När man inte ska använda en datadiod
Hem SÄKERHET När man inte ska använda en datadiod

När man inte ska använda en datadiod

Publicerat av: Redaktionen

En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsflöde.

Den bibehåller nätverkets integritet genom att förhindra intrång, nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen, samt tillgängligheten genom att stoppa produktionsstörande attacker.

Det finns flera olika användningsområden, eller use cases, där en datadiod är precis det som du behöver.

Men det finns också användningsområden där det inte passar med en datadiod. Här går vi igenom några sådana case!

Varför behöver man en datadiod?

En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket.

Den vanligaste enheten som används för att reglera informationsflödet är förmodligen en brandvägg. Detta är en enhet med syftet att skydda ditt nätverk genom att endast tillåta viss trafik att komma in. Den övervakar och filtrerar vilken trafik och datapaket som kommer in i nätverket och som blockeras baserat på en uppsättning regler. Men om du behöver överföra information till eller från ett säkerhetskänsligt nätverk är en brandvägg inte den enda lösningen i din verktygslåda för att förbättra din cybersäkerhet.

När man inte ska använda en datadiodCross Domain Solutions (CDS) är ett samlingsnamn för produkter och lösningar som möjliggör kontrollerad kommunikation mellan olika nätverk eller säkerhetsdomäner, med olika säkerhets- eller skyddskrav. Gemene man associerar detta ofta med brandväggar, men det finns alternativa lösningar som båda kan ha högre assurans och förenkla. Advenicas CDS-produkter fokuserar på hög assurans och säkerhet över tid. En datadiod är en Cross Domain Solution.

Hur fungerar en datadiod?

Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. En datadiod är en säkerhetsprodukt som placeras mellan två nätverk och som fungerar som en backventil vars funktion endast tillåter att data skickas i ena riktningen medan den blockerar all data i motsatt riktning. Då datadiodens säkerhetsegenskaper bygger på hårdvara och optisk fiber kan man visa att det är fysiskt omöjligt för data att transporteras i motsatt riktning. Eftersom säkerheten inte bygger på mjukvara finns det inga sårbarheter i form av mjukvarubuggar eller felkonfiguration och den kan heller inte attackeras av skadlig kod. Hårdvarubaserad säkerhet innebär att man kan visa att datadioder har hög assurans.

Lyssna på vårt webinar och lär dig vad en datadiod är och när du behöver en!

Några exempel på när en datadiod inte är rätt lösning

Här är några exempel när en datadiod inte kan användas:

Skydd av webshop mot attacker

En webshop måste alltid vara nåbar från internet och behöver även kunna presentera data för kunderna, det vill säga att trafiken måste kunna gå i båda riktningar. Då en datadiod säkerställer enkelriktat informationsflöde blir denna säkerhetslösning omöjlig för detta exempel.

Men, om webshopen ska presentera realtidsdata från ett produktionssystem är en datadiod en passande lösning mellan webshopen och produktionssystemet. Med en sådan lösning kan datan replikeras eller ”streamas” ut från produktionssystemet till webshopen på ett säkert sätt. Resultatet av detta är att man kan presentera realtidsdata på webshopen utan risker för att produktionssystemet exponeras mot internet.

En databas behöver skyddas från felaktiga anrop

Kommunikation mellan klient eller applikation och databasen måste vara dubbelriktad då en fråga behöver ett svar. Men i det fall då databasen enbart ska ta emot data, exempelvis loggar, kan en datadiod med stöd av integrerade specialproxies användas mellan datakällan och databasen. Men om datan är felaktig eller innehåller farliga element kan inte datadioden filtrera bort detta, såvida man inte definierar policys för datan i proxies eller annan kompletterande utrustning.

Man kan dock samla data för analys från ett högsäkerhetsnätverk (t.ex. OT) till en databas i ett administrativt nät eller till och med i molnet med bibehållet ”air-gap” i en riktning via en datadiod. Behövs databasens information från lågsäkerhetsnätverket till högsäkerhetsnätverket kommer inte denna lösning fungera då inga svar från databasen kommer nå högsäkerhetsnätet. Som alternativ lösning kan man spegla ut en ”master”-databas till en ”presentations”-databas med olika tekniker för att på så sätt skydda ”master”-databasen i högsäkerhetsnätet från manipulation.

Skydd av samarbetsverktyg mot angrepp

Samarbetsverktyg som till exempel MS Teams är per definition dubbelriktad kommunikation. Då en datadiod endast kan hantera kommunikation i en riktning blir en datadiod i princip oanvändbar för denna typ av applikation.

Om man vill använda samarbetsverktyg internt i en isolerad miljö går det givetvis bra att använda en datadiod för att behålla isoleringen av nätet så länge samarbetstrafiken inte ska passera. Dagens samarbetsverktyg innehåller många funktioner och många sätt att kommunicera på. Vill man säkert kunna sända information (video/ljud/text) utan risk för att informationen manipuleras på servern, kan man med fördel använda en datadiod för att skydda sändarservern från mottagande nätverk.

Skydd för e-post

E-post är än i dag den viktigaste kommunikationsvägen i ett företag och trots konkurrensen från andra samarbetsverktyg behåller e-post sin position som ledande kommunikationsväg. Som ovan är e-post per definition tvåvägskommunikation och därmed inte en applikation som passar sig för en datadiod.

Undantaget är om man till exempel vill få ut larm eller annan information via e-post från ett isolerat nätverk. Då kan man hantera det genom en datadiod med hjälp av proxy-teknologi. Proxyn på den skyddade sidan kan då agera mail-server och proxyn på den öppna sidan agera mail-klient, alternativt om man har mailservrar på båda sidor kan båda proxies agera MTA (Mail Transfer Agent).

Fem saker du kan använda datadioder till

Du kan använda en datadiod till mycket mer än du tror. Det finns otaliga lösningar, men här är fem användningssätt som du kanske inte visste om!

1. Datadioder och IoT-sensornätverk

Om du har ett IoT-sensornätverk vill du kunna skydda nätverket från manipulation men fortfarande kunna exportera sensordata. Om sensorerna manipuleras kan det få stora konsekvenser eftersom det ofta kan vara väldigt kritisk information det gäller, samt att felaktig data inte får skickas. När sensordatan exporteras kan datadioden se till att informationen kommer ut, men att sensornätverket är skyddat mot hot. I detta fall kopplas datadioden så att endast export av sensordata är möjlig.

2. Datadioder och HTTP-spegel

En HTTP-spegel är ett sätt att spegla en hemsida in i ett skyddat nätverk för att kunna se innehållet på ett säkert sätt. På så sätt behöver man inte hämta informationen direkt online och begränsar då attackmöjligheterna. En datadiod ser till att hemsidan kan speglas/kopieras in i den skyddade miljön och säkerställer att ingen information kan läcka ut.

3. Datadioder och trafikavlyssning

Genom att använda dig av TAP (Test Access Point) eller portspegling (t.ex. SPAN) där trafiken tappas ut på en speglad port på vanligtvis en switch kan du göra en trafikavlyssning på en dubblett av trafiken. På detta sätt kan du övervaka OT- eller ICS-system utan säkerhetsrisker.

Det kan även vara värdefullt att veta om någon har varit inne i ens system och att kunna se exakt vad som skett – då kan man använda sig av ett så kallat intrusion detection-system. I detta fall kan en datadiod användas för att säkerställa att intrusion detection-systemet endast kan lyssna på trafiken, men inte på något sätt påverka systemen i OT/ICS.

4. Datadioder och videostreaming

När man videostreamar, exempelvis genom en övervakningskamera, kan en bra säkerhetslösning vara att låta de multipla strömmarna av information flöda genom en datadiod. Datadiodens syfte blir då att skydda IT-miljön så att kopplingen mellan kamera och nätverk inte blir en ingång för en attack.

5. Datadioder och loggning

Datadioder kan vara en bra lösning när man arbetar med loggning. Loggningens syfte är att kunna se om någonting gått snett, och i så fall vad, ungefär som en svart låda i ett flygplan. När man exporterar loggdata från en enhet som man vill övervaka kan en datadiod se till så att logginformationen endast kan gå åt ett håll, så att systemet för logganalys inte kan påverka de känsliga systemen som övervakas.

Av Advenica

 

 

 

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00