シェルショッククラウド?

2014 年 24 月には、大部分の UNIX ベース システムのコンポーネントである「Bash」の一連の脆弱性という形で、別の爆弾「Shellshock」がセキュリティ コミュニティを襲いました。 大きな損害を引き起こす可能性があり、コミュニティは影響を受けたすべてのシステムを修正しようと熱狂しています。 すでに何百万回もの攻撃がインターネット上のほぼすべてのシステムに投げかけられており、一部の攻撃者はこれを自己複製型の「ワーム」に変えようとしています。 ベンダーのネットワークが安全であると見なされるためには、多層ファイアウォールと侵入検知システムによって保護されている必要があります。 これらのネットワークは、7 時間 365 日セキュリティ オペレーション センター (SOC) によって監視する必要もあります。 持続する唯一のセキュリティ アプローチは、LiveOps が従うものと同様の「SECURITY IN DEPTH」戦略であり、複数の重複した冗長な保護レイヤーを備えています。

LiveOps では、セキュリティに対して総合的なアプローチを採用しています。 プロジェクトが構想され、製図板に配置された瞬間から、開発とテストの手順を経て、展開後まで、当社のアプリケーション セキュリティ チームが各手順をレビューします。 セキュリティは、後付けではなく、ソフトウェア開発ライフサイクルのすべての段階を通じて、ベンダーがプラットフォームを設計および構築する方法の不可欠な部分である必要があります。 さらに、ソリューションが業界標準のセキュリティ要件を満たしているか、それを上回っていることを証明するために、セキュリティ システムを徹底的にテストする必要があります。 クラウドベースのシステムでは、顧客データのセキュリティと整合性を確保し、セキュリティの脅威やデータ侵害から保護し、顧客データへの不正アクセスを防止するために、XNUMX 時間体制の監視が必要です。

システムが当社の安全なデータ センターに配置されるとすぐに、監視、監査、パッチ適用、分析が行われます。 データは、数年後、データが保存されているハード ドライブがリサイクル センターの産業用シュレッダーで最終保管場所に到達するまで、最後まで保護されます。

脆弱性が公開されるたびに、Shellshock (または毎月発見される目に見えない数十の脆弱性) のように、LiveOps チームは影響を確認し、修復計画を決定し、適切なチームと共にそれを実装します。

Shellshock の場合、私たちのアプローチは次の XNUMX つのステップで構成されていました。

  1. 複数のベンダーからの自動スキャンと手動テストを使用して、公開されている脆弱性のケースを検索します。 (どれも見つかりませんでした。)
  2. Web アプリケーション ファイアウォール ルールを更新し、セキュリティ オペレーション センター チームに通知します。
  3. 攻撃の試みについて IDS ログを確認します。 (いろいろな試みが見られたが、どれも成功しなかった。)
  4. さまざまな反復を行いながら、適切なパッチを本格的に展開します。
  5. 概念実証コードをテストして、すべてのマシンでパッチ適用が成功したことを確認します。
  6. 内部の脆弱性スキャンを実行して、見落とされたボックスがないことを確認します。
  7. 「bash」の使用について、すべての本番ソース コードの「ホワイト ボックス」レビューを実行します。

これらのタスクの一部は並行して実行され、チーム全体の努力が必要でしたが、セキュリティ上の露出や生産プロセスへの影響なしに、この問題を迅速に解決することができました.

クラウド システムのユーザーとしてできることは何ですか?

セキュリティに関する通常のベスト プラクティス (お客様にいつでも喜んでアドバイスします) に加えて、唯一すべきことは、警戒を怠らず、クラウド プロバイダーを適切に確認することです。

このような事件は今後も起こるでしょう。 準備ができているパートナーを必ず選んでください。

FreeDigitalPhotos.net の Stuart Miles 提供の画像。