложениям интерфейс, который помогает им передавать данные по ссылке.

Другие более сложные коммерческие предложения обеспечивают одновременную одностороннюю передачу данных по нескольким протоколам, для которых обычно требуются двунаправленные каналы. Немецкие компании INFODAS и GENUA разработали программные («логические») диоды данных, которые используют операционную систему Microkernel для обеспечения однонаправленной передачи данных. Благодаря программной архитектуре эти решения предлагают более высокую скорость, чем обычные аппаратные диоды данных.

В 2018 году Siemens Mobility выпустила решение однонаправленного шлюза промышленного класса, в котором диод данных Data Capture Unit использует электромагнитную индукцию и новую конструкцию микросхемы для оценки безопасности EBA, гарантируя безопасное подключение новых и существующих систем, важных для безопасности, вплоть до целостности безопасности уровня (SIL) четыре для обеспечения безопасного IoT и предоставления аналитики данных и других облачных цифровых услуг.

Научно-исследовательская лаборатория ВМС США (NRL) разработала свою собственную однонаправленную сеть. Во многом она сходна с работой DSTO, но позволяет ограниченному обратному каналу переходить от верхней стороны к нижней для передачи подтверждений. Эта технология позволяет использовать большее количество протоколов в сети, но создает потенциальный скрытый канал, если и верхняя, и нижняя сторона скомпрометированы из-за искусственной задержки синхронизации подтверждения.

В настоящее время существует две основные модели использования однонаправленных сетевых подключений. В классической модели назначение диода данных состоит в том, чтобы предотвратить экспорт секретных данных с защищенного компьютера, в то же время позволяя импортировать данные с незащищенного компьютера. В альтернативной модели диод используется для экспорта данных с защищенной машины, предотвращая атаки на эту машину.

🔴Слабые стороны технологии:

1) однонаправленные шлюзы не могут маршрутизировать большую часть сетевого трафика и нарушать большинство протоколов;

2) стоимость; изначально диоды были дорогими, хотя теперь доступны более дешевые решения;

3) ситуации, которые требуют двустороннего потока данных, могут быть труднодостижимы.

В последние годы возрос интерес к использованию диодов данных (также известных как однонаправленные шлюзы) в сетях систем промышленной автоматизации и управления (IACS). Несмотря на то, что диоды данных не являются прямой заменой брандмауэров, они хорошо подходят для конкретных задач в сетях IACS, таких как репликация данных, мониторинг состояния системы, удаленное управление резервным копированием и управление исправлениями, система обнаружения вторжений (IDS), система юридической регистрации (JRS), разделение сети на открытые и закрытые сегменты.

Системы с диодами данных не содержат логики принятия решений, программного обеспечения или встроенного программного обеспечения, которые могут поставить под угрозу архитектуру ICS (совместное использование Интернет-соединения). Они исключают возможность сбоев программного обеспечения, проникновения вредоносных программ, взлома и сетевых атак. Они не могут быть настроены неправильно, что исключает возможность человеческой ошибки.

Эта технология может быть реализована на серверах SCADA, которые соединяют данные от ПЛК, RTU, датчиков, клапанов, весов, анализаторов, распределенных систем управления и других устройств для взаимодействия систем в технологической сети. Это улучшает взаимодействие систем между вашей технологической сетью и системами бэк-офиса, устраняя задержки в передаче информации. Данные процесса могут поступать напрямую в менее защищенные системы управления информацией в режиме реального времени, обеспечивая своевременную визуализацию бизнеса и принятие решений, влияющих на финансовые, операционные показатели и качество обслуживания клиентов, не подвергая сеть процессов киберугрозам.