Zombieservers zullen je vermoorden

Je dacht dat het begraven was. Je vergat. Iemand heeft het niet gedocumenteerd. Een ping sweep heeft het niet gevonden. Het lag daar, dood. Niemand heeft het gevonden. Maar er was een hartslag: het loopt nog steeds en het leeft. En het is waarschijnlijk niet gepatcht.

Iets heeft het lang geleden onderzocht. Poort 443 is geopend gevonden. Jacked het als een Porsche 911 op Sunset Boulevard op een regenachtige zaterdagavond. Hoe is het opgevijzeld? Laat me de manieren tellen.

Nu is het een zombie die in je rijk van activa leeft.

Het maakt niet uit of het deel uitmaakt van uw energierekening. Het is langzaam je lunch aan het opeten.

Het maakt niet uit dat je het niet kunt vinden omdat het het vindt u.

Het luistert stil naar uw verkeer, op zoek naar de gemakkelijke, niet-versleutelde dingen. Het heeft waarschijnlijk een paar fatsoenlijke wachtwoorden voor uw routerkern. Dat NAS deelt met MSChapV2? Ja, dat was gemakkelijk te verteren. Jammer genoeg is het wachtwoord hetzelfde als voor elke NAS in elke vestiging van dezelfde leverancier. Jammer dat de NAS-apparaten het verkeer niet versleutelen.

[SECURITY: Meme of Week: Password Shenanigans]

En de certificaten op die wifi-routers die u in 2009 zo duur hebt geïnstalleerd? Realiseert u zich hoe hun certificaten zijn samengesteld? Heb je zelfs naar binnen gekeken een van hen om te ontdekken dat alle certificaten hetzelfde zijn - geen enkele is uniek - en ze werden allemaal versleuteld met een telraam? Zombies begrijpen een telraam.

Wacht, je zegt dat iemand een server met muurwratten heeft aangesloten, of misschien heeft een kewl PoE met frambozensmaak zijn weg naar je bekabelingssysteem gevonden, achtergelaten, we weten niet precies wie dat heeft gedaan.

Er zijn zombieservers. Ze leven.

En dus…

... Zwijg over updates

In de ExtremeLabs-faciliteit en het afgelegen NOC bij Expedient heb ik veel machines en veel meer VM's en containers. Ze krijgen automatische upgrades, behalve VM's die voor tests zijn gebruikt. Die worden op tijd bevroren, in de diepvries van een oud Compellent (nu Dell) SAN geplaatst en na een jaar verwijderd. Vaarwel.

De overgrote meerderheid van updates, door de leverancier verzonden patches en fixes en zelfs stuurprogramma-updates worden uitgevoerd in afwachting van opnieuw opstarten (kijkend naar jou, Microsoft).

Er was niet lang geleden een dag waarop het een goede gewoonte was om automatische updates te negeren omdat updates niet goed waren beoordeeld door leveranciers. Gebrek aan regressietesten, onmogelijk te testen variantieproblemen en "oh, heb je dat gedaan?" mysteries betekende dat explosies veel voorkwamen. Dit leidde ertoe dat organisaties applicaties infrastructuur-generiek maakten, volgens het boekje en zonder het gebruik van producten van derden die fouten zouden kunnen veroorzaken.

Dat is vandaag de dag moeilijk tot onmogelijk. Of je het nu leuk vindt of niet, het is een heterogene wereld. U kunt niet langer zorgvuldig muren bouwen, zelfs geen instances van besturingssystemen rond kritieke infrastructuur (wat is tegenwoordig geen kritieke bedrijfsinfrastructuur?), Inclusief hypervisors, sandboxen, containers, unikernels en andere muren, zodat systeemstoringen geen kraterlijn vormen. apps.

Wat moet je doen?

  1. Loop eigenlijk rond uw infrastructuur en inspecteer deze, op zoek naar, ja, zombie-hardware en ongetagde kritieke activa.
  2. Open elke gehyperviseerde, gecontaineriseerde (bijvoorbeeld gevirtualiseerde) host in uw hele domein (inclusief cloud) en ontdek het exacte doel van elke actieve instantie. En als elke host updates krijgt, zoek dan uit wat het patchniveau werkelijk is.
  3. Noteer het resultaat als controlestap.
  4. Herzie elk van deze driemaandelijks. Alle software voor indringerbescherming en -detectie op de planeet maakt een zekere mate van normalisatie mogelijk. Schakel normalisatie uit voor een week per week wanneer niemand op vakantie is. Luister naar het verkeer. Detectie- / inspectieregels opnieuw valideren. Het is OK om dit proces te automatiseren. Doe het gewoon.

Aan het eind van de dag heb je The List. Consolideer het. Onderzoek het. Krijg nog een paar ogen (of meer) op de lijst. HANDEL ER NAAR. Sluit de lijst af nadat je hebt gehandeld op basis van wat je vindt. Doe het dan opnieuw.

Er wachten zombiebots op je om uit te glijden.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.