Shellshocked skyer?

I september 2014 så en annen bombe, «Shellshock», ramme sikkerhetsfellesskapet i form av et sett med sårbarheter i «Bash», en komponent i de fleste UNIX-baserte systemer. Det har potensial til å forårsake stor skade, og samfunnet har vært i vanvidd og prøvd å fikse alle berørte systemer. Allerede millioner av forsøk på angrep har blitt kastet mot nesten alle systemer på Internett, og noen angripere har forsøkt å gjøre dette om til en selvreplikerende "orm". For å bli ansett som sikre må leverandørens nettverk være beskyttet av flerlags brannmurer og inntrengningsdeteksjonssystemer. Disse nettverkene må også overvåkes av et 24x7x365 Security Operations Center (SOC). Den eneste sikkerhetstilnærmingen som varer er en "SECURITY IN DEPTH"-strategi, lik den som følges av LiveOps, med flere overlappende og redundante beskyttelseslag.

Hos LiveOps bruker vi en helhetlig tilnærming til sikkerhet. Fra det øyeblikket et prosjekt er forestilt og plassert på tegnebrettet, gjennom utviklings- og testtrinnene til etter implementeringen, gjennomgår applikasjonssikkerhetsteamet hvert trinn. Sikkerhet må være en integrert del av hvordan en leverandør designer og bygger sin plattform gjennom alle trinn i programvareutviklingens livssyklus – ikke en ettertanke. Videre bør sikkerhetssystemet testes grundig for å bevise at løsningen overholder eller overgår bransjestandardens sikkerhetskrav. Skybaserte systemer krever overvåking døgnet rundt for å sikre sikkerheten og integriteten til kundedata, for å beskytte mot sikkerhetstrusler eller datainnbrudd, og for å forhindre uautorisert tilgang til kundedata.

I det øyeblikket et system plasseres i våre sikre datasentre, blir det overvåket og revidert, lappet og analysert. Dataene er ivaretatt helt til slutten når harddisken som dataene sitter på mange år senere møter sitt siste hvilested i en industriell makuleringsmaskin på et gjenvinningssenter.

Når en sårbarhet blir avslørt, som med Shellshock (eller noen av dusinvis av mindre synlige sårbarheter som oppdages hver måned), vurderer LiveOps-teamet virkningen, bestemmer seg for en utbedringsplan og implementerer den med det riktige teamet.

Når det gjelder Shellshock, besto vår tilnærming av følgende syv trinn:

  1. Søk etter alle tilfeller av offentlig sårbarhet ved hjelp av automatiserte skanninger fra flere leverandører og manuell testing. (Ingen ble funnet.)
  2. Oppdater regler for nettapplikasjonsbrannmur og varsle Security Operation Center-teamet.
  3. Se gjennom IDS-logger for angrepsforsøk. (Ulike forsøk ble sett, men ingen var vellykkede.)
  4. Rull ut i full skala av de aktuelle lappene med forskjellige iterasjoner.
  5. Test proof-of-concept-koden for å bekrefte suksessen til patchen på hver maskin.
  6. Kjør interne sårbarhetsskanninger for å bekrefte at ingen bokser ble savnet.
  7. Kjør en "white box"-gjennomgang av all produksjonskildekode for "bash"-bruk.

Noen av disse oppgavene ble utført parallelt og krevde innsats fra hele teamet, men vi klarte å løse dette problemet raskt, uten sikkerhetseksponering og uten innvirkning på produksjonsprosessene.

Hva kan du gjøre som bruker av skysystemer?

I tillegg til de vanlige beste praksisene for sikkerhet (som vi alltid er glade for å gi råd til kundene våre), er det eneste du kan gjøre å være årvåken og sørge for at du vurderer skyleverandøren din ordentlig.

Slike hendelser vil skje igjen i fremtiden. Pass på å velge en partner som er klar for dem.

Bilde med tillatelse av Stuart Miles på FreeDigitalPhotos.net.