Infrastruktur warisan masih menjadi bagian penting dari perusahaan di banyak industri: di organisasi medis yang masih menggunakan sistem Windows XP, dalam basis data Oracle yang berjalan di server sistem operasi Solaris lama, di berbagai bisnis Aplikasi yang membutuhkan sistem Linux RHEL4, dan ATM dengan versi sistem Windows sepuluh tahun yang lalu. Bahkan terjadi bahwa banyak organisasi masih menggunakan server lama pada sistem Windows 2008.
Infrastruktur yang diwariskan sangat umum di pusat data, terutama di perusahaan besar. Misalnya, Anda sering dapat melihat bagaimana komputer lama yang memiliki sistem operasi AIX melakukan operasi kritis untuk memproses sejumlah besar data transaksi di bank atau titik akhir, seperti ATM, perangkat medis, dan sistem terminal untuk berbelanja. sering menggunakan sistem operasi, yang masa pakainya telah lama berakhir. Upgrade aplikasi yang digunakan dalam infrastruktur ini adalah proses yang konstan dan sulit, yang biasanya memakan waktu bertahun-tahun.
Sistem lawas yang tidak aman membahayakan pusat data Anda
Risiko bagi organisasi yang terkait dengan perlindungan sistem warisan yang tidak tepat sangat tinggi dan melampaui beban kerja sistem ini. Misalnya, perangkat yang tidak ditonton yang menjalankan sistem Windows XP dapat dengan mudah digunakan untuk mendapatkan akses ke pusat data apa pun. Awal bulan ini, kami menerima pengingat risiko serupa ketika Microsoft merilis pembaruan keamanan untuk kerentanan sistem serius yang memungkinkan eksekusi kode jarak jauh pada sistem operasi lama seperti Windows XP dan Windows Server 2003.
Jika penyerang mendapatkan akses ke mesin yang tidak terlindungi (yang jauh lebih mudah daripada meretas server modern yang ditambal dengan baik), mereka dapat memperoleh akses langsung ke jaringan menggunakan gerakan lateral. Ketika pusat data menjadi lebih kompleks, perluas kemungkinan menggunakan server penyimpanan cloud yang dapat diakses publik dan menggunakan teknologi terbaru, seperti "wadah", risiko peretasan meningkat. Saling ketergantungan antara aplikasi bisnis yang berbeda (warisan dan bukan) menjadi lebih kompleks dan dinamis, yang dari sudut pandang keamanan membuat sulit untuk mengelola model lalu lintas. Ini memberi penyerang lebih banyak kebebasan untuk bergerak mulus melalui berbagai bagian infrastruktur.
Infrastruktur lama, risiko baru
Sistem warisan telah bersama kami selama bertahun-tahun, tetapi risiko keamanan yang ditimbulkannya terus meningkat. Ketika organisasi melalui proses transformasi digital, memodernisasi infrastruktur dan pusat data mereka, dan pindah ke sistem penyimpanan cloud hybrid, penyerang akan memiliki lebih banyak peluang untuk mendapatkan akses ke aplikasi internal yang kritis.
Aplikasi bisnis yang diinstal secara lokal pada sistem lawas yang dulunya hanya digunakan oleh sejumlah kecil aplikasi yang diinstal secara lokal sekarang dapat digunakan oleh sejumlah besar aplikasi lokal dan cloud. Penggunaan sistem lawas dengan semakin banyak aplikasi dan lingkungan memperluas area untuk potensi peretasan.
Jadi pertanyaannya adalah, bagaimana kita bisa mengurangi risiko ini? Bagaimana kita menjaga keamanan warisan, tetapi masih merupakan komponen bisnis yang penting, sambil memastikan bahwa aplikasi baru dapat dengan cepat digunakan dalam infrastruktur saat ini?
Identifikasi risiko
Langkah pertama adalah mengidentifikasi dan mengukur risiko dengan benar. Menggunakan sistem inventaris yang ada dan apa yang disebut "pengetahuan suku" mungkin tidak cukup - Anda harus selalu berusaha untuk mendapatkan pandangan yang lengkap, akurat dan terkini tentang lingkungan Anda. Untuk sistem lama, mendapatkan informasi yang tepat bisa menjadi tugas yang sangat sulit, karena pengetahuan tentang sistem ini dalam organisasi cenderung menurun dari waktu ke waktu.
Tim keamanan harus menggunakan alat analisis dan visualisasi yang baik untuk memberikan rencana yang akan menjawab pertanyaan-pertanyaan berikut:
- Server dan titik akhir mana yang menjalankan sistem operasi lama?
- Lingkungan dan aplikasi bisnis apa yang terkait dengan beban kerja ini?
- Bagaimana beban kerja ini berinteraksi dengan aplikasi dan lingkungan lain? Port apa? Menggunakan proses apa? Untuk tujuan bisnis apa?
Menjawab pertanyaan-pertanyaan penting ini adalah titik awal untuk menurunkan risiko keamanan Anda. Mereka menunjukkan beban kerja mana yang menimbulkan risiko terbesar bagi organisasi, yang proses bisnisnya dapat rusak selama serangan oleh penyerang, dan rute jaringan mana yang dapat digunakan oleh para penyerang ketika bergerak menyamping antara sistem warisan dan tanpa warisan melalui penyimpanan awan dan pusat data. Pengguna sering terkejut ketika mereka melihat aliran data yang tidak terduga datang ke mesin yang mereka warisi dan ketika data tiba-tiba dikirim, yang mengarah pada lebih banyak pertanyaan tentang status keamanan dan risiko.
Alat analisis dan visualisasi yang baik juga akan membantu Anda mengidentifikasi dan menganalisis sistem yang perlu dipindahkan ke lingkungan lain. Yang paling penting, peta visual arus informasi memungkinkan Anda untuk dengan mudah merencanakan dan menggunakan kebijakan ketat untuk mensegmentasi sumber daya ini. Kebijakan yang terencana dengan baik secara signifikan mengurangi risiko terpapar mesin yang lebih tua ini.
Pengurangan Risiko Microsegmentation
Segmentasi jaringan banyak digunakan sebagai cara yang hemat biaya untuk mengurangi risiko di pusat data dan penyimpanan cloud. Secara khusus, menggunakan segmentasi mikro, pengguna dapat membuat kebijakan sistem keamanan modular yang kaku, yang secara signifikan membatasi kemampuan penyerang untuk bergerak secara lateral antara beban kerja, aplikasi, dan lingkungan.
Ketika bekerja dengan infrastruktur warisan, nilai alat yang baik untuk analisis dan mikrosegmentasi menjadi lebih jelas. Metode segmentasi lama, seperti VLAN, sulit untuk dieksploitasi, dan mereka sering menempatkan semua sistem warisan yang sama dalam satu segmen, membuat seluruh kelompok terbuka untuk menyerang jika terjadi satu hack tunggal. Selain itu, aturan gateway antara VLAN lawas dan bagian lain dari pusat data sulit dipertahankan, yang mengarah pada kebijakan otorisasi berlebihan yang meningkatkan risiko keseluruhan. Dengan visualisasi yang tepat dari beban kerja lama dan modern, tim keamanan dapat merencanakan kebijakan tingkat server yang hanya memungkinkan aliran spesifik yang sempit antara sistem lama, serta antara lama dan lingkungan yang lebih modern.
Batas Cakupan adalah Kunci
Ketika memilih solusi untuk segmentasi mikro, pastikan bahwa solusi yang Anda pilih dapat dengan mudah digunakan di seluruh infrastruktur Anda, bahwa itu akan mencakup semua jenis beban kerja di pusat data atau penyimpanan cloud. Dengan memilah-milah aplikasi modern, meninggalkan sistem lawas tanpa pengawasan, Anda meninggalkan lubang keamanan besar di infrastruktur Anda.
Secara pribadi, saya percaya bahwa penyedia sistem keamanan harus mengambil tugas untuk mencakup seluruh infrastruktur agar dapat membantu pelanggan mereka mengatasi ancaman yang semakin meningkat ini. Meskipun beberapa vendor hanya fokus pada infrastruktur modern, menolak untuk mendukung sistem operasi lama, saya percaya bahwa platform keamanan yang baik dan canggih harus mencakup semua spektrum infrastruktur.
Atasi kesulitan sistem warisan
Sistem yang diwariskan menghadirkan masalah unik bagi organisasi: mereka penting untuk bisnis, tetapi lebih sulit untuk dipertahankan dan tidak dilindungi dengan baik. Saat organisasi bermigrasi ke penyimpanan cloud hibrid dan mendapatkan ruang lingkup untuk kemungkinan serangan, perhatian khusus harus diberikan untuk melindungi aplikasi lawas. Untuk melakukan ini, tim keamanan harus secara akurat mengidentifikasi server lama, memahami saling ketergantungan dengan aplikasi dan lingkungan lain, mengendalikan risiko dengan membuat kebijakan segmentasi yang ketat. Penyedia microsegmentasi terkemuka harus dapat mencakup sistem warisan tanpa mengorbankan jenis infrastruktur lainnya. Platform Guardicore Centra menyediakan kemampuan untuk menganalisis, memvisualisasikan, dan mensegmentasi mikro seluruh infrastruktur - lama dan baru, menghilangkan beban pemrosesan blind spot.