Geekly articles weekly

E, novamente, sobre a proteção de infra-estruturas virtuais

Nesta postagem, tentaremos tirar nossos leitores de equívocos comuns sobre a segurança de servidores virtuais e nos informar como proteger adequadamente nossas nuvens alugadas no final de 2019. O artigo foi desenvolvido principalmente para nossos clientes novos e potenciais, especificamente aqueles que acabaram de comprar ou desejam comprar servidores virtuais RUVDS , mas que não são muito versados ​​em segurança cibernética e VPS. Esperamos que, para usuários experientes, seja algo útil.


Quatro abordagens errôneas de segurança na nuvem


Existem opiniões bastante comuns entre proprietários e executivos de negócios (destacamos em negrito) que garantir a segurança cibernética dos serviços em nuvem não é a priori necessário , uma vez que as nuvens são seguras (1) ou é tarefa do provedor da nuvem : pago por VPS significa que deve ser configurado, seguro e funcionar sem problemas (2). Existe uma terceira opinião inerente aos especialistas em segurança da informação e aos empresários: as nuvens são perigosas! Nenhuma ferramenta de segurança conhecida pode fornecer a proteção necessária para ambientes virtuais (3) - os executivos de negócios com essa abordagem recusam as tecnologias da nuvem devido à desconfiança ou ao mal-entendido da diferença entre as ferramentas de segurança tradicionais e especializadas (sobre elas abaixo). A quarta categoria de cidadãos acredita que sim, seria necessário proteger sua infraestrutura de nuvem, porque existem antivírus padrão (4).

Todas essas quatro abordagens estão erradas - elas podem causar perdas (a menos que, com exceção da abordagem, você não deva usar servidores virtuais, mas aqui você não deve negligenciar o postulado de negócios "lucro perdido também é perda"). Para ilustrar algumas estatísticas, citamos o relatório do especialista em suporte de vendas corporativas da Kaspersky Lab, Vladimir Ostroverkhov, que publicamos no verão de 2017. Em seguida, a Kaspersky realizou uma pesquisa entre cinco mil empresas de 25 países - essas são grandes empresas com pelo menos um milhão e meio funcionários. 75% deles usam virtualização, mas não investem em proteção. O problema não perdeu sua relevância hoje:

“Cerca de metade das [grandes] empresas não usa nenhuma proteção para máquinas virtuais, e a segunda metade acredita que qualquer antivírus padrão é suficiente. Todas essas empresas [cada] gastam, em média, quase um milhão de dólares [por ano] na recuperação de incidentes: investigando, recuperando um sistema, recuperando custos, compensando as perdas de um único hack ... Qual seria o custo delas se elas mesmas compromisso? Perdas diretas em restauração, substituição de equipamentos, software ... Perdas indiretas - reputação ... Perdas em remuneração de seus clientes, inclusive reputação ... E também investigação de incidentes, substituição parcial da infraestrutura, porque ela já se comprometeu, são diálogos com governos, são diálogos com companhias de seguros, diálogos com clientes que precisam pagar uma compensação. ”

Por que essas abordagens não funcionam


Abordagem 1: As nuvens são seguras, elas não precisam ser protegidas . Cerca de 240 mil unidades de software mal-intencionado que aparecem todos os dias vivem perfeitamente dentro das nuvens: do código simples que um aluno da escola escreveu e publicou na Internet (o que significa que pode potencialmente danificar os dados) a ataques direcionados complexos projetados especificamente para organizações, casos e organizações específicas. situações que são muito boas não apenas em quebrar e roubar dados, mas também em "esconder-se". A infraestrutura virtual também é interessante para hackers: é muito mais fácil invadir e obter acesso a todas as suas máquinas e dados virtuais ao mesmo tempo do que tentar invadir cada servidor físico separadamente. Além disso, vale a pena considerar que, dentro da infraestrutura virtual, o código malicioso se espalha a uma velocidade tremenda - dezenas de milhares de máquinas podem ser infectadas em dez minutos, o que equivale a uma epidemia (veja o relatório acima). Programas maliciosos e ações de ransomware que contribuem para o vazamento de dados da empresa representam cerca de 27% do número total de "perigos" turvos. Os pontos mais vulneráveis ​​da nuvem são: interfaces desprotegidas e acesso não autorizado - cerca de 80% no total (de acordo com um estudo do Cloud Security Report 2019, com o apoio da Check Point Software Technologies Ltd., fornecedora líder de soluções de segurança cibernética para governos e empresas corporativas em todo o mundo).


Relatório de Segurança na Nuvem 2019

Abordagem 2: Proteger a infraestrutura de nuvem é a missão do VPS. Isso é parcialmente verdade, porque o provedor do servidor virtual se preocupa com a estabilidade de seus sistemas, com um nível de proteção suficientemente alto para os principais componentes da nuvem: servidores, unidades, redes, virtualização (regulamentada pelo SLA). Mas ele não precisa se preocupar em impedir ameaças internas e externas que possam surgir na infraestrutura de nuvem do cliente. Vamos nos permitir uma analogia dental aqui. Tendo pago muito dinheiro por um bom implante, o cliente da clínica odontológica entende que o bom funcionamento da prótese depende em grande parte de si mesmo (o cliente). Por sua parte, o dentista-dentista fez tudo o que é necessário em termos de segurança: ele pegou materiais de alta qualidade, "firmemente" prendeu o implante, não quebrou a mordida, curou a gengiva após a cirurgia, etc. E se o usuário não seguir as regras de higiene no futuro, vamos , abra as tampas de garrafa de metal com os dentes e execute outras ações inseguras semelhantes; será impossível garantir o bom trabalho de um novo dente. A mesma história com 100% de segurança na nuvem alugada a partir de um provedor VPS. "Não está na jurisdição" do provedor de serviços em nuvem que protege os dados e aplicativos do cliente é de sua responsabilidade pessoal.

Abordagem 3: Nenhuma ferramenta de segurança pode fornecer a proteção necessária para ambientes virtuais. Nem um pouco. Existem soluções de segurança especializadas em nuvem que abordaremos na última parte deste artigo.

Abordagem 4: Usando um antivírus padrão (proteção tradicional). É importante saber que as ferramentas de segurança tradicionais que todos estão acostumadas a usar em computadores locais simplesmente não são projetadas para ambientes virtuais distribuídos (elas não "veem" como a comunicação entre máquinas virtuais ocorre) e não protegem a infraestrutura virtual interna de uma tentativa de hacking interno. Simplificando, antivírus convencionais quase não funcionam na nuvem. Ao mesmo tempo, instalados em cada WM, eles consomem uma enorme quantidade de recursos de todo o ecossistema virtual ao verificar vírus e atualizações, “desperdiçando” a rede e inibindo o trabalho da empresa, mas oferecendo quase zero de eficiência como resultado de seu trabalho principal.

Nas próximas duas seções do artigo, listaremos quais perigos podem surgir quando uma empresa opera nas nuvens (privada, pública, híbrida) e informaremos como esses perigos podem e devem ser evitados corretamente.

Os perigos que ameaçam constantemente os serviços em nuvem


▍ Ataques de rede remotos


Esse é um tipo diferente de efeito destrutivo da informação em um sistema de computação distribuído, realizado de forma programática através dos canais de comunicação para atingir objetivos diferentes. O mais comum deles:

  • Ataque DDoS ( Negação de Serviço Distribuída ). Envio massivo de solicitações de informações ao servidor para consumir recursos ou largura de banda no sistema atacado, a fim de desativar o sistema de destino, causando danos à empresa. Usado pelos concorrentes como um serviço personalizado, extorsionistas, ativistas políticos e governos para receber dividendos políticos. Esses ataques são realizados usando uma botnet - uma rede de computadores com bots instalados (software que pode conter vírus, programas para controlar remotamente um computador e ferramentas para se esconder do sistema operacional) que são usados ​​remotamente por hackers para distribuir spam e ransomware. Leia mais em nosso post DDoS: IT Maniacs no limite do ataque .
  • Inundação de ping - para ligar para o congestionamento da linha.
  • Ping of Death - para congelar, reiniciar e travar o sistema.
  • Ataques no nível do aplicativo - para obter acesso a um computador que permite o lançamento de aplicativos para uma conta específica (sistema privilegiado).
  • Fragmentação de dados - para encerramento anormal do sistema através do estouro de buffers de software.
  • Autores - para automatizar o processo de invasão, verificando um grande número de sistemas em pouco tempo, instalando o rootkit.
  • Cheirando - para ouvir o canal.
  • Imposição de pacotes - para alternar para o seu computador a conexão estabelecida entre outros computadores.
  • Captura de pacotes no roteador - para receber senhas e informações do usuário por email.
  • Falsificação de IP - para que um hacker, dentro ou fora da rede, possa se passar por um computador em que você pode confiar. É realizado através da substituição do endereço IP.
  • Ataques de força bruta (força bruta) - para selecionar uma senha enumerando combinações. Eles exploram vulnerabilidades no RDP e SSH.
  • Smurf - para reduzir a largura de banda do canal de comunicação e / ou isolar completamente a rede atacada.
  • Falsificação de DNS - para danificar a integridade dos dados no sistema DNS através do "envenenamento" do cache DNS.
  • Substituição de host confiável - para poder realizar uma sessão com o servidor em nome de um host confiável.
  • TCP SYN Flood - para excesso de memória do servidor.
  • Man-in-the-middle - para roubar informações, distorcer dados, ataques de negação de serviço, invadir a sessão de comunicação atual para obter acesso aos recursos da rede privada, analisar o tráfego para obter informações sobre a rede e seus usuários.
  • Inteligência de rede - para examinar informações sobre a rede e os aplicativos em execução nos hosts antes de um ataque.
  • Redirecionamento de porta - um tipo de ataque que usa um host invadido para transmitir tráfego através de um firewall. Por exemplo, se o firewall estiver conectado a três hosts (no lado externo, interno e no segmento de serviços públicos), o host externo terá a oportunidade de se comunicar com o host interno reatribuindo portas ao host de serviços públicos.
  • Exploração de confiança - ataques que ocorrem quando alguém tira proveito das relações de confiança na rede. Por exemplo, invadir um sistema da rede corporativa (servidores HTTP, DNS, SMTP) pode levar a invasões de outros sistemas.

▍Engenharia Social


  • Phishing - para obter informações confidenciais (senhas, números de cartões bancários etc.) por meio de um boletim em nome de organizações conhecidas, bancos.
  • Farejadores de pacotes - para acessar informações críticas, incluindo senhas. É bem-sucedido em grande parte porque os usuários costumam usar seu nome de usuário e senha repetidamente para obter acesso a vários aplicativos e sistemas. Dessa maneira, um hacker pode obter acesso à conta de usuário do sistema e criar uma nova conta através dela para ter acesso à rede e seus recursos a qualquer momento.
  • Pretexting é um ataque com script usando comunicação por voz, cujo objetivo é forçar a vítima a tomar uma ação.
  • Cavalo de Tróia - uma técnica baseada nas emoções da vítima: medo, curiosidade. O software malicioso geralmente está localizado no anexo do email.
  • Quid sobre o quo (então, para isso, serviço por serviço) - o contato de um invasor por telefone ou e-mail corporativo disfarçado de oficial de suporte técnico que relata problemas no computador da vítima e sugere resolvê-los. O objetivo é instalar o software e executar comandos maliciosos neste computador.
  • Viaja jogando a mídia física de armazenamento infectada em locais públicos corporativos (pen drive no banheiro, pen drive no elevador), equipada com inscrições que despertam curiosidade.
  • Coleta de informações de redes sociais.

Explorações


Quaisquer ataques ilegais e não autorizados que visem a obtenção de dados ou a interrupção do funcionamento do sistema ou o controle do sistema são chamados de explorações. Eles são causados ​​por erros no processo de desenvolvimento de software, como resultado das vulnerabilidades que aparecem no sistema de proteção do programa que são usadas com sucesso pelos criminosos cibernéticos para obter acesso ilimitado ao próprio programa e, por meio dele, a todo o computador e à rede de máquinas.

▍Competição de contas


Hackear por uma pessoa não autorizada uma conta de um funcionário de uma empresa para obter acesso a informações protegidas: interceptar informações (incluindo som) e chaves com malware até penetrar no armazenamento físico do meio de informação.

▍Competição de repositórios


Infecção de servidores de repositório de arquivos, atualizações e bibliotecas do instalador de software.

Risks Riscos internos da empresa


Isso inclui vazamentos de informações causados ​​pelos próprios funcionários da empresa. Isso pode ser simples negligência ou ações maliciosas deliberadas: da sabotagem direcionada das políticas administrativas de segurança à venda de informações confidenciais para o lado. Isso inclui acesso não autorizado, interfaces inseguras, configuração inadequada de plataformas em nuvem e instalação / uso de aplicativos não autorizados.

Agora, vamos ver como evitar uma lista tão extensa (e longe de completa) de problemas de segurança na nuvem.

Soluções modernas e especializadas de segurança na nuvem


Cada infraestrutura de nuvem requer segurança abrangente em vários níveis. Os métodos descritos abaixo ajudarão você a entender em que consiste um conjunto de medidas para garantir a segurança na nuvem.

▍Antivírus


É importante lembrar que qualquer antivírus tradicional não será confiável na tentativa de fornecer segurança na nuvem. Você precisa usar uma solução projetada especificamente para ambientes virtuais e na nuvem, e a instalação também possui suas próprias regras neste caso. Hoje, existem duas maneiras de garantir a segurança da nuvem usando antivírus especializados de múltiplos componentes, desenvolvidos com as mais recentes tecnologias: proteção sem agente e proteção com agente leve.

Proteção sem agente. É desenvolvido na empresa VMware e é possível apenas em suas soluções. Duas máquinas virtuais adicionais são implantadas no servidor físico com máquinas virtuais: Protection Server (SVM) e Network Attack Blocker (NAB). Nada é colocado dentro de cada um deles. No SVM, um dispositivo de segurança dedicado, apenas o mecanismo antivírus está instalado. Em uma máquina NAB, esse componente é responsável apenas pela verificação das comunicações entre as máquinas virtuais e o que está acontecendo no ecossistema (e pela comunicação com a tecnologia NSX). A verificação de todo o tráfego que chega ao servidor físico é tratada por este SVM. Ele compõe um conjunto de veredictos que é acessível a todas as máquinas de defesa virtual por meio de um cache de veredicto comum. Cada máquina virtual de proteção aborda esse pool em primeiro lugar, em vez de varrer todo o sistema - esse princípio permite reduzir os custos de recursos e acelerar o ecossistema.


Proteção com um agente leve. Desenvolvido pela Kaspersky e não possui restrições da VMware. Como na proteção sem agente, um mecanismo antivírus é instalado no SVM, mas, ao contrário, ainda existe um agente leve instalado dentro de cada WM. O agente não executa verificações, mas apenas monitora tudo o que acontece dentro do WM nativo com base na tecnologia das redes de autoaprendizagem. Essa tecnologia lembra a sequência correta de aplicativos; Diante do fato de que a sequência de ações do aplicativo no WM não ocorre corretamente, ele a bloqueia.


Leia mais sobre Segurança para ambientes virtuais no site do desenvolvedor e sobre como instalar proteção antivírus com um agente fácil para o servidor virtual, leia nosso guia de referência (na parte inferior da página há contatos de suporte técnico 24 horas, caso você tenha alguma dúvida).

TIntegração com serviços para prevenir ou corrigir problemas relacionados à segurança na nuvem


  • Plataformas de gerenciamento de mudanças. Esses são serviços comprovados que suportam os principais processos de ITSM da empresa, incluindo segurança e incidentes de TI. Por exemplo, ServiceNow, Remedy, JIRA.
  • Ferramentas de verificação de segurança. Por exemplo, Rapid7, Qualys, Tenable.
  • Ferramentas de gerenciamento de configuração. Eles permitem automatizar a operação de servidores e, assim, simplificar a configuração e manutenção de dezenas, centenas e até milhares de servidores que podem ser distribuídos em todo o mundo. Por exemplo, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
  • Ferramentas para gerenciamento seguro de notificações. Permitir que você forneça serviço contínuo e continue a monitorar a situação durante incidentes, forneça suporte competente para a integração com o telefone, mensagens e email (de acordo com a Cisco, mais de 85% das mensagens de email eram spam em julho de 2019, o que potencialmente poderia conter malware, tentativas de phishing etc. Atualmente, os programas maliciosos geralmente são enviados pelos tipos "comuns" de anexos: os anexos maliciosos mais comuns no email são Microsoft Office ly Mais -. No relatório de segurança de e-mail Cisco para junho 2019 ). Essa ferramenta pode ser, por exemplo, OpsGenie.



▍ Proteção contra explorações


Como as explorações são as consequências de vulnerabilidades no software, são os desenvolvedores deste software que devem corrigir os erros em seus produtos. A responsabilidade dos usuários inclui a instalação oportuna de service packs e patches imediatamente após o lançamento. Não perca as atualizações que ajudam a usar a ferramenta de pesquisa automática e instalar atualizações ou gerenciador de aplicativos com esse recurso. Kaspersky Security .


, . . , . . RDP SSH IP . . RUVDS . , . Para maior comodidade do cliente, as regras de filtragem mais usadas foram adicionadas à interface do firewall. IP , .


▍ DDoS-


,
( ) . , , , RUVDS 24/7, 1500 /. . RUVDS 0.5 /, — 400 . .



, , ( ). , ( , , « » ), , , , .

Esperamos que o artigo tenha sido útil. Como sempre, agradecemos comentários construtivos, novas informações, opiniões interessantes e relatórios de quaisquer imprecisões no material.


Source: https://habr.com/ru/post/pt481018/

More articles:


All Articles