Les serveurs zombies vous tueront

Vous pensiez qu'il était enterré. Tu as oublié. Quelqu'un ne l'a pas documenté. Un balayage de ping ne l'a pas trouvé. Il gisait là, mort. Personne ne l'a trouvé. Mais il y avait un pouls: il fonctionne toujours et il est vivant. Et c'est probablement non corrigé.

Quelque chose l'a sondé depuis longtemps. Port 443 trouvé ouvert. Jacked comme une Porsche 911 sur Sunset Boulevard un samedi soir pluvieux. Comment at-il été détourné? Laisse-moi compter les façons.

Maintenant, c'est un zombie vivant dans votre domaine d'actifs.

Peu importe que cela fasse partie de votre facture d'électricité. Il mange lentement ton déjeuner.

Peu importe que vous ne puissiez pas le trouver parce qu'il trouve vous.

C'est écouter tranquillement votre trafic, à la recherche de choses faciles et non cryptées. Il a probablement quelques mots de passe décents pour le cœur de votre routeur. Ce partage NAS en utilisant MSChapV2? Oui, c'était facile à digérer. Dommage que le mot de passe soit le même que celui de chaque NAS dans chaque agence du même fournisseur. Dommage que les appareils NAS ne chiffrent pas le trafic.

[SÉCURITÉ: Meme of Week: Shenanigans Password]

Et les certificats sur ces routeurs Wi-Fi que vous avez installés si cher en 2009? Vous rendez-vous compte de la composition de leurs certificats? As-tu regardé à l'intérieur même l'un d'eux découvrir que tous les certificats sont les mêmes - aucun n'est unique - et tous ont été chiffrés avec un boulier? Les zombies comprennent un boulier.

Attendez, vous dites que quelqu'un a branché un serveur verrue mural, ou peut-être qu'un PoE à saveur de framboise kewl a fait son chemin dans votre système de câblage, laissé par bien, nous ne savons pas exactement qui a fait cela.

Les serveurs zombies sont là. Ils sont vivants.

Et donc…

… Fermez les mises à jour

Dans l'installation ExtremeLabs et le NOC distant d'Expedient, j'ai beaucoup de machines et beaucoup plus de machines virtuelles et de conteneurs. Ils obtiennent des mises à niveau automatiques et enregistrent les machines virtuelles utilisées pour les tests. Ceux-ci sont figés dans le temps, plongés dans le gel profond d'un ancien SAN Compellent (aujourd'hui Dell), puis supprimés au bout d'un an. Au revoir.

La grande majorité des mises à jour, des correctifs et correctifs envoyés par le fournisseur, et même des mises à jour de pilotes sont effectuées en attendant les redémarrages (en vous regardant, Microsoft).

Il y a peu de temps, il était préférable d'ignorer les mises à jour automatiques car les mises à jour n'étaient pas bien vérifiées par les fournisseurs. Manque de tests de régression, problèmes de variances impossibles à tester et "oh, vous avez fait ça?" les mystères signifiaient que les explosions étaient courantes. Cela a conduit les organisations à rendre l'infrastructure des applications générique, à la lettre et sans l'utilisation de produits tiers qui pourraient introduire des erreurs.

C'est difficile à impossible de faire ça aujourd'hui. Qu'on le veuille ou non, c'est un monde hétérogène. Vous ne pouvez plus construire avec soin des murs, même des instances de systèmes d'exploitation autour d'une infrastructure critique (ce qui n'est pas une infrastructure commerciale critique aujourd'hui?), Y compris des hyperviseurs, des bacs à sable, des conteneurs, des noyaux unikernels et d'autres murs afin que les défaillances des systèmes ne créent pas de ligne d'activité. applications.

Que devez-vous faire?

  1. Parcourez réellement votre infrastructure et inspectez-la, à la recherche, oui, de matériel zombie et d'actifs critiques non balisés.
  2. Ouvrez chaque hôte hypervisé, conteneurisé (par exemple virtualisé) dans l'ensemble de votre domaine (cloud inclus) et découvrez le but exact de chaque instance en cours d'exécution. Et si chaque hôte reçoit des mises à jour, découvrez quel est réellement son niveau de patch.
  3. Notez le résultat comme une étape d'audit.
  4. Revisitez chacune de ces données tous les trimestres. Tous les logiciels de protection et de détection des intrus de la planète permettent une certaine normalisation. Désactivez la normalisation pendant une semaine par semaine lorsque personne n'est en vacances. Écoutez le trafic. Revalider les règles de détection / inspection. C'est OK pour automatiser ce processus. Simplement fais-le.

À la fin de la journée, vous avez la liste. Consolidez-le. Examinez-le. Obtenez une autre paire d'yeux (ou plus) sur la liste. AGIR SUR LUI. Fermez la liste après avoir agi sur ce que vous trouvez. Alors recommence.

Il y a des robots zombies qui vous attendent.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.