Serwery zombie cię zabiją

Myślałeś, że został pochowany. Zapomniałeś. Ktoś tego nie udokumentował. Komenda ping nie znalazła go. Leżał tam martwy. Nikt go nie znalazł. Ale był impuls: wciąż działa i żyje. I to prawdopodobnie nie jest zapakowane.

Coś sondowało to dawno temu. Znaleziono port 443 otwarty. Jacked to jak Porsche 911 na Sunset Boulevard w deszczową sobotnią noc. Jak to się stało? Pozwól mi policzyć drogi.

Teraz to zombie żyjący w twojej sferze zasobów.

Nie ma znaczenia, że ​​jest to część twojego rachunku za energię. Powoli je Twój lunch.

Nie ma znaczenia, że ​​nie możesz go znaleźć, ponieważ to jest znalezienie ty.

Słucha cicho twojego ruchu, szukając łatwych, niezaszyfrowanych rzeczy. Prawdopodobnie ma kilka przyzwoitych haseł do rdzenia routera. Ten udział NAS za pomocą MSChapV2? Tak, to było łatwe do strawienia. Szkoda, że ​​hasło jest takie samo jak hasło dla każdego serwera NAS w każdym oddziale tego samego dostawcy. Szkoda, że ​​urządzenia NAS nie szyfrują ruchu.

[BEZPIECZEŃSTWO: Meme tygodnia: Hasło Shenanigans]

A certyfikaty na routerach Wi-Fi, które tak drogo zainstalowałeś w 2009 roku? Czy zdajesz sobie sprawę, jak powstały ich certyfikaty? Nawet zajrzałeś do środka jeden z nich odkryć, że wszystkie certyfikaty są takie same - żaden nie jest unikalny - i wszystkie zostały zaszyfrowane za pomocą liczydła? Zombie rozumieją liczydło.

Czekaj, mówisz, że ktoś podłączył się do ściennego serwera brodawek lub może PoE o smaku Kewl o smaku malinowym przedostało się do twojego systemu okablowania, niestety, nie wiemy dokładnie, kto to zrobił.

Serwery zombie są tam. Oni żyją.

A więc…

… Zamknij się na temat aktualizacji

W obiekcie ExtremeLabs i zdalnym NOC w Expedient mam wiele maszyn i dużo więcej maszyn wirtualnych i kontenerów. Otrzymują automatyczne aktualizacje, zapisują maszyny wirtualne, które były używane do testów. Te zostają zamrożone na czas, zamrożone w starej sieci SAN Compellent (obecnie Dell), a następnie usunięte po roku. Do widzenia.

Zdecydowana większość aktualizacji, poprawek i poprawek przesłanych przez dostawców, a nawet aktualizacje sterowników są wykonywane w oczekiwaniu na ponowne uruchomienie (patrząc na ciebie, Microsoft).

Niedawno był taki dzień, kiedy najlepszą praktyką było ignorowanie automatycznych aktualizacji, ponieważ aktualizacje nie były dobrze sprawdzane przez dostawców. Brak testów regresji, niemożliwe do przetestowania wariancje i „och, zrobiłeś to?” tajemnice oznaczały, że wybuchy były powszechne. Doprowadziło to do tego, że organizacje czyniły aplikacje ogólnymi infrastrukturami, według książki i bez użycia produktów innych firm, które mogłyby wprowadzać błędy.

Trudno to dziś zrobić. Czy ci się to podoba, czy nie, to heterogeniczny świat. Nie można już ostrożnie budować ścian, nawet instancji systemów operacyjnych wokół infrastruktury krytycznej (co dziś nie jest krytyczną infrastrukturą biznesową?), W tym hiperwizorów, piaskownic, kontenerów, unikerneli i innych ścian, aby awarie systemów nie powodowały krateru linii biznesowej aplikacje.

Co musisz zrobić?

  1. Właściwie obejdź swoją infrastrukturę i sprawdź ją, szukając, tak, sprzętu zombie i nieoznakowanych zasobów krytycznych.
  2. Otwórz każdy z hiperwizowanych, kontenerowych (np. Zwirtualizowanych) hostów w całej domenie (w tym w chmurze) i dowiedz się, jaki jest dokładnie cel każdego uruchomionego wystąpienia. A jeśli każdy host otrzymuje aktualizacje, dowiedz się, jaki jest jego poziom poprawek.
  3. Zapisz wynik jako krok audytu.
  4. Sprawdzaj co kwartał wszystkie. Oprogramowanie do ochrony i wykrywania włamań na planecie pozwala na pewien stopień normalizacji. Wyłącz normalizację na tydzień-tydzień, kiedy nikt nie jest na wakacjach. Słuchaj ruchu. Zaktualizuj zasady wykrywania / inspekcji. Zautomatyzowanie tego procesu jest w porządku. Po prostu to zrób.

Na koniec dnia masz listę. Skonsoliduj to. Zbadaj to. Uzyskaj kolejną parę oczu (lub więcej) na liście. DZIAŁAJ NA TO. Zablokuj listę po działaniu na tym, co znajdziesz. Zrób to jeszcze raz.

Boty zombie czekają, aż się poślizgniesz.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.