Servidores zumbis vão te matar

Você pensou que estava enterrado. Você esqueceu. Alguém não documentou. Uma varredura de ping não encontrou. Estava lá, morto. Ninguém o encontrou. Mas havia um pulso: ainda está funcionando e está vivo. E provavelmente está sem patch.

Algo investigou isso há muito tempo. Porta 443 encontrada aberta. Levantei-o como um Porsche 911 na Sunset Boulevard, em uma noite chuvosa de sábado. Como foi levantado? Deixe-me contar os caminhos.

Agora é um zumbi vivendo dentro do seu domínio de ativos.

Não importa que faça parte da sua conta de energia. Está devagar comendo seu almoço.

Não importa que você não possa encontrá-lo porque está encontrando você.

Ele escuta silenciosamente seu tráfego, procurando coisas fáceis e não criptografadas. Provavelmente, possui algumas senhas decentes no núcleo do roteador. Esse NAS compartilha usando o MSChapV2? Sim, isso foi fácil de digerir. Pena que a senha é a mesma para todos os NAS em todas as filiais do mesmo fornecedor. Pena que os dispositivos NAS não criptografam o tráfego.

[SEGURANÇA: Meme da semana: travessuras de senhas]

E os certificados nesses roteadores Wi-Fi que você instalou tão caro em 2009? Você percebe como os certificados foram compostos? Você olhou dentro mesmo um deles descobrir que todos os documentos são iguais - nenhum é único - e todos foram criptografados com um ábaco? Zumbis entendem um ábaco.

Espere, você diz que alguém conectou um servidor de verrugas na parede, ou talvez um PoE com sabor de framboesa entrou no seu sistema de cabeamento, deixado bem, não sabemos exatamente quem fez isso.

Servidores zumbis estão lá. Eles estão vivos.

E entao…

… Cale a boca sobre atualizações

Nas instalações da ExtremeLabs e no NOC remoto da Expedient, tenho muitas máquinas e muito mais VMs e contêineres. Eles recebem atualizações automáticas, salvam VMs usadas para testes. Eles ficam congelados no tempo, congelados em uma antiga SAN Compellent (agora Dell) e excluídos após um ano. Adeus.

A grande maioria das atualizações, correções e correções enviadas pelo fornecedor e até atualizações de driver são realizadas com reinicializações pendentes (olhando para você, Microsoft).

Houve um dia, não muito tempo atrás, em que era uma prática recomendada ignorar atualizações automáticas porque as atualizações não eram bem avaliadas pelos fornecedores. Falta de testes de regressão, problemas de variância impossíveis de testar e "ah, você fez isso?" mistérios significavam que explosões eram comuns. Isso levou as organizações a tornarem a infraestrutura de aplicativos genérica, de acordo com as normas e sem o uso de produtos de terceiros que poderiam introduzir erros.

É difícil ou impossível fazer isso hoje. Goste ou não, é um mundo heterogêneo. Você não pode mais construir paredes com cuidado, nem mesmo instâncias de sistemas operacionais em torno da infraestrutura crítica (o que não é hoje a infraestrutura comercial crítica?), Incluindo hipervisores, caixas de areia, contêineres, unikernels e outras paredes, para que as falhas do sistema não atinjam a linha de negócios apps.

O que você precisa fazer?

  1. Na verdade, ande pela sua infraestrutura e inspecione-a, procurando, sim, hardware zumbi e ativos críticos sem marcação.
  2. Abra todos os hosts hipervisorizados e contêineres (por exemplo virtualizados) em todo o seu domínio (nuvem incluída) e descubra o objetivo exato de cada instância em execução. E se cada host estiver recebendo atualizações, descubra qual é realmente o nível de patch.
  3. Anote o resultado como uma etapa de auditoria.
  4. Revisite cada uma delas trimestralmente. Todo o software de proteção e detecção de intrusos no planeta permite algum grau de normalização. Desative a normalização por uma semana, quando ninguém estiver de férias. Escute o trânsito. Revalidar regras de detecção / inspeção. Não há problema em automatizar esse processo. Apenas faça.

No final do dia, você tem a lista. Consolide-o. Examine isso. Obtenha outro par de olhos (ou mais) na lista. TRATA DISSO. Bloqueie a lista depois de agir sobre o que encontrar. Então faça de novo.

Há robôs de zumbis esperando por você escorregar.

Participe das comunidades do Network World no Facebook e LinkedIn para comentar sobre os tópicos mais importantes.