Myslel jsi, že je pohřben. Zapomněl jsi. Někdo to nezdokumentoval. Ping sweep nenašel. Ležel tam, mrtvý. Nikdo to nenašel. Ale byl tu puls: Stále běží a je naživu. A pravděpodobně je nepatří.
Něco to prozkoumalo už dávno. Nalezeno port 443 otevřený. Zvedl to jako Porsche 911 na Sunset Boulevard v deštivé sobotní noci. Jak to dopadlo? Dovolte mi spočítat způsoby.
Nyní je to zombie žijící uvnitř vaší majetkové říše.
Nezáleží na tom, že je to součást vašeho účtu za energii. Pomalu jí tvůj oběd.
Nezáleží na tom, že to nemůžete najít, protože je to nález vy.
Tiše poslouchá váš provoz a hledá snadné, nezašifrované věci. Pravděpodobně obsahuje několik slušných hesel do jádra routeru. To NAS sdílí pomocí MSChapV2? Jo, to bylo snadné strávit. Škoda, že heslo je stejné jako heslo pro každý NAS v každé větvi od stejného dodavatele. Škoda, že zařízení NAS nešifrují provoz.
[SECURITY: Meme of Week: Password Shenanigans]
A certifikáty na těch Wi-Fi routerech, které jste tak nákladně nainstalovali již v roce 2009? Uvědomujete si, jak byly jejich certifikáty složeny? Dívali jste se dovnitř dokonce jeden z nich abyste zjistili, že všechny certs jsou stejné - žádný není jedinečný - a všechny byly zašifrovány počítadlem? Zombie chápou počitadlo.
Počkejte, řeknete, že někdo zapojený do nástěnného bradavického serveru, nebo možná kewl Raspberry s příchutí PoE se dostal do vašeho kabelového systému, vlevo dobře, nevíme přesně, kdo to udělal.
Zombie servery jsou tam. Jsou naživu.
A tak…
… Drž hubu o aktualizacích
V zařízení ExtremeLabs a vzdáleném NOC v Expedientu mám spoustu strojů a hojně více VM a kontejnerů. Dostanou automatické upgrady, uloží VM, které byly použity pro testy. Ty zamrznou v čase, vloží se do hlubokého mrazu starého Compeleru (nyní Dell) SAN a po roce se odstraní. Ahoj.
Převážná většina aktualizací, záplat a oprav zaslaných dodavatelem a dokonce i aktualizace ovladačů jsou prováděny až do restartu (při pohledu na vás, Microsoft)..
Nedávno byl den, kdy bylo dobrým zvykem ignorovat automatické aktualizace, protože prodejci nebyli dobře prověřeni. Nedostatek regresního testování, problémy s nemožností testovat rozptyly a „ach, udělal jsi to?“ záhady znamenaly, že výbuchy byly běžné. To vede k tomu, že organizace vytvářejí aplikační infrastrukturu obecnou pomocí knihy a bez použití produktů třetích stran, které by mohly způsobit chyby.
Je to drsné až nemožné to udělat dnes. Ať se vám to líbí nebo ne, jedná se o heterogenní svět. Nemůžete již pečlivě stavět zdi ani instance operačních systémů kolem kritické infrastruktury (co dnes není kritická obchodní infrastruktura?), Včetně hypervizorů, karantén, kontejnerů, eskalátorů a dalších stěn, aby selhání systémů neprokrývala obchodní činnost. aplikace.
Co musíte udělat?
- Vlastně projděte svou infrastrukturu a prohlédněte si ji, hledejte ano, zombie hardware a netagovaná kritická aktiva.
- Otevřete každého hypervizovaného, kontejnerizovaného (např. Virtualizovaného) hostitele v celé své doméně (včetně cloudu) a zjistěte přesný účel každé spuštěné instance. A pokud každý hostitel získává aktualizace, zjistěte, jaká je jeho opravná úroveň.
- Zapište výsledek jako krok auditu.
- Znovu každé z těchto čtvrtletních revizí. Veškerý software pro ochranu a detekci vetřelců na planetě umožňuje určitou míru normalizace. Vypněte normalizaci na týden - týden, když nikdo není na dovolené. Poslouchejte provoz. Znovu zrušit pravidla detekce / inspekce. Automatizovat tento proces je v pořádku. Prostě to udělej.
Na konci dne máte The List. Upevněte to. Prozkoumejte to. Získejte další pár očí (nebo více) na seznamu. AKTUJE NA TO. Uzamkněte seznam poté, co jednáte podle toho, co najdete. Potom to udělejte znovu.
Čekají na vás zombie roboti.
Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.
