Geekly articles weekly

Dan lagi tentang melindungi infrastruktur virtual

Dalam posting ini, kami akan mencoba untuk membawa pembaca kami keluar dari kesalahpahaman umum mengenai keamanan server virtual dan memberi tahu kami bagaimana melindungi cloud sewaan kami dengan benar pada akhir 2019. Artikel ini dirancang terutama untuk pelanggan baru dan potensial kami, khususnya mereka yang baru saja membeli atau ingin membeli server virtual RUVDS , tetapi yang tidak terlalu berpengalaman dalam cybersecurity dan VPS. Kami berharap bahwa bagi pengguna yang berpengetahuan luas itu akan menjadi sesuatu yang bermanfaat.


Empat Pendekatan Keamanan Cloud yang Salah


Ada pendapat yang cukup umum di kalangan pemilik bisnis dan eksekutif (dalam huruf tebal) bahwa keamanan cybersecurity dari layanan cloud adalah hal yang tidak perlu , karena awan itu aman (1), atau itu adalah tugas penyedia cloud : dibayar untuk VPS berarti bahwa harus dikonfigurasikan, aman dan berfungsi tanpa masalah (2). Ada pendapat ketiga yang melekat dalam spesialis keamanan informasi dan pebisnis: awan berbahaya! Tidak ada alat keamanan terkenal yang dapat memberikan perlindungan yang diperlukan untuk lingkungan virtual (3) - eksekutif bisnis dengan pendekatan ini menolak teknologi cloud karena ketidakpercayaan atau salah paham perbedaan antara alat keamanan tradisional dan khusus (tentang mereka di bawah). Kategori keempat warga negara percaya bahwa ya, akan perlu untuk melindungi infrastruktur cloud mereka, karena ada antivirus standar (4).

Keempat pendekatan ini salah - mereka dapat menyebabkan kerugian (kecuali, kecuali untuk pendekatan itu, Anda tidak boleh menggunakan server virtual sama sekali, tetapi di sini Anda tidak boleh mengabaikan postulat bisnis "untung juga rugi"). Untuk menggambarkan beberapa statistik, kami mengutip dari laporan pakar dukungan penjualan korporat Kaspersky Lab Vladimir Ostroverkhov, yang kami terbitkan pada musim panas 2017. Kemudian Kaspersky melakukan survei di antara lima ribu perusahaan dari 25 negara - ini adalah perusahaan besar dengan setidaknya satu setengah ribu karyawan. 75% dari mereka menggunakan virtualisasi, tetapi tidak berinvestasi dalam perlindungan. Masalahnya belum hilang relevansinya hari ini:

“Sekitar setengah dari perusahaan [besar] tidak menggunakan perlindungan apa pun untuk mesin virtual, dan separuh kedua percaya bahwa setiap antivirus standar sudah cukup. Semua perusahaan ini [masing-masing] rata-rata menghabiskan hampir satu juta dolar [per tahun] untuk pemulihan dari insiden: penyelidikan, pemulihan sistem, kompensasi biaya, kompensasi kerugian dari satu hack ... Berapa biaya mereka jika mereka sendiri kompromi? Kerugian langsung pada restorasi, penggantian peralatan, perangkat lunak ... Kerugian tidak langsung - reputasi ... Kerugian kompensasi bagi pelanggan mereka, termasuk reputasi ... Dan juga penyelidikan insiden, penggantian sebagian infrastruktur, karena telah berkompromi dengan sendirinya, ini adalah dialog dengan pemerintah, ini adalah dialog dengan pemerintah, ini adalah dialog dengan perusahaan asuransi, dialog dengan pelanggan yang harus membayar kompensasi. "

Mengapa pendekatan ini tidak berhasil


Pendekatan 1: Awan-awan itu aman, mereka tidak perlu dilindungi . Sekitar 240 ribu unit perangkat lunak berbahaya yang muncul setiap hari "hidup" dengan sempurna di dalam awan: dari kode sederhana yang ditulis dan diposting oleh siswa sekolah di Internet (yang artinya berpotensi merusak data) hingga serangan bertarget kompleks yang dirancang khusus untuk organisasi, kasus, dan situasi yang sangat bagus tidak hanya merusak dan mencuri data, tetapi juga "menyembunyikan" diri mereka sendiri. Infrastruktur virtual juga menarik bagi peretas: jauh lebih mudah untuk meretas dan mendapatkan akses ke semua mesin dan data virtual Anda sekaligus daripada mencoba meretas setiap server fisik secara terpisah. Plus, perlu mempertimbangkan bahwa di dalam infrastruktur virtual kode jahat menyebar dengan kecepatan luar biasa - puluhan ribu mesin dapat terinfeksi dalam sepuluh menit, yang setara dengan epidemi (lihat laporan di atas). Program jahat dan tindakan ransomware yang berkontribusi pada kebocoran akun data perusahaan sekitar 27% dari jumlah total "bahaya" keruh. Titik paling rentan di cloud adalah: antarmuka tanpa perlindungan dan akses tidak sah - total sekitar 80% (menurut sebuah studi oleh Cloud Security Report 2019 dengan dukungan dari Check Point Software Technologies Ltd., penyedia terkemuka solusi keamanan siber untuk pemerintah dan perusahaan perusahaan di seluruh dunia).


Laporan Keamanan Cloud 2019

Pendekatan 2: Melindungi infrastruktur cloud adalah misi VPS. Ini sebagian benar, karena penyedia server virtual peduli dengan stabilitas sistemnya, tentang tingkat perlindungan yang cukup tinggi untuk komponen-komponen utama cloud: server, drive, jaringan, virtualisasi (diatur oleh perjanjian tingkat layanan, SLA). Tetapi dia tidak perlu khawatir tentang mencegah ancaman internal dan eksternal yang mungkin timbul dalam infrastruktur cloud klien. Mari kita biarkan analogi gigi kita di sini. Setelah membayar banyak uang untuk implan yang baik, klien klinik gigi memahami bahwa operasi prostesis yang tepat sangat tergantung pada dirinya sendiri (klien). Sementara itu, dokter gigi-dokter gigi melakukan semua yang diperlukan dalam hal keamanan: ia mengambil bahan berkualitas tinggi, dengan kuat “menempelkan” implan, tidak mematahkan gigitan, menyembuhkan gusi setelah operasi, dll. Dan jika pengguna tidak mengikuti aturan kebersihan di masa depan, katakanlah , buka tutup botol logam dengan gigi Anda dan lakukan tindakan tidak aman lainnya yang serupa, maka tidak mungkin untuk menjamin hasil kerja gigi baru yang baik. Kisah yang sama dengan keamanan cloud 100% untuk disewa dari penyedia VPS. “Tidak dalam yurisdiksi” penyedia layanan cloud yang melindungi data dan aplikasi klien adalah tanggung jawab pribadinya.

Pendekatan 3: Tidak ada alat keamanan yang dapat memberikan perlindungan yang diperlukan untuk lingkungan virtual. Tidak semuanya. Ada solusi keamanan khusus berbasis cloud yang akan kita bahas di bagian akhir artikel ini.

Pendekatan 4: Menggunakan antivirus standar (perlindungan tradisional). Penting untuk mengetahui bahwa alat keamanan tradisional yang digunakan semua orang pada komputer lokal sama sekali tidak dirancang untuk lingkungan virtual terdistribusi (mereka tidak "melihat" bagaimana komunikasi antara mesin virtual terjadi) dan tidak melindungi infrastruktur virtual internal dari upaya peretasan internal. Sederhananya, antivirus konvensional hampir tidak berfungsi di cloud. Pada saat yang sama, diinstal pada masing-masing WM, mereka mengkonsumsi sejumlah besar sumber daya dari seluruh ekosistem virtual ketika memeriksa virus dan pembaruan, "menyia-nyiakan" jaringan dan menghambat pekerjaan perusahaan, tetapi memberikan efisiensi hampir nol sebagai hasil dari pekerjaan utamanya.

Dalam dua bagian artikel selanjutnya, kami akan mencantumkan bahaya apa yang dapat muncul ketika perusahaan beroperasi di awan (pribadi, publik, hibrida) dan memberi tahu bagaimana bahaya ini dapat dan harus dicegah dengan benar.

Bahaya terus-menerus mengancam layanan cloud


▍ Serangan Jaringan Jarak Jauh


Ini adalah jenis efek destruktif informasi yang berbeda pada sistem komputasi terdistribusi, yang dilakukan secara terprogram melalui saluran komunikasi untuk mencapai tujuan yang berbeda. Yang paling umum dari mereka:

  • Serangan DDoS ( Denial of Service Terdistribusi ). Pengiriman besar permintaan informasi ke server untuk menggunakan sumber daya atau bandwidth pada sistem yang diserang untuk menonaktifkan sistem target, sehingga menyebabkan kerusakan pada perusahaan. Digunakan oleh pesaing sebagai layanan kustom, pemeras, aktivis politik dan pemerintah untuk menerima dividen politik. Serangan semacam itu dilakukan dengan menggunakan botnet - jaringan komputer dengan bot yang diinstal pada mereka (perangkat lunak yang dapat berisi virus, program untuk mengendalikan komputer dari jarak jauh dan alat untuk bersembunyi dari OS) yang digunakan dari jarak jauh oleh peretas untuk mendistribusikan spam dan ransomware. Baca lebih lanjut di posting DDoS kami : IT Maniacs di Edge of the Attack .
  • Ping Flooding - untuk memanggil kemacetan saluran.
  • Ping of Death - menyebabkan sistem membeku, reboot, dan macet.
  • Serangan di tingkat aplikasi - untuk mendapatkan akses ke komputer yang memungkinkan aplikasi diluncurkan untuk akun (sistem istimewa) tertentu.
  • Fragmentasi data - untuk pemutusan sistem yang tidak normal melalui overflow buffer perangkat lunak.
  • Penulis - untuk mengotomatiskan proses peretasan dengan memindai sejumlah besar sistem dalam waktu singkat dengan menginstal rootkit.
  • Sniffing - untuk mendengarkan saluran.
  • Paket - paket yang memaksakan - untuk beralih ke komputer Anda, koneksi dibuat antara komputer lain.
  • Pengambilan paket pada router - untuk menerima kata sandi dan informasi pengguna dari email.
  • IP Spoofing - sehingga peretas di dalam jaringan atau di luarnya dapat menyamar sebagai komputer yang dapat Anda percayai. Itu dilakukan melalui penggantian alamat IP.
  • Serangan brute force (brute force) - untuk memilih kata sandi dengan menyebutkan kombinasi. Mereka mengeksploitasi kerentanan dalam RDP dan SSH.
  • Smurf - untuk mengurangi bandwidth saluran komunikasi dan / atau untuk sepenuhnya mengisolasi jaringan yang diserang.
  • DNS spoofing - untuk merusak integritas data dalam sistem DNS melalui "keracunan" cache DNS.
  • Substitusi host tepercaya - untuk dapat melakukan sesi dengan server atas nama host tepercaya.
  • TCP SYN Flood - untuk memori server yang berlebihan.
  • Man-in-the-middle - untuk mencuri informasi, mendistorsi data, serangan DoS, meretas sesi komunikasi saat ini untuk mendapatkan akses ke sumber daya jaringan pribadi, menganalisis lalu lintas untuk mendapatkan informasi tentang jaringan dan penggunanya.
  • Kecerdasan jaringan - untuk memeriksa informasi tentang jaringan dan aplikasi yang berjalan di host sebelum serangan.
  • Redirection Port - jenis serangan yang menggunakan host yang diretas untuk mengirimkan lalu lintas melalui firewall. Misalnya, jika firewall terhubung ke tiga host (di luar, di dalam dan di segmen layanan publik), maka host eksternal mendapat kesempatan untuk berkomunikasi dengan host internal dengan menugaskan kembali port pada host layanan publik.
  • Eksploitasi kepercayaan - serangan yang terjadi ketika seseorang mengambil keuntungan dari hubungan kepercayaan dalam jaringan. Misalnya, meretas satu sistem dalam jaringan perusahaan (HTTP, DNS, SMTP server) dapat menyebabkan peretasan sistem lain.

Engineering Rekayasa Sosial


  • Phishing - untuk mendapatkan informasi rahasia (kata sandi, nomor kartu bank, dll.) Melalui buletin atas nama organisasi terkenal, bank.
  • Pengendus paket - untuk mengakses informasi penting, termasuk kata sandi. Ini sebagian besar berhasil karena pengguna sering menggunakan nama pengguna dan kata sandi mereka berulang kali untuk mendapatkan akses ke berbagai aplikasi dan sistem. Dengan cara ini, seorang hacker dapat memperoleh akses ke akun pengguna sistem dan membuat akun baru melaluinya untuk memiliki akses ke jaringan dan sumber dayanya setiap saat.
  • Pretexting adalah serangan skrip menggunakan komunikasi suara, yang tujuannya adalah untuk memaksa korban untuk mengambil tindakan.
  • Trojan horse - teknik yang didasarkan pada emosi korban: ketakutan, rasa ingin tahu. Perangkat lunak berbahaya biasanya terletak di lampiran email.
  • Quid tentang quo (untuk itu, layanan untuk layanan) - kontak penyerang melalui telepon perusahaan atau e-mail yang disamarkan sebagai orang dukungan teknis yang melaporkan masalah pada komputer korban dan menyarankan untuk menyelesaikannya. Tujuannya adalah untuk menginstal perangkat lunak dan menjalankan perintah jahat di komputer ini.
  • Bepergian apel - melemparkan media penyimpanan fisik yang terinfeksi ke tempat-tempat umum perusahaan (flash drive di toilet, berkendara di lift), dilengkapi dengan prasasti yang membangkitkan rasa ingin tahu.
  • Pengumpulan informasi dari jejaring sosial.

▍ eksploitasi


Setiap serangan yang melanggar hukum dan tidak sah yang bertujuan untuk memperoleh data, atau mengganggu fungsi sistem, atau mengambil kendali sistem disebut eksploitasi. Mereka disebabkan oleh kesalahan dalam proses pengembangan perangkat lunak, sebagai akibat dari kerentanan muncul dalam sistem perlindungan program yang berhasil digunakan oleh penjahat cyber untuk mendapatkan akses tanpa batas ke program itu sendiri, dan melalui itu ke seluruh komputer dan lebih jauh ke jaringan mesin.

▍Kompetisi akun


Peretasan oleh orang yang tidak berwenang merupakan akun karyawan perusahaan untuk mendapatkan akses ke informasi yang dilindungi: dari mencegat informasi (termasuk suara) dan kunci dengan malware hingga menembus penyimpanan fisik media informasi.

OmpetKompetisi repositori


Infeksi server repositori dari file pemasang perangkat lunak, pembaruan dan pustaka.

Risks Risiko internal perusahaan


Ini termasuk kebocoran informasi yang disebabkan oleh karyawan perusahaan itu sendiri. Ini bisa berupa kelalaian sederhana atau tindakan jahat yang disengaja: dari sabotase kebijakan keamanan administratif yang ditargetkan hingga penjualan informasi rahasia ke pihak lain. Ini termasuk akses tidak sah, antarmuka tidak aman, konfigurasi platform cloud yang tidak tepat, dan pemasangan / penggunaan aplikasi yang tidak sah.

Sekarang mari kita lihat bagaimana mencegah daftar masalah keamanan cloud yang begitu luas (dan jauh dari lengkap).

Solusi keamanan cloud khusus yang modern


Setiap infrastruktur cloud membutuhkan keamanan multi-level yang komprehensif. Metode yang diuraikan di bawah ini akan membantu Anda memahami seperangkat tindakan untuk memastikan keamanan di cloud terdiri dari.

TiAntivirus


Penting untuk diingat bahwa antivirus tradisional mana pun tidak akan andal dalam mencoba memberikan keamanan cloud. Anda perlu menggunakan solusi yang dirancang khusus untuk lingkungan virtual dan cloud, dan menginstalnya juga memiliki aturan sendiri dalam hal ini. Saat ini, ada dua cara untuk memastikan keamanan cloud menggunakan antivirus multikomponen khusus yang dikembangkan menggunakan teknologi terbaru: perlindungan tanpa agen dan perlindungan agen ringan.

Perlindungan tanpa agen. Ini dikembangkan di perusahaan VMware dan hanya mungkin pada solusinya. Dua mesin virtual tambahan dikerahkan di server fisik dengan mesin virtual: Protection Server (SVM) dan Network Attack Blocker (NAB). Tidak ada yang ditempatkan di dalam masing-masing. Di SVM, perangkat keamanan khusus, hanya mesin antivirus yang diinstal. Dalam mesin NAB, komponen ini hanya bertanggung jawab untuk memverifikasi komunikasi antara mesin virtual dan apa yang terjadi di ekosistem (dan untuk berkomunikasi dengan teknologi NSX). Verifikasi semua lalu lintas yang datang ke server fisik ditangani oleh SVM ini. Ini menyusun kumpulan vonis yang dapat diakses oleh semua mesin pertahanan virtual melalui cache vonis umum. Setiap mesin perlindungan virtual menangani kumpulan ini sejak awal, alih-alih memindai seluruh sistem - prinsip ini memungkinkan untuk mengurangi biaya sumber daya dan mempercepat ekosistem.


Perlindungan dengan agen ringan. Dikembangkan oleh Kaspersky dan tidak memiliki batasan VMware. Seperti dalam perlindungan tanpa agen, mesin anti-virus dipasang pada SVM, tetapi berbeda dengan itu, masih ada agen ringan yang dipasang di dalam setiap WM. Agen tidak melakukan pemeriksaan, tetapi hanya memonitor semua yang terjadi di dalam WM asli berdasarkan pada teknologi jaringan belajar mandiri. Teknologi ini mengingat urutan aplikasi yang benar; Menghadapi kenyataan bahwa urutan tindakan aplikasi di dalam WM tidak terjadi dengan benar, ia memblokirnya.


Baca lebih lanjut tentang Keamanan untuk lingkungan virtual di situs web pengembang , dan cara menginstal perlindungan anti-virus dengan agen yang mudah untuk server virtual Anda, baca panduan referensi kami (di bagian bawah halaman adalah kontak dukungan teknis 24 jam sepanjang waktu jika Anda memiliki pertanyaan).

▍Integrasi dengan layanan untuk mencegah atau memperbaiki masalah terkait keamanan cloud


  • Ubah platform manajemen. Ini adalah layanan yang terbukti yang mendukung proses ITSM inti perusahaan, termasuk keamanan dan insiden TI. Misalnya, ServiceNow, Remedy, JIRA.
  • Alat Pindai Keamanan. Misalnya, Rapid7, Qualys, Tenable.
  • Alat manajemen konfigurasi. Mereka memungkinkan Anda untuk mengotomatiskan operasi server dan dengan demikian menyederhanakan konfigurasi dan pemeliharaan puluhan, ratusan bahkan ribuan server yang dapat didistribusikan di seluruh dunia. Misalnya, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
  • Alat untuk manajemen pemberitahuan yang aman. Memungkinkan Anda untuk menyediakan layanan berkelanjutan dan terus memantau situasi selama insiden, memberikan dukungan yang kompeten untuk integrasi dengan telepon, pengiriman pesan, dan email (Menurut Cisco, lebih dari 85% pesan email adalah spam pada Juli 2019, yang berpotensi mengandung malware, upaya phishing, dll. Saat ini, program jahat sering dikirim melalui jenis lampiran “biasa”: lampiran jahat yang paling umum di email adalah Microsoft Office ly Lebih -. Dalam laporan Cisco keamanan e-mail untuk Juni 2019 ). Alat semacam itu bisa, misalnya, OpsGenie.



▍ Perlindungan dari eksploitasi


Karena eksploitasi adalah konsekuensi dari kerentanan dalam perangkat lunak, pengembang perangkat lunak inilah yang harus memperbaiki bug dalam produk mereka. Tanggung jawab pengguna termasuk pemasangan tepat waktu paket layanan dan tambalan untuk itu segera setelah dirilis. Jangan lewatkan pembaruan membantu menggunakan alat pencarian otomatis dan menginstal pembaruan atau manajer aplikasi dengan fitur ini. Kaspersky Security .


, . . , . . RDP SSH IP . . RUVDS . , . Untuk menambah kenyamanan klien, aturan penyaringan yang paling umum digunakan telah ditambahkan ke antarmuka firewall. IP , .


▍ DDoS-


,
( ) . , , , RUVDS 24/7, 1500 /. . RUVDS 0.5 /, — 400 . .



, , ( ). , ( , , « » ), , , , .

Kami harap artikel ini bermanfaat. Seperti biasa, kami menyambut komentar konstruktif, informasi baru, pendapat menarik, serta laporan dari segala ketidakakuratan dalam materi.


Source: https://habr.com/ru/post/id481018/

More articles:


All Articles