Y de nuevo sobre la protección de las infraestructuras virtuales

En esta publicación, intentaremos sacar a nuestros lectores de conceptos erróneos comunes sobre la seguridad de los servidores virtuales y decirnos cómo proteger adecuadamente sus nubes alquiladas a finales de 2019. El artículo está dirigido principalmente a nuestros nuevos y potenciales clientes, más concretamente aquellos que acaban de comprar o quieren comprar. servidores virtuales RUVDS, pero aún no están muy versados ​​en temas de ciberseguridad y el funcionamiento de VPS. Esperamos que los usuarios expertos lo encuentren algo útil.

Cuatro enfoques equivocados para la seguridad en la nube

Hay opiniones, bastante comunes entre empresarios y directivos (las destacamos en negrita), que Garantizar la ciberseguridad de los servicios en la nube es algo a priori innecesario., dado que las nubes son seguras (1), o esta es tarea del proveedor de la nube: Pagué por un VPS, lo que significa que todo debería estar configurado, ser seguro y funcionar sin problemas (2). También existe una tercera opinión, común tanto a los especialistas en seguridad de la información como a los empresarios: ¡Las nubes son peligrosas! Ninguna herramienta de seguridad conocida puede proporcionar una protección adecuada para los entornos virtuales. (3) — Los líderes empresariales con este enfoque abandonan las tecnologías de la nube debido a la desconfianza o la mala comprensión de la diferencia entre las herramientas de seguridad tradicionales y especializadas (más sobre ellas a continuación). La cuarta categoría de ciudadanos cree que Sí, debes proteger tu infraestructura en la nube, porque existen antivirus estándar. (4).

Todos estos cuatro enfoques son incorrectos: pueden generar pérdidas (excepto quizás el enfoque de no utilizar servidores virtuales en absoluto, pero incluso aquí no se debe descuidar el postulado comercial "el lucro cesante también es una pérdida"). Para ilustrar las estadísticas hasta cierto punto, aquí hay una cita del informe del experto en soporte de ventas corporativas de Kaspersky Lab Vladimir Ostroverkhov, que publicado en el verano de 2017. En ese momento, Kaspersky realizó una encuesta entre cinco mil empresas de 25 países: se trata de grandes empresas con al menos mil quinientos empleados. El 75% de ellos utiliza la virtualización pero no invierte en seguridad. El problema no ha perdido su relevancia hoy:

“Aproximadamente la mitad de las [grandes] empresas no utilizan ninguna protección para las máquinas virtuales y la otra mitad cree que cualquier antivirus estándar será suficiente. Todas estas empresas [cada una] gasta en promedio casi millones de dolares [por año] para la recuperación después de incidentes: para la investigación, para la restauración del sistema, para la compensación de costos, para la compensación de pérdidas de un solo hack... ¿Cuáles serán sus gastos si se comprometen? Pérdidas directas por restauración, sustitución de equipos, software... Pérdidas indirectas - reputación... Pérdidas por compensación a sus clientes, incluida la reputación... Y también investigación de incidentes, sustitución parcial de infraestructura, porque ya se ha comprometido, Estos son diálogos con los gobiernos, estos diálogos con las compañías de seguros, diálogos con los clientes que tienen que pagar una compensación”.

Por qué estos enfoques no funcionan

Enfoque 1: Las nubes son seguras, no es necesario protegerlas. Alrededor de 240 mil programas maliciosos que aparecen a diario viven perfectamente dentro de las nubes: desde un simple código escrito por un escolar y publicado en Internet (lo que significa que puede dañar potencialmente los datos) hasta complejos ataques dirigidos desarrollados específicamente para organizaciones, casos y situaciones específicas que son muy buenos no sólo para descifrar y robar datos, sino también para “ocultarse” a sí mismos. La infraestructura virtual también es interesante para los piratas informáticos: es mucho más fácil piratear y obtener acceso a todas sus máquinas virtuales y datos a la vez, en lugar de intentar piratear cada servidor físico por separado. Además, vale la pena considerar que dentro de la infraestructura virtual, el código malicioso se propaga a una velocidad tremenda: decenas de miles de máquinas pueden infectarse en diez minutos, lo que equivale a una epidemia (consulte el documento antes mencionado). reportar). Los programas maliciosos y las actividades de ransomware que contribuyen a la fuga de datos de las empresas representan aproximadamente el 27% del número total de "peligros" de la nube. La mayor parte de las vulnerabilidades en la nube: interfaces desprotegidas y acceso no autorizado, alrededor del 80% en total (según una investigación Informe de seguridad en la nube 2019 con el apoyo de Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para gobiernos y empresas de todo el mundo. 

Informe de seguridad en la nube 2019

Enfoque 2: Proteger la infraestructura de la nube es responsabilidad del proveedor de VPS. Esto es en parte cierto, porque el proveedor de servidores virtuales se preocupa por la estabilidad de sus sistemas y por un nivel suficientemente alto de protección de los componentes principales de la nube: servidores, dispositivos de almacenamiento, redes, virtualización (regulados por un acuerdo de nivel de servicio, SLA). . Pero no tiene que preocuparse por prevenir amenazas internas y externas que puedan surgir en la infraestructura de nube del cliente. Permitámonos aquí una analogía dental. Habiendo pagado incluso mucho dinero por un buen implante, un cliente de una clínica dental comprende que el correcto funcionamiento de la prótesis depende en gran medida de él mismo (el cliente). El dentista ortopédico, por su parte, hizo todo lo necesario en términos de seguridad: seleccionó materiales de alta calidad, "fijó" el implante de manera confiable, no alteró la mordida, curó las encías después de la cirugía, etc. Si no sigue las normas de higiene en el futuro, podrá, por ejemplo, abrir tapas de botellas de metal con los dientes y realizar otras acciones peligrosas similares, será imposible garantizar el buen funcionamiento del nuevo diente. La misma historia se aplica a garantizar el 100% de seguridad en la nube en un VPS alquilado a un proveedor. “Fuera de la jurisdicción” del proveedor de servicios en la nube, proteger los datos y aplicaciones del cliente es su responsabilidad personal.

Enfoque 3: Ninguna herramienta de seguridad puede proporcionar una protección adecuada para los entornos virtuales. De nada. Existen soluciones de seguridad en la nube especializadas, de las que hablaremos en la última parte del artículo.

Enfoque 4: Usar un antivirus estándar (protección tradicional). Es importante saber aquí que las herramientas de seguridad tradicionales que todos están acostumbrados a usar en las computadoras locales simplemente no están diseñadas para entornos virtuales distribuidos (no "ven" cómo se produce la comunicación entre máquinas virtuales) y no protegen la infraestructura virtual interna de Intentos de piratería interna. En pocas palabras, el software antivirus convencional apenas funciona en la nube. Al mismo tiempo, instalados en cada WM, consumen una gran cantidad de recursos de todo el ecosistema virtual al buscar virus y actualizaciones, “desperdiciando” la red y ralentizando el trabajo de la empresa, pero como resultado, dando casi eficiencia nula en su trabajo principal.

En las dos siguientes secciones del artículo, enumeraremos los peligros que pueden surgir cuando una empresa opera en las nubes (privada, pública, híbrida) y le diremos cómo estos peligros pueden y deben prevenirse correctamente.

Los peligros que amenazan constantemente a los servicios en la nube

▍Ataques a redes remotas

Se trata de un impacto destructivo de información de diversos tipos en un sistema informático distribuido, que se lleva a cabo mediante programación a través de canales de comunicación para lograr diferentes objetivos. Los más comunes de ellos:

• Ataque DDoS (Denegación de servicio distribuido). Envío masivo de solicitudes de información al servidor con el objetivo de consumir recursos o ancho de banda del sistema atacado para inutilizar el sistema objetivo, provocando daños a la empresa. Utilizado por competidores como servicio personalizado, extorsionadores, activistas políticos y gobiernos para obtener dividendos políticos. Estos ataques se llevan a cabo mediante una botnet, una red de computadoras con bots instalados (software que puede contener virus, programas para controlar remotamente la computadora y herramientas para ocultarse del sistema operativo), que los piratas informáticos utilizan de forma remota para distribuir spam y ransomware. . Lee más en nuestra publicación DDoS: los maníacos de TI a la vanguardia del ataque.
• Inundación de ping - provocar una sobrecarga en la línea. 
• Ping de la muerte - provocar congelación, reinicio y caída del sistema.
• Ataques a nivel de aplicación — para obtener acceso a una computadora que permite iniciar aplicaciones para una cuenta específica (sistema privilegiado).
• Fragmentación de datos — para el apagado de emergencia del sistema debido a un desbordamiento del búfer del software.
• Autorooters — automatizar el proceso de piratería escaneando una gran cantidad de sistemas en poco tiempo mediante la instalación de un rootkit.
• Sniffing — para escuchar el canal.
• Imposición de paquetes - para cambiar a su computadora una conexión establecida entre otras computadoras.
• Interceptación de paquetes en el enrutador: para recibir contraseñas de usuario e información por correo electrónico.
• IP Spoofing - para que un hacker dentro o fuera de la red pueda hacerse pasar por una computadora en la que se puede confiar. Esto se hace mediante la suplantación de direcciones IP.
• Ataques de fuerza bruta (fuerza bruta): para seleccionar una contraseña probando combinaciones. Explotan vulnerabilidades en RDP y SSH.
• Pitufo — reducir el rendimiento del canal de comunicación y/o aislar completamente la red atacada.
• la suplantación de DNS — Dañar la integridad de los datos en el sistema DNS “envenenando” la caché DNS. 
• Suplantación de host de confianza — poder realizar una sesión con el servidor en nombre de un host confiable. 
• Inundación TCP SYN — para desbordar la memoria del servidor.
• Man-in-the-middle — por robo de información, distorsión de datos transmitidos, ataques DoS, piratería de una sesión de comunicación actual para obtener acceso a recursos de red privados, análisis de tráfico para obtener información sobre la red y sus usuarios.
• Inteligencia de red — para estudiar información sobre la red y las aplicaciones que se ejecutan en los hosts antes de un ataque.
• Redirección de puertos es un tipo de ataque que utiliza un host comprometido para pasar el tráfico a través de un firewall. Por ejemplo, si un firewall está conectado a tres hosts (servicios externos, internos y públicos), entonces el host externo puede comunicarse con el host interno reenviando puertos en el host de servicios públicos.
• Explotación de confianza - ataques que ocurren cuando alguien se aprovecha de relaciones de confianza dentro de una red. Por ejemplo, piratear un sistema dentro de una red corporativa (servidores HTTP, DNS, SMTP) puede provocar la piratería de otros sistemas. 

▍Ingeniería social

• Phishing — recibir información confidencial (contraseñas, números de tarjetas bancarias, etc.) a través de correos electrónicos en nombre de organizaciones y bancos de renombre.
• rastreo de paquetes (rastreadores de paquetes): para obtener acceso a información crítica, incluidas contraseñas. Su éxito se debe en gran medida al hecho de que los usuarios suelen reutilizar su nombre de usuario y contraseña para acceder a diversas aplicaciones y sistemas. De esta forma, un hacker puede acceder a una cuenta de usuario del sistema y crear una nueva cuenta a través de ella para tener acceso a la red y sus recursos en cualquier momento.
• Pretexto - un ataque programado que utiliza comunicaciones de voz, cuyo objetivo es obligar a la víctima a realizar una acción. 
• Caballo de troya - una técnica basada en las emociones de la víctima: miedo, curiosidad. El malware suele encontrarse como archivo adjunto de correo electrónico.
• Quid sobre quo (entonces, para esto, quid pro quo): un atacante se comunica con usted a través de un teléfono corporativo o correo electrónico bajo la apariencia de un empleado de soporte técnico, informando problemas en la computadora de la víctima y ofreciéndose a resolverlos. El objetivo es instalar software y ejecutar comandos maliciosos en esta computadora.
• manzana de carretera — Colocar medios de almacenamiento físicos infectados en lugares públicos corporativos (unidades flash en el baño, discos en el ascensor), equipados con inscripciones que despiertan la curiosidad. 
• Recopilación de información de las redes sociales.

▍Explotaciones

Cualquier ataque ilegal y no autorizado destinado a obtener datos, interrumpir el funcionamiento de un sistema o tomar el control de un sistema se denomina exploits. Son causadas por errores en el proceso de desarrollo de software, como resultado de lo cual aparecen vulnerabilidades en el sistema de protección del programa, que los ciberdelincuentes aprovechan con éxito para obtener acceso ilimitado al programa en sí y, a través de él, a toda la computadora y luego a un Red de máquinas.

▍Compromiso de cuentas

Hackeo de la cuenta de un empleado de la empresa por parte de un extraño para obtener acceso a información protegida: desde interceptar información (incluido audio) y claves con malware hasta penetrar en el almacenamiento físico del soporte de información.

▍Compromiso de los repositorios

Infección de servidores de almacenamiento para instaladores de software, actualizaciones y bibliotecas.

▍Riesgos internos de la empresa

Esto incluye fugas de información por culpa de los propios empleados de la empresa. Puede tratarse de una simple negligencia o de acciones maliciosas deliberadas: desde el sabotaje deliberado de las políticas administrativas de seguridad hasta la venta de información confidencial a terceros. Esto también puede incluir acceso no autorizado, interfaces inseguras, configuración incorrecta de plataformas en la nube e instalación/uso de aplicaciones no autorizadas.

Ahora veamos cómo puede evitar una lista tan extensa (y lejos de ser completa) de problemas de seguridad en la nube.

Soluciones modernas de seguridad en la nube especializadas

Toda infraestructura de nube requiere una seguridad integral de múltiples capas. Los métodos que se describen a continuación le ayudarán a comprender en qué debe consistir un paquete de seguridad en la nube.

▍Antivirus

Es importante recordar que cualquier antivirus tradicional no será confiable cuando intente brindar seguridad en la nube. Es necesario utilizar una solución diseñada específicamente para entornos virtuales y de nube, y su instalación también tiene sus propias reglas en este caso. Hoy en día, existen dos formas de garantizar la seguridad en la nube utilizando antivirus multicomponente especializados desarrollados con las últimas tecnologías: protección sin agentes y protección con agentes ligeros.

Protección sin agentes. Desarrollado por VMware y posible sólo con sus soluciones. Se implementan dos máquinas virtuales adicionales en un servidor físico con máquinas virtuales: el servidor de seguridad (SVM) y el bloqueador de ataques de red (NAB). No se coloca nada dentro de cada uno de ellos. En el SVM sólo se instala el núcleo del antivirus, un dispositivo de seguridad dedicado. En una máquina NAB, este componente solo es responsable de verificar las comunicaciones entre las máquinas virtuales y lo que sucede en el ecosistema (y de la comunicación con la tecnología NSX). Este SVM verifica todo el tráfico que llega al servidor físico. Constituye un conjunto de veredictos, que está disponible para todas las máquinas virtuales de seguridad a través de una caché de veredictos común. Cada máquina virtual de seguridad accede primero a este grupo, en lugar de escanear todo el sistema; este principio le permite reducir los costos de recursos y acelerar el funcionamiento del ecosistema. 

Protección con un agente ligero. Desarrollado por Kaspersky y no tiene restricciones de VMware. Al igual que en la protección sin agentes, se instala un motor antivirus en el SVM, pero a diferencia de este, también hay un agente liviano instalado dentro de cada WM. El agente no realiza comprobaciones, solo monitorea todo lo que sucede dentro del WM nativo basándose en tecnología de red de autoaprendizaje. Esta tecnología recuerda la secuencia correcta de aplicaciones; Ante el hecho de que la secuencia de acciones de la aplicación dentro de WM no se desarrolla correctamente, la bloquea. 

Más sobre Lea Seguridad para entornos virtuales en el sitio web del desarrollador, pero sobre cómo instalar protección antivirus con un agente ligero para su servidor virtual, leer en nuestro directorio (en la parte inferior de la página se encuentran los contactos de soporte técnico XNUMX horas al día, XNUMX días a la semana en caso de que tenga alguna pregunta). 

▍Integración con servicios para prevenir o corregir problemas de seguridad en la nube

• Plataformas de gestión del cambio. Estos son servicios probados que respaldan los procesos ITSM centrales de la empresa, incluidos incidentes y seguridad de TI. Por ejemplo, ServiceNow, Remedy, JIRA.
• Herramientas de escaneo de seguridad. Por ejemplo, Rapid7, Qualys, Tenable.
• Herramientas de gestión de configuración. Le permiten automatizar el funcionamiento de los servidores y, por tanto, simplificar la configuración y el mantenimiento de decenas, cientos e incluso miles de servidores que pueden distribuirse por todo el mundo. Por ejemplo, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
• Herramientas seguras de gestión de alertas. Le permite brindar un servicio continuo y continuar monitoreando la situación durante los incidentes, brindar soporte competente para la integración telefónica, la mensajería y el correo electrónico (según Cisco, más del 85% de los mensajes de correo electrónico eran spam en julio de 2019, lo que potencialmente podría contener malware). intentos de phishing, etc. Hoy en día, el malware suele enviarse a través de tipos de archivos adjuntos “comunes”: los archivos adjuntos de correo electrónico maliciosos más comunes son archivos de Microsoft Office. Informe de seguridad del correo electrónico de Cisco de junio de 2019). Una herramienta de este tipo podría ser, por ejemplo, OpsGenie.

▍Protección contra exploits

Dado que los exploits son consecuencia de vulnerabilidades del software, son los desarrolladores de software quienes deben corregir los errores en su producto. Es responsabilidad de los usuarios instalar oportunamente los paquetes de actualización y los parches inmediatamente después de su lanzamiento. El uso de una herramienta de búsqueda e instalación automática o un administrador de aplicaciones con esta función le ayuda a evitar perder actualizaciones. La protección automática contra exploits está integrada en la aplicación descrita anteriormente. Agente ligero de Kaspersky Security para virtualización. 

▍Cortafuegos

Cortafuegos, cortafuegos. Filtra y controla el tráfico de la red según reglas preconfiguradas. Un firewall se puede representar como una secuencia de filtros que procesan el flujo de información de la red. La configuración adecuada del firewall es eficaz contra ataques de fuerza bruta. Puede permitir conexiones RDP o SSH solo desde ciertas direcciones IP del propietario del servidor y proteger el servidor de intentos de adivinar la contraseña. Los firewalls están presentes en todos los sistemas operativos modernos. Además de esto, la cuenta personal RUVDS ofrece cortafuegos gratuito a nivel de equipo de red. De esta forma, el tráfico de red no deseado no llegará a la máquina virtual, sino que será filtrado a nivel del centro de datos. Para mayor comodidad del cliente, se han agregado las reglas de filtrado más utilizadas a la interfaz del firewall. Si se cambia la dirección IP, el cliente puede simplemente ir a su cuenta personal y editar la regla sin tener que iniciar sesión en el servidor.

▍Protección contra ataques DDoS

Existe un servicio adicional que se puede adquirir en 
proveedor de servidores virtuales (y físicos). Se basa en tecnologías de análisis del tráfico de red que, por ejemplo, en RUVDS se realiza las 24 horas del día, los 7 días de la semana, y la protección puede soportar de forma estable hasta 1500 Gbit/s. Pagas sólo por el tráfico que necesitas. Ahora en promoción en RUVDS primer mes gratis 0.5 Mbit/s, luego desde 400 rublos. por mes.

▍Elaboración y cumplimiento normativo

Las reglas de usuario escritas y ejecutadas y las reglas para las medidas de rehabilitación (plan de respuesta a incidentes de ciberseguridad) tienen un peso significativo en materia de seguridad en la nube desde el punto de vista del factor humano, incluida la piratería mediante métodos de ingeniería social. Este punto incluye restringir el acceso de los empleados, determinar las principales aplicaciones en la nube de la empresa (no se pueden instalar otras aplicaciones excepto aquellas que están en dicha "lista blanca") y garantizar la seguridad de los dispositivos móviles que se pueden utilizar en la empresa para la interacción. con la infraestructura en la nube de la empresa, y el control de dispositivos, que es responsable de las políticas de uso de medios externos.

Esperamos que el artículo haya sido útil. Como siempre, agradecemos comentarios constructivos, nueva información, opiniones interesantes, así como informes de cualquier inexactitud en el material. 

Fuente: habr.com