Neste post, tentaremos orientar nossos leitores sobre os equívocos comuns em relação à segurança dos servidores virtuais e nos dizer como proteger adequadamente suas nuvens alugadas no final de 2019. O artigo destina-se principalmente aos nossos novos e potenciais clientes, mais especificamente aos que acabaram de adquirir ou pretendem adquirir , mas ainda não são muito versados em questões de segurança cibernética e na operação de VPS. Esperamos que usuários experientes o considerem útil.
Quatro abordagens erradas para segurança na nuvem
Existem opiniões, bastante comuns entre empresários e gestores (destacamos em negrito), que garantir a segurança cibernética dos serviços em nuvem é algo desnecessário a priori, uma vez que as nuvens são seguras (1), ou esta é a tarefa do provedor de nuvem: Paguei por um VPS - o que significa que tudo deve estar configurado, seguro e funcionar sem problemas (2). Há também uma terceira opinião, comum tanto a especialistas em segurança da informação quanto a empresários: nuvens são perigosas! Nenhuma ferramenta de segurança conhecida pode fornecer proteção adequada para ambientes virtuais (3) — os líderes empresariais com esta abordagem abandonam as tecnologias de nuvem devido à desconfiança ou à incompreensão da diferença entre ferramentas de segurança tradicionais e especializadas (mais sobre elas abaixo). A quarta categoria de cidadãos acredita que sim, você deve proteger sua infraestrutura em nuvem, porque existem antivírus padrão (4).
Todas essas quatro abordagens estão incorretas - podem trazer prejuízos (exceto, talvez, a abordagem de não usar servidores virtuais, mas mesmo aqui não se deve negligenciar o postulado empresarial “lucro perdido também é prejuízo”). Para ilustrar até certo ponto as estatísticas, aqui está uma citação do relatório do especialista em suporte de vendas corporativas da Kaspersky Lab, Vladimir Ostroverkhov, que nós no verão de 2017. Naquela época, a Kaspersky conduziu uma pesquisa entre cinco mil empresas de 25 países - são grandes empresas com pelo menos mil e quinhentos funcionários. 75% deles utilizam virtualização, mas não investem em segurança. O problema não perdeu relevância hoje:
“Cerca de metade das [grandes] empresas não utiliza qualquer proteção para máquinas virtuais e a outra metade acredita que qualquer antivírus padrão será suficiente. Todas essas empresas [cada uma] gastam, em média, quase milhões de dólares [por ano] para recuperação após incidentes: para investigação, para restauração do sistema, para compensação de custos, para compensação de perdas de um único hack... Quais serão suas despesas se eles se comprometerem? Perdas diretas por restauração, substituição de equipamentos, software... Perdas indiretas - reputação... Perdas por indenização de seus clientes, inclusive reputação... E também investigação de incidentes, substituição parcial de infraestrutura, pois já se comprometeu, são diálogos com governos, diálogos com companhias de seguros, diálogos com clientes que têm de pagar indemnizações.”
Por que essas abordagens não funcionam
Abordagem 1: As nuvens são seguras, não precisam ser protegidas. Cerca de 240 mil malwares que aparecem diariamente vivem perfeitamente dentro das nuvens: desde códigos simples escritos por um aluno e postados na Internet (o que significa que podem potencialmente danificar dados) até ataques direcionados complexos desenvolvidos especificamente para organizações, casos e situações específicas que são muito bons não apenas em quebrar e roubar dados, mas também em “se esconder”. A infraestrutura virtual também é interessante para hackers: é muito mais fácil hackear e obter acesso a todas as suas máquinas virtuais e dados de uma só vez, em vez de tentar hackear cada servidor físico separadamente. Além disso, vale a pena considerar que dentro da infra-estrutura virtual, o código malicioso se espalha a uma velocidade tremenda - dezenas de milhares de máquinas podem ser infectadas em dez minutos, o que equivale a uma epidemia (veja o acima mencionado ). Programas maliciosos e atividades de ransomware que contribuem para o vazamento de dados da empresa representam cerca de 27% do número total de “perigos” na nuvem. As maiores vulnerabilidades na nuvem: interfaces desprotegidas e acesso não autorizado - cerca de 80% no total (de acordo com pesquisa com suporte da Check Point Software Technologies Ltd. é um fornecedor líder de soluções de segurança cibernética para governos e empresas em todo o mundo.
Abordagem 2: Proteger a infraestrutura em nuvem é responsabilidade do provedor VPS. Isto é parcialmente verdade, porque o fornecedor do servidor virtual se preocupa com a estabilidade dos seus sistemas e com um nível de proteção suficientemente elevado para os principais componentes da nuvem: servidores, dispositivos de armazenamento, redes, virtualização (regulada por um acordo de nível de serviço, SLA) . Mas ele não precisa se preocupar em prevenir ameaças internas e externas que possam surgir na infraestrutura em nuvem do cliente. Permitamo-nos aqui uma analogia dentária. Tendo pago ainda muito dinheiro por um bom implante, o cliente de uma clínica odontológica entende que o correto funcionamento da prótese depende muito dele (o cliente). O ortopedista, por sua vez, fez tudo o que era necessário em termos de segurança: selecionou materiais de alta qualidade, “fixou” o implante com segurança, não perturbou a mordida, curou a gengiva após a cirurgia, etc. Se não seguir as regras de higiene no futuro, passará a ser, por exemplo, se abrir tampas metálicas de garrafas com os dentes e realizar outras ações inseguras semelhantes, será impossível garantir o bom funcionamento do novo dente. A mesma história se aplica à garantia de 100% de segurança na nuvem em VPS alugados de um provedor. “Fora da jurisdição” do provedor de serviços em nuvem, a proteção dos dados e aplicações do cliente é de sua responsabilidade pessoal.
Abordagem 3: Nenhuma ferramenta de segurança pode fornecer proteção adequada para ambientes virtuais. De jeito nenhum. Existem soluções especializadas de segurança em nuvem, que discutiremos na última parte do artigo.
Abordagem 4: Usando um antivírus padrão (proteção tradicional). É importante saber aqui que as ferramentas de segurança tradicionais que todos estão acostumados a usar em computadores locais simplesmente não são projetadas para ambientes virtuais distribuídos (elas não “vêem” como ocorre a comunicação entre máquinas virtuais) e não protegem a infraestrutura virtual interna de tentativas de hacking interno. Simplificando, o software antivírus convencional quase não funciona na nuvem. Ao mesmo tempo, instalados em cada WM, consomem uma grande quantidade de recursos de todo o ecossistema virtual na verificação de vírus e atualizações, “desperdiçando” a rede e desacelerando o trabalho da empresa, mas com isso, dando quase eficiência zero em seu trabalho principal.
Nas próximas duas seções do artigo, listaremos quais perigos podem surgir quando uma empresa opera nas nuvens (privada, pública, híbrida) e contaremos como esses perigos podem e devem ser prevenidos corretamente.
Os perigos que ameaçam constantemente os serviços em nuvem
▍Ataques de rede remota
Este é um tipo diferente de impacto destrutivo de informações em um sistema de computação distribuído, realizado programaticamente por meio de canais de comunicação para atingir diferentes objetivos. O mais comum deles:
- Ataque DDoS (). Envio massivo de solicitações de informações ao servidor com o objetivo de esgotar recursos ou largura de banda do sistema atacado para desabilitar o sistema alvo, causando danos à empresa. Usado por concorrentes como serviço personalizado, extorsionários, ativistas políticos e governos para obter dividendos políticos. Esses ataques são realizados por meio de um botnet - uma rede de computadores com bots instalados (software que pode conter vírus, programas para controle remoto de computadores e ferramentas para se esconder do sistema operacional), que são usados por hackers remotamente para distribuir spam e ransomware . Leia mais em nossa postagem .
- Inundação de ping - causar sobrecarga na linha.
- Ping da morte - causar congelamento, reinicialização e falha do sistema.
- Ataques em nível de aplicativo — para obter acesso a um computador que permite o lançamento de aplicativos para uma conta específica (sistema privilegiado).
- Fragmentação de dados — para desligamento de emergência do sistema devido a estouro de buffer de software.
- Autorooters — para automatizar o processo de hacking, verificando um grande número de sistemas em um curto espaço de tempo, instalando um rootkit.
- Cheirando - para ouvir o canal.
- Imposição de pacote - para mudar para o seu computador uma conexão estabelecida entre outros computadores.
- Interceptação de pacotes no roteador - para receber senhas de usuários e informações por e-mail.
- Falsificação de IP - para que um hacker dentro ou fora da rede possa se passar por um computador confiável. Isso é feito por meio de falsificação de endereço IP.
- Ataques de força bruta (força bruta) - para selecionar uma senha tentando combinações. Eles exploram vulnerabilidades em RDP e SSH.
- Smurf — reduzir o rendimento do canal de comunicação e/ou isolar completamente a rede atacada.
- Spoofing DNS — danificar a integridade dos dados no sistema DNS através do “envenenamento” do cache DNS.
- Falsificação de host confiável — para poder conduzir uma sessão com o servidor em nome de um host confiável.
- Inundação TCP SYN — para transbordar a memória do servidor.
- Man-in-the-middle — por roubo de informações, distorção de dados transmitidos, ataques DoS, invasão de uma sessão de comunicação atual para obter acesso a recursos de rede privada, análise de tráfego para obter informações sobre a rede e seus usuários.
- Inteligência de rede — para estudar informações sobre a rede e os aplicativos em execução nos hosts antes de um ataque.
- Redirecionamento de porta é um tipo de ataque que usa um host comprometido para passar o tráfego através de um firewall. Por exemplo, se um firewall estiver conectado a três hosts (serviços externos, internos e públicos), o host externo poderá se comunicar com o host interno encaminhando portas no host de serviços públicos.
- Exploração de confiança - ataques que ocorrem quando alguém tira vantagem de relacionamentos confiáveis dentro de uma rede. Por exemplo, hackear um sistema dentro de uma rede corporativa (servidores HTTP, DNS, SMTP) pode levar ao hacking de outros sistemas.
▍Engenharia social
- Phishing — receber informações confidenciais (senhas, números de cartões bancários, etc.) por correspondência em nome de organizações e bancos conhecidos.
- Sniffing de pacotes (Packet sniffers) - para obter acesso a informações críticas, incluindo senhas. Seu sucesso se deve em grande parte ao fato de que os usuários frequentemente reutilizam seu nome de usuário e senha para obter acesso a vários aplicativos e sistemas. Desta forma, um hacker pode obter acesso a uma conta de usuário do sistema e criar uma nova conta através dela para ter acesso à rede e aos seus recursos a qualquer momento.
- Pretextando - um ataque programado que utiliza comunicações de voz, cujo objetivo é forçar a vítima a realizar uma ação.
- Cavalo de tróia - uma técnica baseada nas emoções da vítima: medo, curiosidade. O malware geralmente é encontrado como anexo de e-mail.
- Quid sobre quo (então, para isso, quid pro quo) - um invasor entra em contato com você por meio de um telefone corporativo ou e-mail disfarçado de funcionário do suporte técnico, relatando problemas no computador da vítima e oferecendo-se para resolvê-los. O objetivo é instalar software e executar comandos maliciosos neste computador.
- Maçã de estrada — implantação de mídias de armazenamento físico infectadas em locais públicos corporativos (pen drive no banheiro, disquete no elevador), dotadas de inscrições que despertam curiosidade.
- Coletando informações de redes sociais.
▍Explotações
Quaisquer ataques ilegais e não autorizados destinados a obter dados, interromper o funcionamento de um sistema ou assumir o controle de um sistema são chamados de explorações. São causados por erros no processo de desenvolvimento de software, a partir dos quais surgem vulnerabilidades no sistema de proteção do programa, que são utilizadas com sucesso pelos cibercriminosos para obter acesso ilimitado ao próprio programa e, através dele, a todo o computador e posteriormente a um rede de máquinas.
▍Comprometimento de contas
Hackeamento da conta de um funcionário da empresa por alguém de fora para obter acesso a informações protegidas: desde a interceptação de informações (inclusive áudio) e chaves com malware até a penetração no armazenamento físico do portador de informações.
▍Compromisso de repositórios
Infecção de servidores de armazenamento para instaladores de software, atualizações e bibliotecas.
▍Riscos internos da empresa
Isso inclui vazamentos de informações por culpa dos próprios funcionários da empresa. Isto pode ser simples negligência ou ações maliciosas deliberadas: desde a sabotagem deliberada de políticas administrativas de segurança até a venda de informações confidenciais a terceiros. Isso também pode incluir acesso não autorizado, interfaces inseguras, configuração incorreta de plataformas em nuvem e instalação/uso de aplicativos não autorizados.
Agora vamos ver como você pode evitar uma lista tão extensa (e longe de ser completa) de problemas de segurança na nuvem.
Soluções modernas e especializadas de segurança em nuvem
Toda infraestrutura em nuvem requer segurança abrangente e em várias camadas. Os métodos descritos abaixo ajudarão você a entender em que deve consistir um pacote de segurança em nuvem.
▍Antivírus
É importante lembrar que qualquer antivírus tradicional não será confiável ao tentar fornecer segurança na nuvem. É necessário utilizar uma solução desenvolvida especificamente para ambientes virtuais e em nuvem, e sua instalação também possui regras próprias neste caso. Hoje, existem duas maneiras de garantir a segurança na nuvem usando antivírus especializados de múltiplos componentes desenvolvidos com as tecnologias mais recentes: proteção sem agente e proteção com agente leve.
Proteção sem agente. Desenvolvido pela VMware e possível apenas com suas soluções. Duas máquinas virtuais adicionais são implantadas em um servidor físico com máquinas virtuais: o Security Server (SVM) e o Network Attack Blocker (NAB). Nada é colocado dentro de cada um deles. Apenas o kernel do antivírus é instalado no SVM – um dispositivo de segurança dedicado. Numa máquina NAB, este componente é responsável apenas por verificar as comunicações entre as máquinas virtuais e o que está acontecendo no ecossistema (e pela comunicação com a tecnologia NSX). Este SVM verifica todo o tráfego que chega ao servidor físico. Constitui um conjunto de veredictos, que está disponível para todas as máquinas virtuais de segurança através de um cache de veredictos comum. Cada máquina virtual de segurança acessa esse pool primeiro, em vez de verificar todo o sistema – esse princípio permite reduzir custos de recursos e acelerar a operação do ecossistema.
Proteção com agente leve. Desenvolvido pela Kaspersky e não possui restrições VMware. Assim como na proteção sem agente, um mecanismo antivírus é instalado no SVM, mas, diferentemente dele, também existe um agente leve instalado dentro de cada WM. O agente não realiza verificações, apenas monitora tudo o que acontece dentro do WM nativo baseado em tecnologia de rede de autoaprendizagem. Esta tecnologia lembra a sequência correta de aplicações; Ao se deparar com o fato de que a sequência de ações da aplicação dentro do WM não está acontecendo corretamente, ela a bloqueia.
Mais sobre , mas sobre como instalar proteção antivírus com um agente leve para seu servidor virtual, (no final da página estão os contatos para suporte técnico XNUMX horas por dia, XNUMX dias por semana, caso você tenha alguma dúvida).
▍Integração com serviços para prevenir ou corrigir problemas de segurança na nuvem
- Plataformas de gerenciamento de mudanças. Esses são serviços comprovados que dão suporte aos principais processos de ITSM da empresa, incluindo segurança e incidentes de TI. Por exemplo, ServiceNow, Remedy, JIRA.
- Ferramentas de verificação de segurança. Por exemplo, Rapid7, Qualys, Tenable.
- Ferramentas de gerenciamento de configuração. Eles permitem automatizar a operação de servidores e, assim, simplificar a configuração e manutenção de dezenas, centenas e até milhares de servidores que podem ser distribuídos por todo o mundo. Por exemplo, TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
- Ferramentas seguras de gerenciamento de alertas. Permite fornecer serviço contínuo e continuar monitorando a situação durante incidentes, fornecer suporte competente para integração telefônica, mensagens e e-mail (de acordo com a Cisco, mais de 85% das mensagens de e-mail eram spam em julho de 2019, o que poderia conter malware, tentativas de phishing, etc. Hoje em dia, o malware é frequentemente enviado através de tipos “comuns” de anexos: os anexos de e-mail maliciosos mais comuns são arquivos do Microsoft Office. ). Tal ferramenta poderia ser, por exemplo, OpsGenie.
▍Proteção contra exploração
Como as explorações são consequências de vulnerabilidades de software, são os desenvolvedores de software que devem corrigir os erros em seus produtos. É responsabilidade dos usuários instalar pacotes de atualização e patches imediatamente após seu lançamento. Usar uma ferramenta automática de pesquisa e instalação ou um gerenciador de aplicativos com esse recurso ajuda a evitar a perda de atualizações. A proteção automática contra exploração está integrada no aplicativo descrito acima .
▍Firewall
Firewall, firewall. Filtra e controla o tráfego de rede de acordo com regras pré-configuradas. Um firewall pode ser representado como uma sequência de filtros que processam o fluxo de informações da rede. A configuração adequada do firewall é eficaz contra ataques de força bruta. Você pode permitir conexões RDP ou SSH apenas de determinados endereços IP do proprietário do servidor e proteger o servidor contra tentativas de adivinhação de senha. Os firewalls estão presentes em todos os sistemas operacionais modernos. Além disso, a conta pessoal RUVDS oferece firewall grátis no nível do equipamento de rede. Assim, o tráfego de rede indesejado não chegará à máquina virtual, mas será filtrado no nível do data center. Para maior comodidade do cliente, as regras de filtragem mais comumente usadas foram adicionadas à interface do firewall. Se o endereço IP for alterado, o cliente pode simplesmente acessar sua conta pessoal e editar a regra sem precisar fazer login no servidor.
▍Proteção contra ataques DDoS
Existe um serviço adicional que pode ser adquirido em
provedor de servidores virtuais (e físicos). Baseia-se em tecnologias de análise de tráfego de rede, que, por exemplo, no RUVDS é realizada 24 horas por dia, 7 dias por semana, e a proteção pode suportar de forma estável até 1500 Gbit/s. Você paga apenas pelo tráfego necessário. Agora em promoção na RUVDS primeiro mês grátis 0.5 Mbit/s, depois de 400 rublos. por mês.
▍Elaborar e alcançar a conformidade regulatória
As regras de utilização escritas e executadas e as regras para medidas de reabilitação (plano de resposta a incidentes de cibersegurança) têm um peso significativo em questões de segurança na nuvem do ponto de vista do fator humano, incluindo a pirataria informática utilizando métodos de engenharia social. Este ponto inclui restringir o acesso dos funcionários, identificar os principais aplicativos em nuvem da empresa (nenhum outro aplicativo, exceto aqueles poucos que estão nessa “lista branca”, pode ser instalado) e garantir a segurança dos dispositivos móveis que podem ser usados na empresa para interação. com a infraestrutura em nuvem da empresa e o controle de dispositivos, que é responsável pelas políticas de uso de mídias externas.
Esperamos que o artigo tenha sido útil. Como sempre, agradecemos comentários construtivos, novas informações, opiniões interessantes, bem como relatos de quaisquer imprecisões no material.
Fonte: habr.com
