I server di zombi ti uccideranno

Pensavi fosse sepolto. Hai dimenticato. Qualcuno non l'ha documentato. Una scansione del ping non l'ha trovata. Giaceva lì, morto. Nessuno l'ha trovato. Ma c'è stato un impulso: sta ancora correndo ed è vivo. Ed è probabilmente senza patch.

Qualcosa l'ha sondato molto tempo fa. La porta 443 trovata è aperta. L'ho sollevato come una Porsche 911 su Sunset Boulevard in un piovoso sabato sera. Come è stato preso? Lasciatemi contare i modi.

Ora è uno zombi che vive nel tuo regno delle risorse.

Non importa che faccia parte della tua bolletta. Sta lentamente mangiando il tuo pranzo.

Non importa che non riesci a trovarlo perché sta trovando voi.

Ascolta in silenzio il tuo traffico, cercando le cose facili e non crittografate. Probabilmente ha alcune password decenti per il core del router. Quella condivisione NAS con MSChapV2? Sì, è stato facile da digerire. Peccato che la password sia la stessa di ogni NAS in ogni filiale dello stesso fornitore. Peccato che i dispositivi NAS non crittografino il traffico.

[SICUREZZA: Meme of Week: Password Shenanigans]

E i certificati su quei router Wi-Fi che hai installato in modo così costoso nel 2009? Ti rendi conto di come erano composti i loro certificati? Hai guardato dentro persino uno di loro scoprire che tutti i certificati sono uguali, nessuno è unico, e tutti sono stati crittografati con un abaco? Gli zombi comprendono un abaco.

Aspetta, dici che qualcuno ha inserito un server wall wart, o forse un PoE al gusto di lampone kewl si è fatto strada nel tuo sistema di cablaggio, lasciato da parte, non sappiamo esattamente chi sia stato.

I server di zombi ci sono. Sono vivi.

E così…

... Stai zitto sugli aggiornamenti

Nella struttura ExtremeLabs e NOC remoto di Expedient, ho molte macchine e molti più VM e container. Ottengono aggiornamenti automatici, salvano le VM utilizzate per i test. Questi vengono congelati nel tempo, messi nel congelamento profondo di una vecchia SAN Compellent (ora Dell), quindi eliminati dopo un anno. addio.

La stragrande maggioranza degli aggiornamenti, patch e correzioni inviate dal fornitore e persino gli aggiornamenti dei driver vengono eseguiti in attesa di riavvii (ti guarda, Microsoft).

Non c'è stato un giorno non molto tempo fa, quando era una buona pratica ignorare gli aggiornamenti automatici perché gli aggiornamenti non erano ben controllati dai fornitori. Mancanza di test di regressione, problemi di varianza impossibili da testare e "oh, l'hai fatto?" i misteri significavano che le esplosioni erano comuni. Ciò ha portato le organizzazioni a rendere le applicazioni generiche per l'infrastruttura, dal libro e senza l'uso di prodotti di terze parti che potrebbero introdurre errori.

Oggi è difficile farlo. Piaccia o no, è un mondo eterogeneo. Non è più possibile costruire con cura muri, nemmeno istanze di sistemi operativi attorno a infrastrutture critiche (cosa non è oggi infrastruttura aziendale critica? applicazioni.

Cosa devi fare?

  1. Cammina effettivamente intorno alla tua infrastruttura e ispezionala, cercando, sì, hardware zombi e risorse critiche senza tag.
  2. Apri ogni singolo host hypervisor, containerizzato (ad esempio virtualizzato) nel tuo intero dominio (cloud incluso) e scopri lo scopo esatto di ogni singola istanza in esecuzione. E se ogni host sta ricevendo aggiornamenti, scopri qual è veramente il suo livello di patch.
  3. Annotare il risultato come una fase di controllo.
  4. Rivedi ciascuno di questi trimestrali. Tutti i software di protezione e rilevazione degli intrusi sul pianeta consentono un certo grado di normalizzazione. Disattiva la normalizzazione per una settimana a settimana quando nessuno è in vacanza. Ascolta il traffico. Revalidare le regole di rilevamento / ispezione. Va bene automatizzare questo processo. Fallo e basta.

Alla fine della giornata, hai The List. Consolidalo. Esaminalo. Ottieni un altro paio di occhi (o più) nell'elenco. AGIRE SU DI ESSO. Blocca l'elenco dopo aver agito su ciò che trovi. Quindi fallo di nuovo.

Ci sono robot di zombi che ti aspettano.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.