Syyskuussa 2014 toinen pommi, "Shellshock", iski tietoturvayhteisöön useimpien UNIX-pohjaisten järjestelmien "Bashissa" olevan haavoittuvuuden muodossa. Se voi aiheuttaa suurta vahinkoa, ja yhteisö on ollut kiihkeässä yrittäessään korjata kaikkia vaikuttavia järjestelmiä. Lähes jokaiseen Internetin järjestelmään on jo tehty miljoonia hyökkäysyrityksiä, ja jotkut hyökkääjät ovat yrittäneet muuttaa tästä itseään replikoituvaksi "madoksi". Jotta toimittajien verkkoja pidettäisiin turvallisina, ne on suojattava monikerroksisilla palomuureilla ja tunkeutumisen havaitsemisjärjestelmillä. Näitä verkkoja on myös valvottava 24x7x365 Security Operations Centerin (SOC) avulla. Ainoa kestävä suojausmenetelmä on "Syvätietoturva" -strategia, joka on samanlainen kuin LiveOps-strategia, jossa on useita päällekkäisiä ja redundantteja suojakerroksia.
Käytämme LiveOpsissa kokonaisvaltaista lähestymistapaa turvallisuuteen. Siitä hetkestä, kun projekti on suunniteltu ja asetettu piirustuspöydälle, sen kehitys- ja testausvaiheista aina sen käyttöönoton jälkeen, sovelluksen suojaustiimimme arvioi jokaisen vaiheen. Tietoturvan on oltava olennainen osa sitä, miten toimittaja suunnittelee ja rakentaa alustansa ohjelmistokehityksen elinkaaren jokaisessa vaiheessa – ei jälkikäteen. Lisäksi turvajärjestelmä tulee testata perusteellisesti sen osoittamiseksi, että ratkaisu noudattaa tai ylittää alan standardien turvallisuusvaatimukset. Pilvipohjaiset järjestelmät vaativat ympärivuorokautista valvontaa asiakastietojen turvallisuuden ja eheyden varmistamiseksi, suojautumiseksi tietoturvauhkilta tai tietomurroilta sekä luvaton pääsyn estämiseksi asiakastietoihin.
Heti kun järjestelmä asetetaan turvallisiin tietokeskuksiin, sitä valvotaan ja auditoidaan, korjataan ja analysoidaan. Tiedot on suojattu loppuun asti, jolloin vuosia myöhemmin kiintolevy, jolla tiedot ovat, kohtaa lopullisen lepopaikkansa kierrätyskeskuksen teollisuussilppurissa.
Aina kun haavoittuvuus paljastuu, kuten Shellshock (tai mikä tahansa kymmenistä vähemmän näkyvistä haavoittuvuuksista, jotka löydetään kuukausittain), LiveOps-tiimi tarkistaa vaikutuksen, päättää korjaussuunnitelman ja toteuttaa sen asianmukaisen tiimin kanssa.
Shellshockin tapauksessa lähestymistapamme koostui seuraavista seitsemästä vaiheesta:
- Etsi julkisia haavoittuvuuksia käyttämällä useiden toimittajien automaattisia tarkistuksia ja manuaalista testausta. (Yhtään ei löytynyt.)
- Päivitä Web-sovellusten palomuurisäännöt ja ilmoita siitä Security Operation Center -tiimille.
- Tarkista IDS-lokit hyökkäysyritysten varalta. (Erilaisia yrityksiä nähtiin, mutta yksikään ei onnistunut.)
- Täysi mittakaavaan sopivat korjaukset erilaisilla iteraatioilla.
- Testaa käsitteen todistekoodia varmistaaksesi paikannuksen onnistumisen jokaisessa koneessa.
- Suorita sisäiset haavoittuvuustarkistukset varmistaaksesi, ettei yhtään ruutua ole jäänyt huomaamatta.
- Suorita "valkoisen laatikon" tarkistus kaikesta tuotannon lähdekoodista "bash"-käytön varalta.
Osa näistä tehtävistä suoritettiin rinnakkain ja vaati koko tiimiltä vaivaa, mutta onnistuimme ratkaisemaan tämän ongelman nopeasti, ilman tietoturva-altistusta ja vaikuttamatta tuotantoprosesseihin.
Mitä voit tehdä pilvijärjestelmien käyttäjänä?
Tavallisten parhaiden turvallisuuskäytäntöjen lisäksi (joista neuvomme aina mielellämme asiakkaitamme), ainoa asia, mitä tehdä, on pysyä valppaana ja varmistaa, että tarkistat pilvipalveluntarjoajasi kunnolla.
Tällaisia tapauksia tulee toistumaan tulevaisuudessa. Muista valita kumppani, joka on heille valmis.
Kuva: Stuart Miles osoitteessa FreeDigitalPhotos.net.
