En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsflöde. Den bibehåller nätverkets integritet genom att förhindra intrång, nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen, samt tillgängligheten genom att stoppa produktionsstörande attacker. Det finns flera olika användningsområden, eller use cases, där en datadiod är precis det som du behöver. Men det finns också användningsområden där det inte passar med en datadiod. Här går vi igenom några sådana case!
Varför behöver man en datadiod?
En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket.
Den vanligaste enheten som används för att reglera informationsflödet är förmodligen en brandvägg. Detta är en enhet med syftet att skydda ditt nätverk genom att endast tillåta viss trafik att komma in. Den övervakar och filtrerar vilken trafik och datapaket som kommer in i nätverket och som blockeras baserat på en uppsättning regler. Men om du behöver överföra information till eller från ett säkerhetskänsligt nätverk är en brandvägg inte den enda lösningen i din verktygslåda för att förbättra din cybersäkerhet.
Cross Domain Solutions (CDS) är ett samlingsnamn för produkter och lösningar som möjliggör kontrollerad kommunikation mellan olika nätverk eller säkerhetsdomäner, med olika säkerhets- eller skyddskrav. Gemene man associerar ofta detta med brandväggar, men det finns alternativa lösningar som båda kan ha högre assurans och förenkla. Advenicas CDS-produkter fokuserar på hög assurans och säkerhet över tid. En datadiod är en Cross Domain Solution.
Genom att använda en datadiod kan du säkerställa att överföringen genomförs på ett säkert sätt, utan att riskera nätverkets integritet eller konfidentialitet.
Hur fungerar en datadiod?
Här är några exempel när en datadiod inte kan användas:
Skydd av webshop mot attacker
En webshop måste alltid vara nåbar från internet och behöver även kunna presentera data för kunderna, det vill säga att trafiken måste kunna gå i båda riktningar. Då en datadiod säkerställer enkelriktat informationsflöde blir denna säkerhetslösning omöjlig för detta exempel.
Men, om webshopen ska presentera realtidsdata från ett produktionssystem är en datadiod en passande lösning mellan webshopen och produktionssystemet. Med en sådan lösning kan datan replikeras eller ”streamas” ut från produktionssystemet till webshopen på ett säkert sätt. Resultatet av detta är att man kan presentera realtidsdata på webshopen utan risker för att produktionssystemet exponeras mot internet.
En databas behöver skyddas från felaktiga anrop
Kommunikation mellan klient eller applikation och databasen måste vara dubbelriktad då en fråga behöver ett svar. Men i det fall då databasen enbart ska ta emot data, exempelvis loggar, kan en datadiod med stöd av integrerade specialproxies användas mellan datakällan och databasen. Men om datan är felaktig eller innehåller farliga element kan inte datadioden filtrera bort detta, såvida man inte definierar policys för datan i proxies eller annan kompletterande utrustning.
Man kan dock samla data för analys från ett högsäkerhetsnätverk (t.ex. OT) till en databas i ett administrativt nät eller till och med i molnet med bibehållet ”air-gap” i en riktning via en datadiod. Behövs databasens information från lågsäkerhetsnätverket till högsäkerhetsnätverket kommer inte denna lösning fungera då inga svar från databasen kommer nå högsäkerhetsnätet. Som alternativ lösning kan man spegla ut en ”master”-databas till en ”presentations”-databas med olika tekniker för att på så sätt skydda ”master”-databasen i högsäkerhetsnätet från manipulation.
Skydd av samarbetsverktyg mot angrepp
Samarbetsverktyg som till exempel MS Teams är per definition dubbelriktad kommunikation. Då en datadiod endast kan hantera kommunikation i en riktning blir en datadiod i princip oanvändbar för denna typ av applikation.
Om man vill använda samarbetsverktyg internt i en isolerad miljö går det givetvis bra att använda en datadiod för att behålla isoleringen av nätet så länge samarbetstrafiken inte ska passera. Dagens samarbetsverktyg innehåller många funktioner och många sätt att kommunicera på. Vill man säkert kunna sända information (video/ljud/text) utan risk för att informationen manipuleras på servern, kan man med fördel använda en datadiod för att skydda sändarservern från mottagande nätverk.
Skydd för e-post
E-post är än i dag den viktigaste kommunikationsvägen i ett företag och trots konkurrensen från andra samarbetsverktyg behåller e-post sin position som ledande kommunikationsväg. Som ovan är e-post per definition tvåvägskommunikation och därmed inte en applikation som passar sig för en datadiod.
Undantaget är om man till exempel vill få ut larm eller annan information via e-post från ett isolerat nätverk. Då kan man hantera det genom en datadiod med hjälp av proxy-teknologi. Proxyn på den skyddade sidan kan då agera mail-server och proxyn på den öppna sidan agera mail-klient, alternativt om man har mailservrar på båda sidor kan båda proxies agera MTA (Mail Transfer Agent).
Fem saker du kan använda datadioder till
Du kan använda en datadiod till mycket mer än du tror. Det finns otaliga lösningar, men här är fem användningssätt som du kanske inte visste om!
1. Datadioder och IoT-sensornätverk
Om du har ett IoT-sensornätverk vill du kunna skydda nätverket från manipulation men fortfarande kunna exportera sensordata. Om sensorerna manipuleras kan det få stora konsekvenser eftersom det ofta kan vara väldigt kritisk information det gäller, samt att felaktig data inte får skickas. När sensordatan exporteras kan datadioden se till att informationen kommer ut, men att sensornätverket är skyddat mot hot. I detta fall kopplas datadioden så att endast export av sensordata är möjlig.
2. Datadioder och HTTP-spegel
En HTTP-spegel är ett sätt att spegla en hemsida in i ett skyddat nätverk för att kunna se innehållet på ett säkert sätt. På så sätt behöver man inte hämta informationen direkt online och begränsar då attackmöjligheterna. En datadiod ser till att hemsidan kan speglas/kopieras in i den skyddade miljön och säkerställer att ingen information kan läcka ut.
3. Datadioder och trafikavlyssning
Genom att använda dig av TAP (Test Access Point) eller portspegling (t.ex. SPAN) där trafiken tappas ut på en speglad port på vanligtvis en switch kan du göra en trafikavlyssning på en dubblett av trafiken. På detta sätt kan du övervaka OT- eller ICS-system utan säkerhetsrisker.
Det kan även vara värdefullt att veta om någon har varit inne i ens system och att kunna se exakt vad som skett – då kan man använda sig av ett så kallat intrusion detection-system. I detta fall kan en datadiod användas för att säkerställa att intrusion detection-systemet endast kan lyssna på trafiken, men inte på något sätt påverka systemen i OT/ICS.
4. Datadioder och videostreaming
När man videostreamar, exempelvis genom en övervakningskamera, kan en bra säkerhetslösning vara att låta de multipla strömmarna av information flöda genom en datadiod. Datadiodens syfte blir då att skydda IT-miljön så att kopplingen mellan kamera och nätverk inte blir en ingång för en attack.
5. Datadioder och loggning
Datadioder kan vara en bra lösning när man arbetar med loggning. Loggningens syfte är att kunna se om någonting gått snett, och i så fall vad, ungefär som en svart låda i ett flygplan. När man exporterar loggdata från en enhet som man vill övervaka kan en datadiod se till så att logginformationen endast kan gå åt ett håll, så att systemet för logganalys inte kan påverka de känsliga systemen som övervakas.
Läs mer om datadioder och vem som behöver en datadiod!
Kontakta gärna oss så berättar vi mer om hur datadioder kan hjälpa dig med dina säkerhetsutmaningar!