Zombieserver werden dich töten

Sie dachten, es wurde begraben. Du hast vergessen. Jemand hat es nicht dokumentiert. Ein Ping-Sweep hat es nicht gefunden. Es lag tot da. Niemand hat es gefunden. Aber es gab einen Puls: Es läuft noch und es lebt. Und es ist wahrscheinlich ungepatcht.

Etwas hat es vor langer Zeit untersucht. Gefundener Port 443 offen. Jacked es wie ein Porsche 911 auf dem Sunset Boulevard an einem regnerischen Samstagabend. Wie wurde es aufgebockt? Lass mich die Wege zählen.

Jetzt ist es ein Zombie, der in Ihrem Vermögensbereich lebt.

Es spielt keine Rolle, dass es Teil Ihrer Stromrechnung ist. Es isst langsam dein Mittagessen.

Es spielt keine Rolle, dass Sie es nicht finden können, weil es findet Du.

Es hört leise auf Ihren Verkehr und sucht nach einfachen, unverschlüsselten Dingen. Es hat wahrscheinlich ein paar anständige Passwörter für Ihren Router-Kern. Diese NAS-Freigabe mit MSChapV2? Ja, das war leicht zu verdauen. Schade, dass das Passwort das gleiche ist wie das für jeden NAS in jeder Filiale desselben Herstellers. Schade, dass die NAS-Geräte den Datenverkehr nicht verschlüsseln.

[SICHERHEIT: Meme of Week: Passwort Shenanigans]

Und die Zertifikate auf diesen WLAN-Routern, die Sie 2009 so teuer installiert haben? Wissen Sie, wie ihre Zertifikate zusammengesetzt wurden? Hast du überhaupt hineingeschaut? einer von ihnen zu entdecken, dass alle Zertifikate gleich sind - keines ist einzigartig - und alle mit einem Abakus verschlüsselt wurden? Zombies verstehen einen Abakus.

Warten Sie, Sie sagen, jemand hat einen Wandwarzen-Server angeschlossen, oder vielleicht hat ein PoE mit Himbeergeschmack seinen Weg in Ihr Verkabelungssystem gefunden. Wir wissen nicht genau, wer das getan hat.

Zombieserver sind da. Sie leben.

Und so…

… Halt die Klappe wegen Updates

In der ExtremeLabs-Einrichtung und im Remote-NOC bei Expedient habe ich viele Maschinen und reichlich mehr VMs und Container. Sie erhalten automatische Upgrades und speichern VMs, die für Tests verwendet wurden. Diese werden rechtzeitig eingefroren, in die Tiefkühltruhe eines alten Compellent-SAN (jetzt Dell) gestellt und nach einem Jahr gelöscht. Auf Wiedersehen.

Die überwiegende Mehrheit der Updates, vom Hersteller gesendeten Patches und Fixes sowie sogar Treiberupdates werden bis zum Neustart durchgeführt (Sie sehen Microsoft)..

Vor nicht allzu langer Zeit war es empfehlenswert, automatische Updates zu ignorieren, da Updates von Anbietern nicht gut überprüft wurden. Fehlende Regressionstests, unmöglich zu testende Varianzprobleme und "Oh, das haben Sie getan?" Geheimnisse bedeuteten, dass Explosionen häufig waren. Dies führte dazu, dass Unternehmen die Anwendungsinfrastruktur nach dem Buch und ohne die Verwendung von Produkten von Drittanbietern generisch machen, die zu Fehlern führen können.

Das ist heute schwer bis unmöglich. Ob es Ihnen gefällt oder nicht, es ist eine heterogene Welt. Sie können Wände nicht mehr sorgfältig erstellen, selbst Betriebssysteminstanzen um kritische Infrastrukturen (was ist heute keine kritische Geschäftsinfrastruktur?), Einschließlich Hypervisoren, Sandboxen, Containern, Unikernels und anderen Wänden, damit Systemausfälle keine Kraterbranche darstellen Apps.

Was musst du tun?

  1. Gehen Sie tatsächlich durch Ihre Infrastruktur und inspizieren Sie sie, indem Sie nach Zombie-Hardware und nicht gekennzeichneten kritischen Assets suchen.
  2. Öffnen Sie jeden einzelnen hypervisierten, containerisierten (z. B. virtualisierten) Host in Ihrer gesamten Domäne (einschließlich Cloud) und ermitteln Sie den genauen Zweck jeder ausgeführten Instanz. Und wenn jeder Host Updates erhält, finden Sie heraus, wie hoch sein Patch-Level wirklich ist.
  3. Notieren Sie das Ergebnis als Prüfschritt.
  4. Besuchen Sie diese vierteljährlich erneut. Die gesamte Schutz- und Erkennungssoftware für Eindringlinge auf dem Planeten ermöglicht einen gewissen Grad an Normalisierung. Schalten Sie die Normalisierung für eine Woche aus, wenn niemand im Urlaub ist. Hören Sie auf den Verkehr. Erkennungs- / Inspektionsregeln erneut validieren. Es ist in Ordnung, diesen Prozess zu automatisieren. TU es einfach.

Am Ende des Tages haben Sie die Liste. Konsolidieren Sie es. Untersuche es. Holen Sie sich ein weiteres Paar Augen (oder mehr) auf die Liste. HANDELN. Sperren Sie die Liste, nachdem Sie auf das reagiert haben, was Sie finden. Dann mach es nochmal.

Es gibt Zombie-Bots, die darauf warten, dass Sie ausrutschen.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.