Geekly articles weekly

Und noch einmal zum Schutz virtueller Infrastrukturen

In diesem Beitrag werden wir versuchen, unsere Leser aus gängigen Missverständnissen bezüglich der Sicherheit virtueller Server herauszuholen und uns zu erklären, wie wir unsere gemieteten Clouds Ende 2019 ordnungsgemäß schützen können. Der Artikel richtet sich hauptsächlich an unsere neuen und potenziellen Kunden, insbesondere an diejenigen, die gerade virtuelle RUVDS-Server gekauft haben oder kaufen möchten , sich aber nicht sehr mit Cybersicherheit und VPS auskennen . Wir hoffen, dass es für sachkundige Benutzer etwas Nützliches ist.


Vier falsche Cloud-Sicherheitsansätze


Es gibt unter Geschäftsinhabern und Führungskräften weit verbreitete Meinungen (wir werden sie fett hervorheben), dass die Gewährleistung der Cybersicherheit von Cloud-Diensten entweder nicht von vornherein erforderlich ist , da die Cloud sicher ist (1), oder es ist die Aufgabe des Cloud-Anbieters : Bezahlt für VPS bedeutet dies sollten konfiguriert und sicher sein und problemlos funktionieren (2). Sowohl den Spezialisten für Informationssicherheit als auch den Geschäftsleuten ist eine dritte Meinung eigen: Wolken sind gefährlich! Keine bekannten Sicherheitstools bieten den erforderlichen Schutz für virtuelle Umgebungen (3). Führungskräfte in diesem Ansatz lehnen Cloud-Technologien aufgrund von Misstrauen oder Missverständnissen zwischen herkömmlichen und spezialisierten Sicherheitstools ab (siehe unten). Die vierte Kategorie von Bürgern glaubt, dass es notwendig wäre, ihre Cloud-Infrastruktur zu schützen, da es Standard-Virenschutzprogramme gibt (4).

Alle diese vier Ansätze sind falsch - sie können Verluste verursachen (es sei denn, Sie sollten mit Ausnahme des Ansatzes überhaupt keine virtuellen Server verwenden, aber hier sollten Sie das Geschäftspostulat „entgangener Gewinn ist auch ein Verlust“ nicht vernachlässigen). Zur Veranschaulichung einiger Statistiken zitieren wir den Bericht von Vladimir Ostroverkhov, Experte für Vertriebsunterstützung bei Kaspersky Lab, den wir im Sommer 2017 veröffentlicht haben. Anschließend führte Kaspersky eine Umfrage unter fünftausend Unternehmen aus 25 Ländern durch - dies sind große Unternehmen mit mindestens anderthalb Tausend mitarbeiter. 75% von ihnen nutzen Virtualisierung, investieren jedoch nicht in Schutz. Das Problem hat heute nicht an Relevanz verloren:

„Ungefähr die Hälfte der [großen] Unternehmen verwendet keinen Schutz für virtuelle Maschinen, und die zweite Hälfte ist der Ansicht, dass jeder Standard-Virenschutz ausreicht. Alle diese Unternehmen geben im Durchschnitt fast eine Million Dollar [pro Jahr] für die Wiederherstellung von Vorfällen aus: Nachforschungen anstellen, ein System wiederherstellen, Kosten wiederherstellen, Verluste aus einem einzigen Hack kompensieren ... Was wären ihre Kosten, wenn sie selbst Kompromiss? Direkte Verluste bei Wiederherstellung, Austausch von Geräten, Software ... Indirekte Verluste - Reputation ... Verluste bei der Entschädigung ihrer Kunden, einschließlich Reputation ... Und auch Untersuchung von Vorfällen, teilweiser Austausch der Infrastruktur, weil sie sich bereits selbst kompromittiert hat, das sind Dialoge mit Regierungen, das sind Dialoge mit Versicherungsunternehmen, Dialoge mit Kunden, die eine Entschädigung zahlen müssen. “

Warum funktionieren diese Ansätze nicht?


Ansatz 1: Die Wolken sind sicher, sie müssen nicht geschützt werden . Ungefähr 240.000 Einheiten bösartiger Software, die jeden Tag in den Clouds "live" auftauchen: vom einfachen Code, den ein Schüler im Internet geschrieben und gepostet hat (was bedeutet, dass er möglicherweise Daten beschädigt), bis hin zu komplexen gezielten Angriffen, die speziell für bestimmte Organisationen, Fälle und Fälle entwickelt wurden Situationen, die sehr gut darin sind, Daten nicht nur zu knacken und zu stehlen, sondern sich auch selbst zu „verstecken“. Die virtuelle Infrastruktur ist auch für Hacker interessant: Es ist viel einfacher, alle virtuellen Maschinen und Daten gleichzeitig zu hacken und auf sie zuzugreifen, als jeden physischen Server einzeln zu hacken. Darüber hinaus ist zu berücksichtigen, dass sich Schadcode innerhalb der virtuellen Infrastruktur mit einer enormen Geschwindigkeit ausbreitet - Zehntausende von Computern können in zehn Minuten infiziert werden, was einer Epidemie entspricht (siehe obigen Bericht ). Böswillige Programme und Ransomware-Aktionen, die zum Verlust von Unternehmensdaten beitragen, machen etwa 27% der Gesamtzahl der trüben „Gefahren“ aus. Die am stärksten gefährdeten Punkte in der Cloud sind: ungeschützte Schnittstellen und nicht autorisierter Zugriff - insgesamt etwa 80% (laut einer Studie des Cloud Security Report 2019 mit Unterstützung von Check Point Software Technologies Ltd., einem weltweit führenden Anbieter von Cybersicherheitslösungen für Regierungen und Unternehmen).


Cloud-Sicherheitsbericht 2019

Ansatz 2: Der Schutz der Cloud-Infrastruktur ist die Mission des VPS. Dies ist zum Teil der Fall, weil der Anbieter von virtuellen Servern sich um die Stabilität seiner Systeme und um ein relativ hohes Schutzniveau für die Hauptkomponenten der Cloud kümmert: Server, Laufwerke, Netzwerke, Virtualisierung (geregelt durch das Service Level Agreement, SLA). Er muss sich jedoch nicht darum kümmern, interne und externe Bedrohungen zu verhindern, die in der Cloud-Infrastruktur des Kunden auftreten können. Lassen Sie uns hier eine zahnärztliche Analogie zulassen. Nachdem der Kunde der Zahnklinik viel Geld für ein gutes Implantat bezahlt hat, weiß er, dass die ordnungsgemäße Funktion der Prothese weitgehend von ihm selbst (dem Kunden) abhängt. Der Zahnarzt-Zahnarzt hat seinerseits alles getan, was für die Sicherheit notwendig ist: Er hat hochwertige Materialien aufgenommen, das Implantat fest „fixiert“, den Biss nicht gebrochen, das Zahnfleisch nach der Operation geheilt usw. Und wenn der Benutzer in Zukunft die Hygienevorschriften nicht einhält, lassen Sie uns Öffnen Sie die Metallflaschenverschlüsse mit Ihren Zähnen und führen Sie ähnliche unsichere Handlungen durch, dann ist es unmöglich, die gute Arbeit eines neuen Zahns zu garantieren. Die gleiche Geschichte mit 100% Cloud-Sicherheit für von einem VPS-Anbieter gemietet. "Nicht in der Gerichtsbarkeit" des Cloud-Dienstanbieters, der die Daten und Anwendungen des Kunden schützt, liegt in seiner persönlichen Verantwortung.

Ansatz 3: Keine Sicherheitstools bieten den erforderlichen Schutz für virtuelle Umgebungen. Gar nicht. Es gibt spezielle cloudbasierte Sicherheitslösungen, auf die wir im letzten Teil dieses Artikels eingehen werden.

Ansatz 4: Verwenden eines Standard-Virenschutzes (traditioneller Schutz). Es ist wichtig zu wissen, dass herkömmliche Sicherheitstools, die jeder gewohnt ist, auf lokalen Computern zu verwenden, einfach nicht für verteilte virtuelle Umgebungen konzipiert sind (sie „sehen“ nicht, wie die Kommunikation zwischen virtuellen Maschinen stattfindet) und die interne virtuelle Infrastruktur nicht vor einem internen Hacking-Versuch schützen. Einfach ausgedrückt, funktionieren herkömmliche Virenschutzprogramme in der Cloud fast nicht. Gleichzeitig verbrauchen sie auf jedem WM eine enorme Menge an Ressourcen des gesamten virtuellen Ökosystems bei Virenprüfungen und -aktualisierungen, „verschwenden“ das Netzwerk und behindern die Arbeit des Unternehmens, führen jedoch aufgrund seiner Hauptarbeit zu einer Effizienz von nahezu null.

In den nächsten beiden Abschnitten des Artikels werden wir auflisten, welche Gefahren entstehen können, wenn ein Unternehmen in den Clouds operiert (privat, öffentlich, hybride) und wie diese Gefahren richtig verhindert werden können und sollten.

Die Gefahren, die Cloud-Dienste ständig bedrohen


▍ Remote-Netzwerkangriffe


Dies ist eine andere Art von informationsdestruktiver Auswirkung auf ein verteiltes Computersystem, die programmgesteuert über Kommunikationskanäle ausgeführt wird, um unterschiedliche Ziele zu erreichen. Die häufigsten von ihnen:

  • DDoS-Angriff ( Distributed Denial of Service ). Massives Senden von Informationsanfragen an den Server, um Ressourcen oder Bandbreite auf dem angegriffenen System zu verbrauchen, um das Zielsystem zu deaktivieren und damit dem Unternehmen Schaden zuzufügen. Von Wettbewerbern als Zolldienst, Erpressern, politischen Aktivisten und Regierungen genutzt, um politische Dividenden zu erhalten. Solche Angriffe werden über ein Botnetz ausgeführt - ein Netzwerk von Computern mit darauf installierten Bots (Software, die Viren enthalten kann, Programme zur Fernsteuerung eines Computers und Tools, die sich vor dem Betriebssystem verstecken), die von Hackern zur Fernverteilung von Spam und Ransomware verwendet werden. Lesen Sie mehr in unserem DDoS- Beitrag : IT-Maniacs am Rande des Angriffs .
  • Ping Flooding ( Ping-Überschwemmung) - um eine Leitungsüberlastung zu melden.
  • Ping of Death - um das System zum Einfrieren, Neustarten und Abstürzen zu bringen.
  • Angriffe auf Anwendungsebene - um Zugriff auf einen Computer zu erhalten, mit dem Anwendungen für ein bestimmtes (privilegiertes System-) Konto gestartet werden können.
  • Datenfragmentierung - Bei abnormaler Systembeendigung durch Überlauf von Softwarepuffern.
  • Autoren - Automatisieren Sie den Hacking-Prozess, indem Sie durch Installation des Rootkits in kurzer Zeit eine große Anzahl von Systemen scannen.
  • Schnüffeln - um den Kanal zu hören.
  • Imposante Pakete - um die zwischen anderen Computern hergestellte Verbindung zu Ihrem Computer zu wechseln.
  • Paketerfassung auf dem Router - um Benutzerkennwörter und Informationen per E-Mail zu erhalten.
  • IP-Spoofing - damit sich ein Hacker innerhalb oder außerhalb des Netzwerks als ein Computer ausgibt, dem Sie vertrauen können. Dies erfolgt durch Ersetzen der IP-Adresse.
  • Brute- Force- Angriffe (Brute-Force) - Zum Auswählen eines Kennworts durch Auflisten von Kombinationen. Sie nutzen Schwachstellen in RDP und SSH aus.
  • Schlumpf - um die Bandbreite des Kommunikationskanals zu reduzieren und / oder das angegriffene Netzwerk vollständig zu isolieren.
  • DNS-Spoofing - Beschädigung der Integrität von Daten im DNS-System durch "Vergiftung" des DNS-Cache.
  • Vertrauenswürdige Hostersetzung - um eine Sitzung mit dem Server für einen vertrauenswürdigen Host durchführen zu können.
  • TCP SYN Flood - für Server-Speicherüberlauf.
  • Man-in-the-Middle - um Informationen zu stehlen, Daten zu verzerren, DoS-Angriffe auszuführen, die aktuelle Kommunikationssitzung zu hacken, um auf private Netzwerkressourcen zuzugreifen, den Datenverkehr zu analysieren und Informationen über das Netzwerk und seine Benutzer zu erhalten.
  • Netzwerkintelligenz - um Informationen über das Netzwerk und die auf Hosts ausgeführten Anwendungen vor einem Angriff zu überprüfen.
  • Portumleitung - Eine Art von Angriff, bei dem ein gehackter Host verwendet wird, um Datenverkehr durch eine Firewall zu übertragen. Wenn die Firewall beispielsweise mit drei Hosts verbunden ist (außen, innen und im Segment der öffentlichen Dienste), erhält der externe Host die Möglichkeit, mit dem internen Host zu kommunizieren, indem er Ports auf dem Host der öffentlichen Dienste neu zuweist.
  • Vertrauensausnutzung - Angriffe, die auftreten, wenn jemand die Vertrauensbeziehungen im Netzwerk nutzt. Beispielsweise kann das Hacken eines Systems innerhalb des Unternehmensnetzwerks (HTTP-, DNS-, SMTP-Server) zum Hacken anderer Systeme führen.

▍Sozialtechnik


  • Phishing - um vertrauliche Informationen (Passwörter, Bankkartennummern usw.) über einen Newsletter im Namen bekannter Organisationen, Banken zu erhalten.
  • Packet Sniffer - um auf wichtige Informationen, einschließlich Passwörter, zuzugreifen. Dies ist vor allem deshalb erfolgreich, weil Benutzer ihren Benutzernamen und ihr Kennwort häufig wiederholt verwenden, um Zugriff auf verschiedene Anwendungen und Systeme zu erhalten. Auf diese Weise kann ein Hacker Zugriff auf das Systembenutzerkonto erhalten und über dieses ein neues Konto erstellen, um jederzeit Zugriff auf das Netzwerk und seine Ressourcen zu erhalten.
  • Pretexting ist ein skriptbasierter Angriff mit Sprachkommunikation, mit dem das Opfer zum Handeln gezwungen werden soll.
  • Trojanisches Pferd - eine Technik, die auf den Emotionen des Opfers basiert: Angst, Neugier. Schädliche Software befindet sich normalerweise im E-Mail-Anhang.
  • Quid about the quo (Service for Service) - der Kontakt eines Angreifers über ein Unternehmenstelefon oder eine E-Mail, der als technischer Support-Mitarbeiter getarnt ist und Probleme auf dem Computer des Opfers meldet und eine Lösung vorschlägt. Ziel ist es, auf diesem Computer Software zu installieren und böswillige Befehle auszuführen.
  • Auf dem Weg zum Apfel werfen Sie infizierte physische Speichermedien in die öffentlichen Bereiche von Unternehmen (Flash-Laufwerk in der Toilette, Laufwerk im Aufzug), die mit neugierigen Inschriften versehen sind.
  • Sammlung von Informationen aus sozialen Netzwerken.

▍ Exploits


Alle rechtswidrigen und nicht autorisierten Angriffe, die darauf abzielen, Daten abzurufen, die Funktionsweise des Systems zu stören oder die Kontrolle über das System zu übernehmen, werden als Exploits bezeichnet. Sie werden durch Fehler im Softwareentwicklungsprozess verursacht, wodurch Schwachstellen im Programmschutzsystem auftreten, die von Cyberkriminellen erfolgreich genutzt werden, um uneingeschränkten Zugriff auf das Programm selbst und damit auf den gesamten Computer und das Computernetzwerk zu erhalten.

▍Kontowettbewerb


Hacken eines Kontos eines Mitarbeiters eines Unternehmens durch eine nicht autorisierte Person, um Zugriff auf geschützte Informationen zu erhalten: vom Abfangen von Informationen (einschließlich Sound) und Schlüsseln mit Malware bis zum Eindringen in den physischen Speicher des Informationsmediums.

▍Wettbewerb der Repositories


Infektion von Repository-Servern mit Software-Installationsdateien, Updates und Bibliotheken.

▍ Interne Risiken des Unternehmens


Dies schließt Informationslecks ein, die von den Mitarbeitern des Unternehmens selbst verursacht wurden. Dies kann einfache Fahrlässigkeit oder vorsätzliche böswillige Handlungen sein: von der gezielten Sabotage administrativer Sicherheitsrichtlinien bis zum Verkauf vertraulicher Informationen an die Seite. Dazu gehören nicht autorisierter Zugriff, unsichere Schnittstellen, nicht ordnungsgemäße Konfiguration von Cloud-Plattformen und die Installation / Verwendung nicht autorisierter Anwendungen.

Schauen wir uns nun an, wie eine so umfangreiche (und noch lange nicht vollständige) Liste von Cloud-Sicherheitsproblemen vermieden werden kann.

Moderne spezialisierte Cloud-Sicherheitslösungen


Jede Cloud-Infrastruktur erfordert umfassende mehrstufige Sicherheit. Mit den nachfolgend beschriebenen Methoden können Sie nachvollziehen, aus welchen Maßnahmen die Sicherheit in der Cloud bestehen soll.

▍Antiviren


Es ist wichtig zu bedenken, dass herkömmliche Antivirenprogramme nicht zuverlässig sind, wenn es darum geht, Cloud-Sicherheit zu gewährleisten. Sie müssen eine Lösung verwenden, die speziell für virtuelle Umgebungen und Cloud-Umgebungen entwickelt wurde. Für die Installation gelten in diesem Fall auch eigene Regeln. Heutzutage gibt es zwei Möglichkeiten, um die Cloud-Sicherheit mithilfe spezialisierter Mehrkomponenten-Virenschutzprogramme zu gewährleisten, die mit den neuesten Technologien entwickelt wurden: agentenloser Schutz und Schutz vor leichten Agenten.

Agentenloser Schutz. Es wurde in der Firma VMware entwickelt und ist nur mit deren Lösungen möglich. Zwei zusätzliche virtuelle Maschinen werden auf dem physischen Server mit virtuellen Maschinen bereitgestellt: Protection Server (SVM) und Network Attack Blocker (NAB). Nichts ist in jedem von ihnen platziert. In SVM, einem dedizierten Sicherheitsgerät, ist nur die Antiviren-Engine installiert. In einer NAB-Maschine ist diese Komponente nur für die Überprüfung der Kommunikation zwischen virtuellen Maschinen und den Vorgängen im Ökosystem (und für die Kommunikation mit der NSX-Technologie) verantwortlich. Die Überprüfung des gesamten Datenverkehrs auf dem physischen Server wird von dieser SVM durchgeführt. Es erstellt einen Urteilspool, auf den alle virtuellen Verteidigungsmaschinen über einen gemeinsamen Urteilscache zugreifen können. Jede virtuelle Schutzmaschine adressiert diesen Pool in erster Linie, anstatt das gesamte System zu scannen - dieses Prinzip ermöglicht es, die Ressourcenkosten zu senken und das Ökosystem zu beschleunigen.


Schutz mit einem Lichtmittel. Entwickelt von Kaspersky und ohne VMware-Einschränkungen. Wie beim agentenlosen Schutz ist auf SVM eine Antiviren-Engine installiert, aber im Gegensatz dazu ist in jedem WM noch ein Light Agent installiert. Der Agent führt keine Überprüfungen durch, sondern überwacht nur alles, was im nativen WM geschieht, basierend auf der Technologie von selbstlernenden Netzwerken. Diese Technologie merkt sich die richtige Reihenfolge der Anwendungen. Angesichts der Tatsache, dass die Abfolge der Aktionen der Anwendung innerhalb von WM nicht korrekt ausgeführt wird, wird sie blockiert.


Weitere Informationen zu Sicherheit für virtuelle Umgebungen finden Sie auf der Website des Entwicklers. Informationen zum Installieren des Virenschutzes mit einem einfachen Agenten für Ihren virtuellen Server finden Sie in unserem Referenzhandbuch (unten auf der Seite finden Sie Ansprechpartner für technischen Support rund um die Uhr, falls Sie Fragen haben).

▍Integration mit Diensten, um Probleme mit der Cloud-Sicherheit zu vermeiden oder zu beheben


  • Change Management-Plattformen. Hierbei handelt es sich um bewährte Services, die die ITSM-Kernprozesse des Unternehmens unterstützen, einschließlich IT-Sicherheit und Incidents. Zum Beispiel ServiceNow, Remedy, JIRA.
  • Sicherheitsscan-Tools. Zum Beispiel Rapid7, Qualys, Tenable.
  • Konfigurationsmanagement-Tools. Sie ermöglichen es Ihnen, den Betrieb von Servern zu automatisieren und dadurch die Konfiguration und Wartung von Zehn-, Hundert- und sogar Tausenden von Servern zu vereinfachen, die auf der ganzen Welt verteilt werden können. Zum Beispiel TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
  • Tools für sicheres Benachrichtigungsmanagement. Sie können einen kontinuierlichen Service bereitstellen und die Situation bei Vorfällen weiterhin überwachen und kompetenten Support für die Integration von Telefon, Messaging und E-Mail leisten. (Laut Cisco waren im Juli 2019 mehr als 85% der E-Mail-Nachrichten Spam, der möglicherweise Malware enthält.) Phishing-Versuche usw. Derzeit werden bösartige Programme häufig über die „üblichen“ Arten von Anhängen gesendet: die häufigsten bösartigen Anhänge in E-Mails Microsoft Office ly Mehr -. Im Bericht von Cisco E-Mail - Sicherheit für Juni 2019 ). Ein solches Tool könnte beispielsweise OpsGenie sein.



▍ Schutz vor Exploits


Da Exploits die Folgen von Sicherheitslücken in Software sind, müssen die Entwickler dieser Software Fehler in ihrem Produkt beheben. Die Verantwortung der Benutzer umfasst die rechtzeitige Installation von Service Packs und Patches direkt nach ihrer Veröffentlichung. Verpassen Sie keine Updates, um mithilfe des automatischen Suchtools Updates oder den Anwendungsmanager mit dieser Funktion zu installieren. Kaspersky Security .


, . . , . . RDP SSH IP . . RUVDS . , . Zur Vereinfachung des Clients wurden die am häufigsten verwendeten Filterregeln zur Firewall-Oberfläche hinzugefügt. IP , .


▍ DDoS-


,
( ) . , , , RUVDS 24/7, 1500 /. . RUVDS 0.5 /, — 400 . im Monat.



, , ( ). , ( , , « » ), , , , .

Wir hoffen, der Artikel war hilfreich. Wie immer freuen wir uns über konstruktive Kommentare, neue Informationen, interessante Meinungen sowie Berichte über etwaige Ungenauigkeiten im Material.


Source: https://habr.com/ru/post/de481018/

More articles:


All Articles