Och återigen om att skydda virtuella infrastrukturer

I det här inlägget kommer vi att försöka guida våra läsare ur vanliga missuppfattningar angående säkerheten för virtuella servrar och berätta för oss hur man korrekt skyddar sina hyrda moln i slutet av 2019. Artikeln är främst avsedd för våra nya och potentiella kunder, mer specifikt de som precis har köpt eller vill köpa virtuella servrar RUVDS, men är ännu inte så insatt i cybersäkerhetsfrågor och driften av VPS. Vi hoppas att kunniga användare kommer att ha nytta av det.

Fyra felaktiga metoder för molnsäkerhet

Det finns åsikter, ganska vanliga bland företagsägare och chefer (vi lyfter fram dem i fetstil), att Att säkerställa cybersäkerhet för molntjänster är antingen a priori onödigt, eftersom moln är säkra (1), eller så är det molnleverantörens uppgift: Jag betalade för en VPS - vilket betyder att allt ska vara konfigurerat, säkert och fungera utan problem (2). Det finns också en tredje åsikt, gemensam för både informationssäkerhetsspecialister och affärsmän: moln är farliga! Inga kända säkerhetsverktyg kan ge tillräckligt skydd för virtuella miljöer (3) — Företagsledare med detta tillvägagångssätt överger molnteknik på grund av misstro eller missförstånd av skillnaden mellan traditionella och specialiserade säkerhetsverktyg (mer om dem nedan). Den fjärde kategorin medborgare anser det ja, du bör skydda din molninfrastruktur, eftersom det finns standard antivirus (4).

Alla dessa fyra tillvägagångssätt är felaktiga - de kan ge förluster (förutom kanske tillvägagångssättet att inte använda virtuella servrar alls, men även här bör du inte försumma affärspostulatet "förlorad vinst är också en förlust"). För att illustrera statistiken till viss del, här är ett citat från rapporten från Kaspersky Labs företagssäljstödsexpert Vladimir Ostroverkhov, som vi publiceras sommaren 2017. Då gjorde Kaspersky en undersökning bland fem tusen företag från 25 länder – det är stora företag med minst ett och ett halvt tusen anställda. 75 % av dem använder virtualisering men investerar inte i säkerhet. Problemet har inte förlorat sin relevans idag:

"Ungefär hälften av [stora] företag använder inget skydd för virtuella maskiner, och den andra hälften tror att vilket standard antivirus som helst kommer att räcka. Alla dessa företag spenderar i genomsnitt nästan miljoner dollar [per år] för återhämtning efter incidenter: för utredning, för systemåterställning, för kompensation av kostnader, för kompensation för förluster från ett enda hack... Vad blir deras utgifter om de kompromissar med sig själva? Direkta förluster för restaurering, utbyte av utrustning, mjukvara... Indirekta förluster - rykte... Förluster för ersättning för sina kunder, inklusive rykte... Och även utredning av incidenter, partiellt utbyte av infrastruktur, eftersom det redan har äventyrat sig själv, det här är dialoger med regeringar, det här är dialoger med försäkringsbolag, dialoger med kunder som ska betala ersättning.”

Varför dessa metoder inte fungerar

Tillvägagångssätt 1: Moln är säkra, behöver inte skyddas. Cirka 240 tusen delar av skadlig programvara som dyker upp dagligen lever perfekt inne i molnen: från enkel kod skriven av en skolbarn och publicerad på Internet (vilket innebär att den potentiellt kan skada data) till komplexa riktade attacker som utvecklats specifikt för specifika organisationer, fall och situationer som är väldigt bra på att inte bara bryta och stjäla data, utan också "gömma" sig själva. Virtuell infrastruktur är också intressant för hackare: det är mycket lättare att hacka och få tillgång till alla dina virtuella maskiner och data på en gång, snarare än att försöka hacka varje fysisk server separat. Dessutom är det värt att tänka på att inuti den virtuella infrastrukturen sprids skadlig kod med enorm hastighet - tiotusentals maskiner kan infekteras på tio minuter, vilket motsvarar en epidemi (se ovanstående Rapportera). Skadliga program och ransomware-aktiviteter som bidrar till företagsdataläckage står för cirka 27 % av det totala antalet molnfaror. De största sårbarheterna i molnet: oskyddade gränssnitt och obehörig åtkomst - cirka 80 % totalt (enligt forskning Cloud Security Report 2019 med stöd från Check Point Software Technologies Ltd. är en ledande leverantör av cybersäkerhetslösningar till regeringar och företag runt om i världen. 

Cloud Security Report 2019

Tillvägagångssätt 2: Att säkra molninfrastrukturen är VPS-leverantörens ansvar. Detta är delvis sant, eftersom den virtuella serverleverantören bryr sig om stabiliteten i sina system och en tillräckligt hög skyddsnivå för molnets huvudkomponenter: servrar, lagringsenheter, nätverk, virtualisering (regleras av ett servicenivåavtal, SLA) . Men han behöver inte oroa sig för att förhindra interna och externa hot som kan uppstå i klientens molninfrastruktur. Låt oss tillåta oss en tandanalogi här. Efter att ha betalat till och med mycket pengar för ett bra implantat, förstår en klient på en tandvårdsklinik att den korrekta operationen av protesen till stor del beror på honom själv (klienten). Den ortopediska tandläkaren å sin sida gjorde allt som behövdes när det gällde säkerhet: han valde högkvalitativa material, "satte fast" implantatet på ett tillförlitligt sätt, störde inte bettet, läkte tandköttet efter operationen, etc. Och om användaren inte följer hygienreglerna i framtiden, kommer det att bli, till exempel, öppna metallflaskkapslar med dina tänder och utföra andra liknande osäkra åtgärder, kommer det att vara omöjligt att garantera att den nya tanden fungerar bra. Samma historia gäller för att säkerställa 100 % molnsäkerhet på VPS som hyrs från en leverantör. "Utanför jurisdiktion" för molntjänstleverantören är att skydda kundens data och applikationer hans personliga ansvar.

Tillvägagångssätt 3: Inga säkerhetsverktyg kan ge tillräckligt skydd för virtuella miljöer. Inte alls. Det finns specialiserade molnsäkerhetslösningar, som vi kommer att diskutera i den sista delen av artikeln.

Tillvägagångssätt 4: Använda ett standard antivirus (traditionellt skydd). Det är viktigt att veta här att traditionella säkerhetsverktyg som alla är vana vid att använda på lokala datorer helt enkelt inte är designade för distribuerade virtuella miljöer (de "ser" inte hur kommunikation sker mellan virtuella maskiner) och skyddar inte den interna virtuella infrastrukturen från interna hackningsförsök. Enkelt uttryckt fungerar konventionell antivirusprogram knappt i molnet. Samtidigt, installerade på varje WM, förbrukar de en enorm mängd resurser i hela det virtuella ekosystemet när de letar efter virus och uppdateringar, "slösar bort" nätverket och saktar ner företagets arbete, men som ett resultat ger de nästan noll effektivitet i deras huvudsakliga arbete.

I de kommande två avsnitten av artikeln kommer vi att lista vilka faror som kan uppstå när ett företag verkar i molnen (privat, offentligt, hybrid) och berätta hur dessa faror kan och bör förebyggas korrekt.

Farorna som ständigt hotar molntjänster

▍Attacker på fjärrnätverk

Detta är en olika slags informationsdestruktiv påverkan på ett distribuerat datorsystem, som genomförs programmatiskt via kommunikationskanaler för att uppnå olika mål. De vanligaste av dem:

• DDoS -attack (Distributed Denial of Service). Massivt sändande av informationsförfrågningar till servern i syfte att använda upp resurser eller bandbredd på det attackerade systemet för att avaktivera målsystemet och därigenom orsaka skada på företaget. Används av konkurrenter som en anpassad tjänst, utpressare, politiska aktivister och regeringar för att få politisk utdelning. Sådana attacker utförs med hjälp av ett botnät - ett nätverk av datorer med bots installerade på dem (programvara som kan innehålla virus, program för fjärrkontroll av datorer och verktyg för att gömma sig från operativsystemet), som används av hackare på distans för att distribuera spam och ransomware . Läs mer i vårt inlägg DDoS: IT-galningar i spetsen för attacken.
• Ping översvämning - för att orsaka överbelastning av ledningen. 
• Ping of Death - för att orsaka frysning, omstart och systemkrasch.
• Attacker på applikationsnivå — för att få åtkomst till en dator som gör att applikationer kan startas för ett specifikt (privilegierat system) konto.
• Datafragmentering — för nödsystemavstängning på grund av mjukvarubuffertspill.
• Autorooters — att automatisera hackningsprocessen genom att skanna ett stort antal system på kort tid genom att installera ett rootkit.
• sniffning — för att lyssna på kanalen.
• Paketpåläggning - för att byta till din dator en anslutning upprättad mellan andra datorer.
• Paketavlyssning på routern - för att ta emot användarlösenord och information från e-post.
• IP Spoofing - så att en hackare inom eller utanför nätverket kan utge sig för att vara en dator som man kan lita på. Detta görs genom IP-adress spoofing.
• Brute force attacker (brute force) - för att välja ett lösenord genom att prova kombinationer. De utnyttjar sårbarheter i RDP och SSH.
• Smurf — för att minska kommunikationskanalens genomströmning och/eller att helt isolera det attackerade nätverket.
• DNS-spoofing — att skada integriteten för data i DNS-systemet genom att "förgifta" DNS-cachen. 
• Pålitlig värdspoofing — för att kunna genomföra en session med servern på uppdrag av en betrodd värd. 
• TCP SYN Flood — för att flöda över serverminnet.
• Man-in-the-middle — för stöld av information, förvrängning av överförda data, DoS-attacker, hackning av en pågående kommunikationssession för att få tillgång till privata nätverksresurser, trafikanalys för att få information om nätverket och dess användare.
• nätverksintelligens — för att studera information om nätverket och applikationer som körs på värdar innan en attack.
• Portomdirigering är en typ av attack som använder en komprometterad värd för att skicka trafik genom en brandvägg. Till exempel, om en brandvägg är ansluten till tre värdar (externa, interna och offentliga tjänster), så kan den externa värden kommunicera med den interna värden genom att vidarebefordra portar på värden för offentliga tjänster.
• Förtroendeutnyttjande - attacker som uppstår när någon utnyttjar pålitliga relationer inom ett nätverk. Till exempel kan hackning av ett system inom ett företagsnätverk (HTTP, DNS, SMTP-servrar) leda till hackning av andra system. 

▍Social ingenjörskonst

• Nätfiske — att ta emot konfidentiell information (lösenord, bankkortsnummer etc.) genom utskick på uppdrag av välkända organisationer och banker.
• Paketsnuffande (Packet sniffers) - för att få tillgång till viktig information, inklusive lösenord. Det är framgångsrikt till stor del på grund av att användare ofta återanvänder sitt användarnamn och lösenord för att få tillgång till olika applikationer och system. På så sätt kan en hackare få tillgång till ett systemanvändarkonto och skapa ett nytt konto genom det för att när som helst ha tillgång till nätverket och dess resurser.
• Förevändning - en skriptad attack med röstkommunikation, vars syfte är att tvinga offret att utföra en åtgärd. 
• Trojanhäst - en teknik baserad på offrets känslor: rädsla, nyfikenhet. Skadlig programvara hittas vanligtvis som en e-postbilaga.
• Quid om quo (då för detta, quid pro quo) - en angripare kontaktar dig via en företagstelefon eller e-post under sken av en teknisk supportanställd, rapporterar problem på offrets dator och erbjuder sig att lösa dem. Målet är att installera programvara och utföra skadliga kommandon på den här datorn.
• Väg äpple — plantering av infekterade fysiska lagringsmedier på offentliga företagsplatser (flashminne på toaletten, disk i hissen), utrustade med inskriptioner som väcker nyfikenhet. 
• Samla information från sociala nätverk.

▍Exploateringar

Alla olagliga och obehöriga attacker som syftar till att antingen skaffa data, störa funktionen hos ett system eller ta kontroll över ett system kallas utnyttjande. De orsakas av fel i mjukvaruutvecklingsprocessen, som ett resultat av vilka sårbarheter uppstår i programskyddssystemet, som framgångsrikt används av cyberbrottslingar för att få obegränsad tillgång till själva programmet, och genom det till hela datorn och vidare till en nätverk av maskiner.

▍Kompromiss med konton

Hackning av en företagsanställds konto av en utomstående för att få tillgång till skyddad information: från avlyssning av information (inklusive ljud) och nycklar med skadlig programvara till att penetrera informationsbärarens fysiska lagring.

▍Kompromiss med arkiv

Infektion av lagringsservrar för programvaruinstallatörer, uppdateringar och bibliotek.

▍ Företagets interna risker

Detta inkluderar informationsläckor på grund av fel hos företagets anställda själva. Detta kan vara enkel vårdslöshet eller avsiktliga skadliga handlingar: från avsiktligt sabotage av administrativ säkerhetspolicy till försäljning av konfidentiell information till tredje part. Detta kan också inkludera obehörig åtkomst, osäkra gränssnitt, felkonfiguration av molnplattformar och installation/användning av obehöriga applikationer.

Låt oss nu titta på hur du kan förhindra en så omfattande (och långt ifrån komplett) lista över molnsäkerhetsproblem.

Moderna specialiserade molnsäkerhetslösningar

Varje molninfrastruktur kräver omfattande säkerhet i flera lager. Metoderna som beskrivs nedan hjälper dig att förstå vad ett molnsäkerhetspaket ska bestå av.

▍Antivirus

Det är viktigt att komma ihåg att alla traditionella antivirus inte kommer att vara tillförlitliga när man försöker tillhandahålla molnsäkerhet. Du måste använda en lösning som är speciellt designad för virtuella miljöer och molnmiljöer, och dess installation har också sina egna regler i det här fallet. Idag finns det två sätt att säkerställa molnsäkerhet med hjälp av specialiserade multi-komponent antivirus som utvecklats med den senaste tekniken: agentlöst skydd och lätt agentskydd.

Agentlöst skydd. Utvecklat av VMware och endast möjligt med dess lösningar. Ytterligare två virtuella maskiner distribueras på en fysisk server med virtuella maskiner: Security Server (SVM) och Network Attack Blocker (NAB). Ingenting är placerat inuti var och en av dem. Endast antiviruskärnan är installerad i SVM - en dedikerad säkerhetsenhet. I en NAB-maskin är denna komponent endast ansvarig för att verifiera kommunikationen mellan virtuella maskiner och vad som händer i ekosystemet (och för kommunikation med NSX-teknik). Denna SVM kontrollerar all trafik som kommer till den fysiska servern. Den utgör en pool av domar, som är tillgänglig för alla virtuella säkerhetsmaskiner via en gemensam domscache. Varje virtuell säkerhetsmaskin får tillgång till denna pool först, istället för att skanna hela systemet - denna princip gör att du kan minska resurskostnaderna och påskynda driften av ekosystemet. 

Skydd med ett ljusmedel. Utvecklad av Kaspersky och har inga VMware-begränsningar. Liksom i agentlöst skydd är en antivirusmotor installerad på SVM, men till skillnad från den finns det också en lättviktsagent installerad inuti varje WM. Agenten utför inga kontroller, utan övervakar bara allt som händer inuti det infödda WM-systemet baserat på självlärande nätverksteknik. Denna teknik kommer ihåg den korrekta sekvensen av applikationer; När man står inför det faktum att åtgärdssekvensen för applikationen inuti WM inte händer korrekt, blockerar den den. 

Mer om Läs Säkerhet för virtuella miljöer på utvecklarens webbplats, men om hur man installerar antivirusskydd med en lätt agent för din virtuella server, läs i vår katalog (längst ner på sidan finns kontakter för teknisk support dygnet runt om du har några frågor). 

▍Integration med tjänster för att förhindra eller korrigera molnsäkerhetsproblem

• Förändringshanteringsplattformar. Dessa är beprövade tjänster som stödjer företagets kärnprocesser inom ITSM, inklusive IT-säkerhet och incidenter. Till exempel ServiceNow, Remedy, JIRA.
• Verktyg för säkerhetsskanning. Till exempel Rapid7, Qualys, Tenable.
• Verktyg för konfigurationshantering. De låter dig automatisera driften av servrar och därigenom förenkla installationen och underhållet av tiotals, hundratals och till och med tusentals servrar som kan distribueras över hela världen. Till exempel TrueSight Server Automation, IBM BigFix, TrueSight Vulnerability Manager, Chef, Puppet.
• Säkra verktyg för varningshantering. Tillåter dig att tillhandahålla kontinuerlig service och fortsätta att övervaka situationen under incidenter, tillhandahålla kompetent support för telefonintegration, meddelandehantering och e-post (Enligt Cisco var mer än 85 % av e-postmeddelandena skräppost i juli 2019, som potentiellt kan innehålla skadlig programvara, nätfiskeförsök, etc. Nuförtiden skickas skadlig programvara ofta genom "vanliga" typer av bilagor: de vanligaste skadliga bilagorna i e-post är Microsoft Office-filer. Cisco e-postsäkerhetsrapport juni 2019). Ett sådant verktyg kan till exempel vara OpsGenie.

▍ Exploateringsskydd

Eftersom exploateringar är konsekvenserna av mjukvarusårbarheter är det mjukvaruutvecklarna som måste korrigera fel i sin produkt. Det är användarnas ansvar att i tid installera uppdateringspaket och patchar omedelbart efter att de har släppts. Att använda ett automatiskt sök- och installationsverktyg eller en programhanterare med den här funktionen hjälper dig att undvika att missa uppdateringar. Automatiskt exploateringsskydd är inbyggt i applikationen som beskrivs ovan Kaspersky Security for Virtualization Light Agent. 

▍Brandvägg

Brandvägg, brandvägg. Filtrerar och kontrollerar nätverkstrafik enligt förkonfigurerade regler. En brandvägg kan representeras som en sekvens av filter som bearbetar nätverksflödet av information. Korrekt brandväggskonfiguration är effektiv mot brute force-attacker. Du kan endast tillåta RDP- eller SSH-anslutningar från vissa IP-adresser för serverägaren och skydda servern från försök att gissa lösenord. Brandväggar finns i alla moderna operativsystem. Utöver detta erbjuder RUVDS personliga konto gratis brandvägg på nätverksutrustningsnivå. Således kommer oönskad nätverkstrafik inte att nå den virtuella maskinen, utan kommer att filtreras på datacenternivå. För ytterligare bekvämlighet för klienten har de vanligaste filtreringsreglerna lagts till i brandväggsgränssnittet. Om IP-adressen ändras kan klienten helt enkelt gå till sitt personliga konto och redigera regeln utan att behöva logga in på servern.

▍Skydd mot DDoS-attacker

Det finns en tilläggstjänst som kan köpas från 
leverantör av virtuella (och fysiska) servrar. Den bygger på teknologier för att analysera nätverkstrafik, som exempelvis i RUVDS utförs 24/7, och skyddet tål stabilt upp till 1500 Gbit/s. Du betalar bara för den trafik du behöver. Nu på befordran på RUVDS första månaden gratis 0.5 Mbit/s, sedan från 400 rub. per månad.

▍ Utarbeta och uppnå regelefterlevnad

Skrivna och verkställda användarregler och regler för rehabiliteringsåtgärder (incidentresponsplan för cybersäkerhet) har betydande tyngd i frågor om molnsäkerhet ur den mänskliga faktorns synvinkel, inklusive hackning med metoder för social ingenjörskonst. Denna punkt inkluderar begränsning av anställdas åtkomst, identifiering av företagets huvudsakliga molnapplikationer (inga andra applikationer förutom de få som finns på en sådan "vit lista" kan installeras) och säkerställande av säkerheten för mobila enheter som kan användas i företaget för interaktion med företagets molninfrastruktur, och enhetskontroll, som ansvarar för policyer för användning av externa medier.

Vi hoppas att artikeln var användbar. Som alltid välkomnar vi konstruktiva kommentarer, ny information, intressanta åsikter, samt rapporter om eventuella felaktigheter i materialet. 

Källa: will.com