V září 2014 zasáhla bezpečnostní komunitu další bomba „Shellshock“ v podobě sady zranitelností v „Bash“, součásti většiny systémů založených na UNIXu. Má potenciál způsobit velké škody a komunita zuřila ve snaze opravit každý zasažený systém. Již miliony pokusů o útoky byly vrženy na téměř každý systém na internetu a někteří útočníci se z toho pokusili udělat sebereplikujícího se „červa“. Aby byly sítě dodavatelů považovány za bezpečné, musí být chráněny vícevrstvými firewally a systémy detekce narušení. Tyto sítě musí být také monitorovány 24x7x365 Security Operations Center (SOC). Jediným bezpečnostním přístupem, který přetrvá, je strategie „ZABEZPEČENÍ DO HLOUBKY“, podobná té, kterou následuje LiveOps, s mnoha překrývajícími se a redundantními vrstvami ochrany.
V LiveOps používáme holistický přístup k zabezpečení. Od okamžiku, kdy je projekt navržen a umístěn na rýsovacím prkně, přes jeho vývojové a testovací kroky až po jeho nasazení, náš tým pro zabezpečení aplikací kontroluje každý krok. Zabezpečení musí být nedílnou součástí toho, jak dodavatel navrhuje a buduje svou platformu v každé fázi životního cyklu vývoje softwaru – nikoli dodatečný nápad. Kromě toho by měl být bezpečnostní systém důkladně otestován, aby se prokázalo, že řešení splňuje nebo překračuje průmyslové standardní bezpečnostní požadavky. Cloudové systémy vyžadují nepřetržité monitorování, aby byla zajištěna bezpečnost a integrita zákaznických dat, ochrana před bezpečnostními hrozbami nebo narušením dat a zabránění neoprávněnému přístupu k zákaznickým datům.
V okamžiku, kdy je systém umístěn do našich zabezpečených datových center, je monitorován a auditován, opravován a analyzován. Data jsou chráněna až do konce, kdy se po letech pevný disk, na kterém jsou data uložena, dostane na místo posledního odpočinku v průmyslovém skartovačce v recyklačním centru.
Kdykoli dojde k odhalení zranitelnosti, jako u Shellshocku (nebo kterékoli z desítek méně viditelných zranitelností, které jsou každý měsíc objeveny), tým LiveOps zkontroluje dopad, rozhodne o plánu nápravy a implementuje jej s příslušným týmem.
V případě Shellshocku se náš přístup skládal z následujících sedmi kroků:
- Hledejte jakékoli případy veřejné zranitelnosti pomocí automatizovaných prověřování od různých dodavatelů a ručního testování. (Žádné nebyly nalezeny.)
- Aktualizujte pravidla brány firewall webových aplikací a informujte tým Security Operation Center.
- Zkontrolujte protokoly IDS pro pokusy o útok. (Byly vidět různé pokusy, ale žádný nebyl úspěšný.)
- Rozbalte v plném rozsahu příslušné záplaty s různými iteracemi.
- Otestujte kód proof-of-concept a ověřte úspěšnost opravy na každém počítači.
- Spusťte interní prověřování zranitelnosti a ověřte, zda nedošlo k vynechání žádného pole.
- Spusťte „bílou skříňku“ kontrolu veškerého produkčního zdrojového kódu pro použití „bash“.
Některé z těchto úkolů byly prováděny paralelně a vyžadovaly úsilí celého týmu, ale podařilo se nám tento problém vyřešit rychle, bez ohrožení bezpečnosti a bez jakéhokoli dopadu na výrobní procesy.
Co můžete jako uživatel cloudových systémů dělat?
Kromě obvyklých osvědčených postupů pro zabezpečení (se kterými našim zákazníkům vždy rádi poradíme) je jedinou věcí, kterou musíte udělat, je zůstat ostražití a ujistit se, že svého poskytovatele cloudu řádně zkontrolujete.
Podobné incidenty se budou v budoucnu opakovat. Vyberte si partnera, který je na ně připraven.
Obrázek se svolením Stuarta Milese na FreeDigitalPhotos.net.
