Geekly articles weekly

Y nuevamente sobre la protección de las infraestructuras virtuales.

En esta publicación, intentaremos sacar a nuestros lectores de ideas erróneas comunes sobre la seguridad de los servidores virtuales y decirnos cómo proteger adecuadamente nuestras nubes alquiladas a fines de 2019. El artículo está diseñado principalmente para nuestros clientes nuevos y potenciales, específicamente aquellos que acaban de comprar o quieren comprar servidores virtuales RUVDS , pero que no están muy versados ​​en ciberseguridad y VPS. Esperamos que para los usuarios expertos sea algo útil.


Cuatro enfoques incorrectos de seguridad en la nube


Hay opiniones que son bastante comunes entre los dueños de negocios y ejecutivos (en negrita) de que la seguridad cibernética de los servicios en la nube es a priori algo innecesario , ya que las nubes son seguras (1), o es la tarea de un proveedor de la nube : pagar por VPS significa que debe configurarse, ser seguro y funcionar sin problemas (2). Existe una tercera opinión inherente tanto a los especialistas en seguridad de la información como a los empresarios: ¡las nubes son peligrosas! Ninguna herramienta de seguridad conocida puede proporcionar la protección necesaria para entornos virtuales (3): los ejecutivos de negocios con este enfoque rechazan las tecnologías en la nube debido a la desconfianza o la incomprensión de la diferencia entre las herramientas de seguridad tradicionales y especializadas (sobre ellas a continuación). La cuarta categoría de ciudadanos cree que sí, que sería necesario proteger su infraestructura en la nube, porque existen antivirus estándar (4).

Todos estos cuatro enfoques están equivocados: pueden causar pérdidas (a menos que, a excepción del enfoque, no deba usar servidores virtuales en absoluto, pero aquí no debe descuidar el postulado comercial "la pérdida de ganancias también es una pérdida"). Para ilustrar algunas estadísticas, citamos el informe del experto en soporte de ventas corporativas de Kaspersky Lab, Vladimir Ostroverkhov, que publicamos en el verano de 2017. Luego, Kaspersky realizó una encuesta entre cinco mil empresas de 25 países: estas son grandes empresas con al menos mil quinientos empleados El 75% de ellos usan virtualización, pero no invierten en protección. El problema no ha perdido relevancia hoy:

“Alrededor de la mitad de las compañías [grandes] no usan ninguna protección para máquinas virtuales, y la segunda mitad cree que cualquier antivirus estándar es suficiente. Todas estas empresas [cada una] en promedio gastan casi un millón de dólares [por año] en recuperarse de incidentes: investigar, recuperar un sistema, recuperar costos, compensar las pérdidas de un solo ataque ... ¿Cuál sería su costo si ellos mismos compromiso? Pérdidas directas en la restauración, reemplazo de equipos, software ... Pérdidas indirectas - reputación ... Pérdidas en compensación para sus clientes, incluida la reputación ... Y también investigación de incidentes, reemplazo parcial de infraestructura, porque ya se ha comprometido, estos son diálogos con gobiernos, estos son diálogos con compañías de seguros, diálogos con clientes que tienen que pagar una indemnización ".

Por qué estos enfoques no funcionan


Enfoque 1: las nubes son seguras, no necesitan protección . Alrededor de 240 mil unidades de software malicioso que aparecen todos los días "viven" perfectamente dentro de las nubes: desde un código simple que un estudiante de la escuela escribió y publicó en Internet (lo que significa que puede dañar los datos) hasta ataques específicos y complejos diseñados específicamente para organizaciones, casos y casos específicos. situaciones que son muy buenas no solo para romper y robar datos, sino también para "esconderse". La infraestructura virtual también es interesante para los piratas informáticos: es mucho más fácil piratear y obtener acceso a todas sus máquinas virtuales y datos a la vez que intentar piratear cada servidor físico por separado. Además, vale la pena considerar que dentro de la infraestructura virtual el código malicioso se propaga a una velocidad tremenda: decenas de miles de máquinas pueden infectarse en diez minutos, lo que equivale a una epidemia (ver el informe anterior). Los programas maliciosos y las acciones de ransomware que contribuyen a la filtración de datos de la empresa representan aproximadamente el 27% del número total de "peligros" nublados. Los puntos más vulnerables en la nube son: interfaces desprotegidas y acceso no autorizado: alrededor del 80% en total (según un estudio de Cloud Security Report 2019 con el apoyo de Check Point Software Technologies Ltd., un proveedor líder de soluciones de ciberseguridad para gobiernos y empresas corporativas de todo el mundo).


Informe de seguridad en la nube 2019

Enfoque 2: proteger la infraestructura de la nube es la misión del SPV. Esto es en parte cierto, porque el proveedor del servidor virtual se preocupa por la estabilidad de sus sistemas, por un nivel bastante alto de protección para los componentes principales de la nube: servidores, unidades, redes, virtualización (regulado por el acuerdo de nivel de servicio, SLA). Pero no tiene que preocuparse por prevenir las amenazas internas y externas que puedan surgir en la infraestructura de la nube del cliente. Permitámonos una analogía dental aquí. Después de haber pagado incluso mucho dinero por un buen implante, el cliente de la clínica dental entiende que el funcionamiento adecuado de la prótesis depende en gran medida de sí mismo (el cliente). Por su parte, el dentista-dentista hizo todo lo necesario en términos de seguridad: recogió materiales de alta calidad, "pegó" firmemente el implante, no rompió la mordida, curó la encía después de la cirugía, etc. Y si el usuario no sigue las reglas de higiene en el futuro, vamos a , abra las tapas metálicas de las botellas con los dientes y realice otras acciones inseguras similares, entonces será imposible garantizar el buen trabajo de un diente nuevo. La misma historia con 100% de seguridad en la nube para alquilar de un proveedor de VPS. "No está en la jurisdicción" del proveedor de servicios en la nube que protege los datos y las aplicaciones del cliente es su responsabilidad personal.

Enfoque 3: ninguna herramienta de seguridad puede proporcionar la protección necesaria para entornos virtuales. En absoluto Existen soluciones de seguridad especializadas basadas en la nube que cubriremos en la última parte de este artículo.

Enfoque 4: Uso de un antivirus estándar (protección tradicional). Es importante saber que las herramientas de seguridad tradicionales que todos están acostumbrados a usar en computadoras locales simplemente no están diseñadas para entornos virtuales distribuidos (no "ven" cómo se lleva a cabo la comunicación entre máquinas virtuales) y no protegen la infraestructura virtual interna de un intento de piratería interna. En pocas palabras, los antivirus convencionales casi no funcionan en la nube. Al mismo tiempo, instalados en cada WM, consumen una gran cantidad de recursos de todo el ecosistema virtual al buscar virus y actualizaciones, "malgastando" la red e inhibiendo el trabajo de la empresa, pero dando una eficiencia casi nula como resultado de su trabajo principal.

En las siguientes dos secciones del artículo, enumeraremos qué peligros pueden surgir cuando una empresa opera en las nubes (privadas, públicas, híbridas) y explicaremos cómo estos peligros pueden y deben prevenirse correctamente.

Los peligros que amenazan constantemente los servicios en la nube


▍ Ataques de red remotos


Este es un tipo diferente de efecto destructivo de la información en un sistema informático distribuido, llevado a cabo mediante programación a través de canales de comunicación para lograr diferentes objetivos. El más común de ellos:

  • Ataque DDoS ( Denegación de servicio distribuida ). Envío masivo de solicitudes de información al servidor para consumir recursos o ancho de banda en el sistema atacado con el fin de desactivar el sistema de destino, causando daños a la empresa. Utilizado por los competidores como un servicio personalizado, extorsionistas, activistas políticos y gobiernos para recibir dividendos políticos. Dichos ataques se llevan a cabo utilizando una red de bots: una red de computadoras con bots instalados en ellas (software que puede contener virus, programas para controlar remotamente una computadora y herramientas para esconderse del sistema operativo) que los piratas informáticos utilizan de forma remota para distribuir spam y ransomware. Lea más en nuestra publicación DDoS: IT Maniacs at the Edge of the Attack .
  • Ping Flooding - para llamar a la congestión de línea.
  • Ping of Death : para hacer que el sistema se congele, reinicie y se bloquee.
  • Ataques a nivel de aplicación : para obtener acceso a una computadora que permite iniciar aplicaciones para una cuenta específica (sistema privilegiado).
  • Fragmentación de datos : para la terminación anormal del sistema a través del desbordamiento de las memorias intermedias de software.
  • Autores : para automatizar el proceso de piratería mediante el escaneo de una gran cantidad de sistemas en poco tiempo mediante la instalación de rootkit.
  • Sniffing - para escuchar el canal.
  • Paquetes imponentes : para cambiar a su computadora la conexión establecida entre otras computadoras.
  • Captura de paquetes en el enrutador: para recibir contraseñas de usuario e información del correo electrónico.
  • IP Spoofing : para que un pirata informático dentro o fuera de la red pueda hacerse pasar por una computadora en la que puede confiar. Se lleva a cabo mediante la sustitución de la dirección IP.
  • Ataques de fuerza bruta (fuerza bruta): para seleccionar una contraseña enumerando combinaciones. Explotan vulnerabilidades en RDP y SSH.
  • Pitufo : para reducir el ancho de banda del canal de comunicación y / o aislar completamente la red atacada.
  • Suplantación de identidad de DNS : para dañar la integridad de los datos en el sistema DNS a través del "envenenamiento" de la caché de DNS.
  • Sustitución de host de confianza : para poder realizar una sesión con el servidor en nombre de un host de confianza.
  • TCP SYN Flood : para desbordamiento de memoria del servidor.
  • Man-in-the-middle : para robar información, distorsionar datos, ataques DoS, piratear la sesión de comunicación actual para obtener acceso a recursos de red privada, analizar el tráfico para obtener información sobre la red y sus usuarios.
  • Inteligencia de red : para examinar información sobre la red y las aplicaciones que se ejecutan en hosts antes de un ataque.
  • Redirección de puerto : un tipo de ataque que utiliza un host pirateado para transmitir tráfico a través de un firewall. Por ejemplo, si el firewall está conectado a tres hosts (en el exterior, en el interior y en el segmento de servicios públicos), entonces el host externo tiene la oportunidad de comunicarse con el host interno al reasignar puertos en el host de servicios públicos.
  • Explotación de confianza : ataques que ocurren cuando alguien aprovecha las relaciones de confianza dentro de la red. Por ejemplo, piratear un sistema dentro de la red corporativa (servidores HTTP, DNS, SMTP) puede conducir a piratear otros sistemas.

▍Ingeniería social


  • Phishing : para obtener información confidencial (contraseñas, números de tarjetas bancarias, etc.) a través de un boletín informativo en nombre de organizaciones conocidas, bancos.
  • Sniffers de paquetes: para acceder a información crítica, incluidas las contraseñas. Es exitoso en gran medida porque los usuarios a menudo usan su nombre de usuario y contraseña repetidamente para obtener acceso a varias aplicaciones y sistemas. De esta manera, un hacker puede obtener acceso a la cuenta de usuario del sistema y crear una nueva cuenta a través de ella para tener acceso a la red y sus recursos en cualquier momento.
  • Pretexting es un ataque con guión que utiliza la comunicación de voz, cuyo propósito es obligar a la víctima a tomar una acción.
  • Caballo de Troya : una técnica basada en las emociones de la víctima: miedo, curiosidad. El software malicioso generalmente se encuentra en el archivo adjunto del correo electrónico.
  • Quid sobre el quo (entonces para esto, servicio por servicio): el contacto de un atacante a través de un teléfono corporativo o correo electrónico disfrazado de un oficial de soporte técnico que informa problemas en la computadora de la víctima y sugiere resolverlos. El objetivo es instalar software y ejecutar comandos maliciosos en esta computadora.
  • Apple itinerante : arrojar medios de almacenamiento físicos infectados a lugares públicos corporativos (memoria USB en el inodoro, conducir en el elevador), equipados con inscripciones que despiertan curiosidad.
  • Recolección de información de redes sociales.

▍ exploits


Cualquier ataque ilegal y no autorizado dirigido a obtener datos, o interrumpir el funcionamiento del sistema, o tomar el control del sistema se llaman exploits. Son causados ​​por errores en el proceso de desarrollo de software, como resultado de las cuales aparecen vulnerabilidades en el sistema de protección del programa que los ciberdelincuentes utilizan con éxito para obtener acceso ilimitado al programa en sí, y a través de él a toda la computadora y más a la red de máquinas.

▍Competencia de cuentas


Hackear por una persona no autorizada una cuenta de un empleado de una empresa para obtener acceso a información protegida: desde la intercepción de información (incluido el sonido) y las claves con malware hasta que penetre en el almacenamiento físico del medio de información.

▍Competencia de repositorios


Infección de servidores de repositorio de archivos instaladores de software, actualizaciones y bibliotecas.

▍ Riesgos internos de la empresa.


Esto incluye fugas de información causadas por los propios empleados de la empresa. Esto puede ser simple negligencia o acciones maliciosas deliberadas: desde el sabotaje selectivo de las políticas de seguridad administrativa hasta la venta de información confidencial a un lado. Estos incluyen acceso no autorizado, interfaces inseguras, configuración incorrecta de plataformas en la nube y la instalación / uso de aplicaciones no autorizadas.

Ahora veamos cómo evitar una lista tan extensa (y lejos de ser completa) de problemas de seguridad en la nube.

Soluciones modernas de seguridad en la nube especializadas


Cada infraestructura en la nube requiere una seguridad integral de varios niveles. Los métodos que se describen a continuación lo ayudarán a comprender en qué debe consistir un conjunto de medidas para garantizar la seguridad en la nube.

▍Antivirus


Es importante recordar que cualquier antivirus tradicional no será confiable al tratar de proporcionar seguridad en la nube. Debe usar una solución diseñada específicamente para entornos virtuales y en la nube, e instalarla también tiene sus propias reglas en este caso. Hoy en día, hay dos formas de garantizar la seguridad en la nube mediante el uso de antivirus especializados de múltiples componentes desarrollados con las últimas tecnologías: protección sin agentes y protección con agentes ligeros.

Protección sin agente. Está desarrollado en la compañía VMware y solo es posible en sus soluciones. Se implementan dos máquinas virtuales adicionales en el servidor físico con máquinas virtuales: Protection Server (SVM) y Network Attack Blocker (NAB). Nada se coloca dentro de cada uno de ellos. En SVM, un dispositivo de seguridad dedicado, solo se instala el motor antivirus. En una máquina NAB, este componente solo es responsable de verificar las comunicaciones entre las máquinas virtuales y lo que está sucediendo en el ecosistema (y de comunicarse con la tecnología NSX). Este SVM maneja la verificación de todo el tráfico que llega al servidor físico. Compone un grupo de veredicto que es accesible para todas las máquinas de defensa virtuales a través de un caché de veredicto común. Cada máquina virtual de protección aborda este grupo en primer lugar, en lugar de escanear todo el sistema; este principio permite reducir los costos de recursos y acelerar el ecosistema.


Protección con un agente ligero. Desarrollado por Kaspersky y no tiene restricciones de VMware. Al igual que en la protección sin agente, se instala un motor antivirus en SVM, pero en contraste, todavía hay un agente ligero instalado dentro de cada WM. El agente no realiza verificaciones, sino que solo monitorea todo lo que sucede dentro del WM nativo basado en la tecnología de las redes de autoaprendizaje. Esta tecnología recuerda la secuencia correcta de aplicaciones; Frente al hecho de que la secuencia de acciones de la aplicación dentro de WM no ocurre correctamente, la bloquea.


Lea más sobre Seguridad para entornos virtuales en el sitio web del desarrollador , y cómo instalar la protección antivirus con un agente fácil para su servidor virtual, lea nuestra guía de referencia (en la parte inferior de la página encontrará contactos de soporte técnico las 24 horas en caso de tener alguna pregunta).

▍ Integración con servicios para prevenir o solucionar problemas relacionados con la seguridad en la nube


  • Plataformas de gestión del cambio. Estos son servicios probados que respaldan los procesos centrales de ITSM de la compañía, incluida la seguridad de TI y los incidentes. Por ejemplo, ServiceNow, Remedy, JIRA.
  • Herramientas de escaneo de seguridad. Por ejemplo, Rapid7, Qualys, Tenable.
  • Herramientas de gestión de configuración. Le permiten automatizar el funcionamiento de los servidores y, por lo tanto, simplificar la configuración y el mantenimiento de decenas, cientos e incluso miles de servidores que se pueden distribuir en todo el mundo. Por ejemplo, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
  • Herramientas para la gestión segura de notificaciones. Permitirle brindar un servicio continuo y continuar monitoreando la situación durante los incidentes, brindar soporte competente para la integración con el teléfono, la mensajería y el correo electrónico (según Cisco, más del 85% de los mensajes de correo electrónico eran spam en julio de 2019, lo que podría contener malware, intentos de phishing, etc. Actualmente, los programas maliciosos a menudo se envían a través de los tipos "habituales" de archivos adjuntos: los archivos adjuntos maliciosos más comunes en el correo electrónico son Microsoft Office Ly más -. En el informe de seguridad de correo electrónico de Cisco para junio de 2019 ). Tal herramienta podría ser, por ejemplo, OpsGenie.



▍ Protección contra exploits


Dado que las vulnerabilidades son las consecuencias de las vulnerabilidades en el software, son los desarrolladores de este software quienes deben corregir los errores en su producto. La responsabilidad de los usuarios incluye la instalación oportuna de service packs y parches inmediatamente después de su lanzamiento. No te pierdas las actualizaciones que ayudan a usar la herramienta de búsqueda automática e instalar actualizaciones o el administrador de aplicaciones con esta función. Kaspersky Security .


, . . , . . RDP SSH IP . . RUVDS . , . Para mayor conveniencia del cliente, las reglas de filtrado más utilizadas se han agregado a la interfaz del firewall. IP , .


▍ DDoS-


,
( ) . , , , RUVDS 24/7, 1500 /. . RUVDS 0.5 /, — 400 . por mes



, , ( ). , ( , , « » ), , , , .

Esperamos que el artículo haya sido útil. Como siempre, agradecemos comentarios constructivos, nueva información, opiniones interesantes, así como informes de cualquier inexactitud en el material.


Source: https://habr.com/ru/post/481018/

More articles:


All Articles