Geekly articles weekly

Et encore une fois sur la protection des infrastructures virtuelles

Dans cet article, nous allons essayer de sortir nos lecteurs des idées fausses courantes concernant la sécurité des serveurs virtuels et nous dire comment protéger correctement nos clouds loués fin 2019. L'article est conçu principalement pour nos clients nouveaux et potentiels, en particulier ceux qui viennent d'acheter ou souhaitent acheter des serveurs virtuels RUVDS , mais qui ne sont pas très versés en cybersécurité et VPS. Nous espérons que pour les utilisateurs avertis, ce sera utile.


Quatre approches de sécurité cloud erronées


Il y a des opinions qui sont assez courantes parmi les propriétaires d'entreprise et les dirigeants (nous les soulignerons en gras) selon lesquelles assurer la cybersécurité des services cloud n'est pas a priori nécessaire , car les nuages ​​sont sûrs (1), ou c'est la tâche du fournisseur de cloud : payer pour VPS signifie que devrait être configuré, sûr et fonctionner sans problème (2). Il existe une troisième opinion inhérente aux spécialistes de la sécurité de l'information et aux hommes d'affaires: les nuages ​​sont dangereux! Aucun outil de sécurité bien connu ne peut fournir la protection nécessaire pour les environnements virtuels (3) - les dirigeants d'entreprise dans cette approche refusent les technologies cloud en raison de la méfiance ou d'une mauvaise compréhension de la différence entre les outils de sécurité traditionnels et spécialisés (à leur sujet ci-dessous). La quatrième catégorie de citoyens estime que oui, il serait nécessaire de protéger leur infrastructure cloud, car il existe des antivirus standard (4).

Ces quatre approches sont fausses - elles peuvent entraîner des pertes (sauf si, à l'exception de l'approche, vous ne devez pas du tout utiliser de serveurs virtuels, mais ici, vous ne devez pas négliger le postulat commercial «la perte de profit est également une perte»). Pour illustrer certaines statistiques, nous citons le rapport de Vladimir Ostroverkhov, expert en assistance commerciale de Kaspersky Lab, que nous avons publié à l'été 2017. Ensuite, Kaspersky a mené une enquête auprès de cinq mille entreprises de 25 pays - ce sont de grandes entreprises comptant au moins un mille et demi mille employés. 75% d'entre eux utilisent la virtualisation, mais n'investissent pas dans la protection. Le problème n'a pas perdu de sa pertinence aujourd'hui:

«Environ la moitié des [grandes] entreprises n'utilisent aucune protection pour les machines virtuelles, et la seconde moitié estime qu'un antivirus standard suffit. Toutes ces entreprises [chacune] dépensent en moyenne près d'un million de dollars [par an] pour la récupération des incidents: sur l'enquête, sur la récupération du système, sur la compensation des coûts, sur la compensation des pertes d'un seul hack ... Quel serait leur coût si elles-mêmes compromis? Pertes directes sur restauration, remplacement d'équipements, logiciels ... Pertes indirectes - réputation ... Pertes sur indemnisation de leurs clients, notamment réputation ... Et aussi enquête sur incidents, remplacement partiel d'infrastructures, car elle s'est déjà compromise, ce sont des dialogues avec les gouvernements, ce sont dialogues avec les compagnies d'assurance, dialogues avec les clients qui doivent payer une compensation. »

Pourquoi ces approches ne fonctionnent pas


Approche 1: Les nuages ​​sont sûrs, ils n'ont pas besoin d'être protégés . Environ 240 000 unités de logiciels malveillants qui apparaissent chaque jour vivent parfaitement dans les nuages: du simple code qu'un élève a écrit et publié sur Internet (ce qui signifie qu'il peut potentiellement endommager les données) aux attaques ciblées complexes conçues spécifiquement pour des organisations, des cas et des des situations qui permettent non seulement de casser et de voler des données, mais aussi de se «cacher». L'infrastructure virtuelle est également intéressante pour les pirates: il est beaucoup plus facile de pirater et d'accéder à toutes vos machines virtuelles et données en même temps que d'essayer de pirater chaque serveur physique séparément. De plus, il convient de noter qu'à l'intérieur de l'infrastructure virtuelle, le code malveillant se propage à une vitesse énorme - des dizaines de milliers de machines peuvent être infectées en dix minutes, ce qui équivaut à une épidémie (voir le rapport ci-dessus). Les programmes malveillants et les actions de rançongiciels qui contribuent à la fuite des données de l'entreprise représentent environ 27% du nombre total de «dangers» nuageux. Les points les plus vulnérables du cloud sont: les interfaces non protégées et les accès non autorisés - environ 80% au total (selon une étude du Cloud Security Report 2019 avec le soutien de Check Point Software Technologies Ltd., un fournisseur leader de solutions de cybersécurité pour les gouvernements et les entreprises du monde entier).


Rapport sur la sécurité du cloud 2019

Approche 2: La protection de l'infrastructure cloud est la mission du VPS. Cela est en partie vrai, car le fournisseur de serveurs virtuels se soucie de la stabilité de ses systèmes, d'un niveau de protection suffisamment élevé pour les principaux composants du cloud: serveurs, lecteurs, réseaux, virtualisation (réglementé par l'accord de niveau de service, SLA). Mais il n'a pas à s'inquiéter de la prévention des menaces internes et externes pouvant survenir dans l'infrastructure cloud du client. Permettez-nous ici une analogie dentaire. Ayant payé même beaucoup d'argent pour un bon implant, le client de la clinique dentaire comprend que le bon fonctionnement de la prothèse dépend en grande partie de lui-même (le client). Pour sa part, le dentiste-dentiste a fait tout ce qui était nécessaire en termes de sécurité: il a ramassé des matériaux de haute qualité, solidement «attaché» l'implant, n'a pas cassé la morsure, guéri la gencive après la chirurgie, etc. Et si l'utilisateur ne respecte pas les règles d'hygiène à l'avenir, disons , ouvrez les bouchons de bouteille en métal avec vos dents et effectuez d'autres actions dangereuses similaires, alors il sera impossible de garantir le bon travail d'une nouvelle dent. La même histoire avec une sécurité à 100% dans le cloud à louer auprès d'un fournisseur VPS. "Pas dans la juridiction" du fournisseur de services cloud protégeant les données et les applications du client est sa responsabilité personnelle.

Approche 3: aucun outil de sécurité ne peut fournir la protection nécessaire aux environnements virtuels. Pas du tout. Il existe des solutions de sécurité basées sur le cloud que nous couvrirons dans la dernière partie de cet article.

Approche 4: Utilisation d'un antivirus standard (protection traditionnelle). Il est important de savoir que les outils de sécurité traditionnels que tout le monde a l'habitude d'utiliser sur les ordinateurs locaux ne sont tout simplement pas conçus pour les environnements virtuels distribués (ils ne «voient» pas comment la communication entre les machines virtuelles a lieu) et ne protègent pas l'infrastructure virtuelle interne d'une tentative de piratage interne. En termes simples, les antivirus conventionnels ne fonctionnent presque pas dans le cloud. En même temps, installés sur chaque WM, ils consomment une énorme quantité de ressources de l'ensemble de l'écosystème virtuel lors des vérifications et des mises à jour de virus, «dilapident» le réseau et inhibent le travail de l'entreprise, mais donnant une efficacité presque nulle du fait de son travail principal.

Dans les deux sections suivantes de l'article, nous énumérerons les dangers pouvant survenir lorsqu'une entreprise opère dans les nuages ​​(privés, publics, hybrides) et expliquerons comment ces dangers peuvent et doivent être évités correctement.

Les dangers qui menacent constamment les services cloud


▍ Attaques réseau à distance


Il s'agit d'un type différent d'effet destructeur de l'information sur un système informatique distribué, effectué par programmation via des canaux de communication pour atteindre différents objectifs. Le plus commun d'entre eux:

  • Attaque DDoS ( déni de service distribué ). Envoi massif de demandes d'informations au serveur afin de consommer des ressources ou de la bande passante sur le système attaqué afin de désactiver le système cible, causant ainsi des dommages à l'entreprise. Utilisé par les concurrents comme service personnalisé, les extorqueurs, les militants politiques et les gouvernements pour recevoir des dividendes politiques. Ces attaques sont menées à l'aide d'un botnet - un réseau d'ordinateurs sur lesquels des bots sont installés (logiciels pouvant contenir des virus, programmes de contrôle à distance d'un ordinateur et outils pour se cacher du système d'exploitation) qui sont utilisés à distance par des pirates pour distribuer du spam et des ransomwares. En savoir plus dans notre article DDoS: IT Maniacs at the Edge of the Attack .
  • Ping Flooding - pour appeler la congestion de la ligne.
  • Ping of Death - pour faire geler, redémarrer et planter le système.
  • Attaques au niveau des applications - pour accéder à un ordinateur qui permet de lancer des applications pour un compte spécifique (système privilégié).
  • Fragmentation des données - pour l'arrêt anormal du système par le débordement des tampons logiciels.
  • Auteurs - pour automatiser le processus de piratage en analysant un grand nombre de systèmes en peu de temps en installant rootkit.
  • Renifler - pour écouter la chaîne.
  • Imposer des paquets - pour basculer vers votre ordinateur la connexion établie entre d'autres ordinateurs.
  • Capture de paquets sur le routeur - pour recevoir les mots de passe et les informations des utilisateurs par e-mail.
  • Usurpation d'adresse IP - pour qu'un pirate informatique à l'intérieur ou à l'extérieur du réseau puisse se faire passer pour un ordinateur auquel vous pouvez faire confiance. Il est effectué par la substitution d'adresse IP.
  • Attaques par force brute (force brute) - pour sélectionner un mot de passe en énumérant des combinaisons. Ils exploitent les vulnérabilités de RDP et SSH.
  • Schtroumpf - pour réduire la bande passante du canal de communication et / ou pour isoler complètement le réseau attaqué.
  • Usurpation DNS - pour endommager l'intégrité des données dans le système DNS par le biais de «l'empoisonnement» du cache DNS.
  • Substitution d'hôte de confiance - pour pouvoir mener une session avec le serveur au nom d'un hôte de confiance.
  • TCP SYN Flood - pour le dépassement de mémoire du serveur.
  • Man-in-the-middle - pour voler des informations, déformer des données, des attaques DoS, pirater la session de communication actuelle afin d'accéder aux ressources du réseau privé, analyser le trafic afin d'obtenir des informations sur le réseau et ses utilisateurs.
  • Intelligence réseau - pour examiner les informations sur le réseau et les applications exécutées sur les hôtes avant une attaque.
  • Redirection de port - un type d'attaque qui utilise un hôte piraté pour transmettre le trafic via un pare-feu. Par exemple, si le pare-feu est connecté à trois hôtes (à l'extérieur, à l'intérieur et dans le segment des services publics), l'hôte externe a la possibilité de communiquer avec l'hôte interne en réaffectant des ports sur l'hôte des services publics.
  • Exploitation de confiance - attaques qui se produisent lorsque quelqu'un profite de relations de confiance au sein du réseau. Par exemple, le piratage d'un système au sein du réseau d'entreprise (serveurs HTTP, DNS, SMTP) peut entraîner le piratage d'autres systèmes.

▍Ingénierie sociale


  • Phishing - pour obtenir des informations confidentielles (mots de passe, numéros de cartes bancaires, etc.) par le biais d'une newsletter au nom d'organisations bien connues, les banques.
  • Renifleurs de paquets - pour accéder aux informations critiques, y compris les mots de passe. Il réussit en grande partie parce que les utilisateurs utilisent souvent leur nom d'utilisateur et leur mot de passe à plusieurs reprises pour accéder à diverses applications et systèmes. De cette façon, un pirate peut accéder au compte utilisateur du système et créer un nouveau compte à travers lui afin d'avoir accès au réseau et à ses ressources à tout moment.
  • Le prétexte est une attaque scriptée utilisant la communication vocale, dont le but est de forcer la victime à prendre une mesure.
  • Cheval de Troie - une technique basée sur les émotions de la victime: peur, curiosité. Les logiciels malveillants se trouvent généralement dans la pièce jointe de l'e-mail.
  • Quid about the quo (for that, service for service) - le contact d'un attaquant via un téléphone ou un e-mail professionnel déguisé en une personne du support technique qui signale les problèmes sur l'ordinateur de la victime et suggère de les résoudre. Le but est d'installer des logiciels et d'exécuter des commandes malveillantes sur cet ordinateur.
  • Pomme de voyage - lancer des supports de stockage physiques infectés dans les lieux publics de l'entreprise (lecteur flash dans les toilettes, conduire dans l'ascenseur), équipés d'inscriptions qui suscitent la curiosité.
  • Collecte d'informations à partir des réseaux sociaux.

▍ exploits


Toute attaque illégale et non autorisée visant soit à obtenir des données, soit à perturber le fonctionnement du système, soit à prendre le contrôle du système est appelée exploit. Ils sont causés par des erreurs dans le processus de développement logiciel, à la suite desquelles des vulnérabilités apparaissent dans le système de protection du programme qui sont utilisées avec succès par les cybercriminels pour obtenir un accès illimité au programme lui-même, et par le biais de celui-ci à l'ensemble de l'ordinateur et ensuite au réseau de machines.

▍Concurrence des comptes


Piratage par une personne non autorisée d'un compte d'un employé d'une entreprise afin d'accéder à des informations protégées: de l'interception d'informations (y compris le son) et de clés avec des logiciels malveillants jusqu'à ce qu'il pénètre dans le stockage physique du support d'informations.

▍Concurrence de référentiels


Infection des serveurs de référentiel des fichiers d'installation du logiciel, des mises à jour et des bibliothèques.

▍ Risques internes de l'entreprise


Cela inclut les fuites d'informations causées par les employés de l'entreprise eux-mêmes. Cela peut être une simple négligence ou des actions malveillantes délibérées: du sabotage ciblé des politiques de sécurité administrative à la vente d'informations confidentielles. Il s'agit notamment de l'accès non autorisé, des interfaces non sécurisées, de la configuration incorrecte des plateformes cloud et de l'installation / utilisation d'applications non autorisées.

Voyons maintenant comment éviter une liste aussi longue (et loin d'être complète) de problèmes de sécurité dans le cloud.

Solutions modernes de sécurité cloud spécialisées


Chaque infrastructure cloud nécessite une sécurité complète à plusieurs niveaux. Les méthodes décrites ci-dessous vous aideront à comprendre en quoi doit consister un ensemble de mesures pour garantir la sécurité dans le cloud.

▍Antivirus


Il est important de se rappeler que tout antivirus traditionnel ne sera pas fiable pour essayer de fournir une sécurité cloud. Vous devez utiliser une solution spécialement conçue pour les environnements virtuels et cloud, et son installation a également ses propres règles dans ce cas. Aujourd'hui, il existe deux façons d'assurer la sécurité du cloud à l'aide d'antivirus multi-composants spécialisés développés à l'aide des dernières technologies: la protection sans agent et la protection contre les agents légers.

Protection sans agent. Il est développé dans la société VMware et n'est possible que sur ses solutions. Deux machines virtuelles supplémentaires sont déployées sur le serveur physique avec des machines virtuelles: Protection Server (SVM) et Network Attack Blocker (NAB). Rien n'est placé à l'intérieur de chacun d'eux. Dans SVM, un dispositif de sécurité dédié, seul le moteur antivirus est installé. Dans une machine NAB, ce composant est uniquement chargé de vérifier les communications entre les machines virtuelles et ce qui se passe dans l'écosystème (et de communiquer avec la technologie NSX). La vérification de tout le trafic provenant du serveur physique est gérée par ce SVM. Il compose un pool de verdict accessible à toutes les machines virtuelles de défense via un cache de verdict commun. Chaque machine virtuelle de protection s'adresse en premier lieu à ce pool, au lieu d'analyser l'ensemble du système - ce principe permet de réduire les coûts de ressources et d'accélérer l'écosystème.


Protection avec un agent léger. Développé par Kaspersky et n'a aucune restriction VMware. Comme dans la protection sans agent, un moteur antivirus est installé sur SVM, mais contrairement à lui, il y a toujours un agent léger installé à l'intérieur de chaque WM. L'agent n'effectue pas de vérifications, mais surveille uniquement tout ce qui se passe à l'intérieur du WM natif basé sur la technologie des réseaux d'auto-apprentissage. Cette technologie se souvient de la séquence correcte des applications; Face au fait que la séquence d'actions de l'application à l'intérieur de WM ne se déroule pas correctement, elle la bloque.


Pour en savoir plus sur la sécurité des environnements virtuels sur le site Web du développeur et sur la façon d'installer la protection antivirus avec un agent simple pour votre serveur virtuel, lisez notre guide de référence (en bas de la page se trouvent les contacts du support technique 24h / 24 au cas où vous auriez des questions).

▍Intégration avec des services pour prévenir ou résoudre les problèmes liés à la sécurité du cloud


  • Plateformes de gestion du changement. Ce sont des services éprouvés qui prennent en charge les processus ITSM de base de l'entreprise, y compris la sécurité informatique et les incidents. Par exemple, ServiceNow, Remedy, JIRA.
  • Outils d'analyse de sécurité. Par exemple, Rapid7, Qualys, Tenable.
  • Outils de gestion de la configuration. Ils vous permettent d'automatiser le fonctionnement des serveurs et ainsi de simplifier la configuration et la maintenance de dizaines, centaines voire milliers de serveurs pouvant être distribués dans le monde. Par exemple, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
  • Outils de gestion sécurisée des notifications. Vous permettre de fournir un service continu et de continuer à surveiller la situation pendant les incidents, de fournir un support compétent pour l'intégration avec le téléphone, la messagerie et le courrier électronique (selon Cisco, plus de 85% des messages électroniques étaient du spam en juillet 2019, ce qui pourrait potentiellement contenir des logiciels malveillants, tentatives de phishing, etc. Actuellement, les programmes malveillants sont souvent envoyés via les types de pièces jointes «habituels»: les pièces jointes malveillantes les plus courantes dans les e-mails sont Microsoft Office ly plus -. Dans le rapport de sécurité Cisco e-mail pour Juin 2019 ). Un tel outil pourrait être, par exemple, OpsGenie.



▍ Protection contre les exploits


Les exploits étant les conséquences des vulnérabilités des logiciels, ce sont les développeurs de ce logiciel qui doivent corriger les bugs de leur produit. La responsabilité des utilisateurs inclut l'installation en temps opportun des Service Packs et des correctifs immédiatement après leur publication. Ne manquez pas les mises à jour aide à utiliser l'outil de recherche automatique et installez les mises à jour ou le gestionnaire d'applications avec cette fonctionnalité. Kaspersky Security .


, . . , . . RDP SSH IP . . RUVDS . , . . IP , .


▍ DDoS-


,
( ) . , , , RUVDS 24/7, 1500 /. . RUVDS 0.5 /, — 400 . .



, , ( ). , ( , , « » ), , , , .

Nous espérons que l'article vous a été utile. Comme toujours, nous apprécions les commentaires constructifs, les nouvelles informations, les opinions intéressantes, ainsi que les rapports d'inexactitudes dans le matériel.


Source: https://habr.com/ru/post/fr481018/

More articles:


All Articles