Em setembro de 2014, outra bomba, “Shellshock”, atingiu a comunidade de segurança na forma de um conjunto de vulnerabilidades no “Bash”, um componente da maioria dos sistemas baseados em UNIX. Ele tem o potencial de causar grandes danos, e a comunidade está em um frenesi tentando consertar todos os sistemas afetados. Já milhões de tentativas de ataques foram lançadas em quase todos os sistemas na Internet, e alguns invasores tentaram transformar isso em um “worm” auto-replicante. Para serem consideradas seguras, as redes dos fornecedores devem ser protegidas por firewalls multicamadas e sistemas de detecção de intrusão. Essas redes também devem ser monitoradas por um Centro de Operações de Segurança (SOC) 24x7x365. A única abordagem de segurança que perdura é uma estratégia de “SECURITY IN DEPTH”, semelhante à seguida pelo LiveOps, com várias camadas de proteção sobrepostas e redundantes.
No LiveOps, usamos uma abordagem holística de segurança. Desde o momento em que um projeto é imaginado e colocado na prancheta, passando por suas etapas de desenvolvimento e teste até sua implantação, nossa equipe de segurança de aplicativos revisa cada etapa. A segurança deve ser parte integrante de como um fornecedor projeta e constrói sua plataforma em cada estágio do ciclo de vida de desenvolvimento de software – não uma reflexão tardia. Além disso, o sistema de segurança deve ser exaustivamente testado para provar que a solução atende ou excede os requisitos de segurança padrão do setor. Os sistemas baseados em nuvem exigem monitoramento XNUMX horas por dia para garantir a segurança e a integridade dos dados do cliente, proteger contra ameaças de segurança ou violações de dados e impedir o acesso não autorizado aos dados do cliente.
No instante em que um sistema é colocado em nossos data centers seguros, ele é monitorado e auditado, corrigido e analisado. Os dados são protegidos até o fim, quando, anos depois, o disco rígido no qual os dados se encontram encontra seu local de descanso final em um triturador industrial em um centro de reciclagem.
Sempre que uma vulnerabilidade é exposta, como no Shellshock (ou qualquer uma das dezenas de vulnerabilidades menos visíveis que são descobertas todos os meses), a equipe de LiveOps analisa o impacto, decide sobre um plano de correção e o implementa com a equipe apropriada.
No caso da Shellshock, nossa abordagem consistiu nas sete etapas a seguir:
- Procure quaisquer casos de vulnerabilidade pública usando varreduras automatizadas de vários fornecedores e testes manuais. (Nenhum foi encontrado.)
- Atualize as regras do Web Application Firewall e notifique a equipe do Security Operation Center.
- Revise os logs de IDS para tentativas de ataque. (Várias tentativas foram vistas, mas nenhuma foi bem sucedida.)
- Implementação em escala completa dos patches apropriados com várias iterações.
- Teste o código de prova de conceito para verificar o sucesso da aplicação de patches em cada máquina.
- Execute verificações de vulnerabilidades internas para verificar se nenhuma caixa foi perdida.
- Execute uma revisão de “caixa branca” de todo o código-fonte de produção para uso “bash”.
Algumas dessas tarefas foram executadas em paralelo e exigiram esforço de toda a equipe, mas conseguimos resolver esse problema de forma rápida, sem exposição de segurança e sem nenhum impacto nos processos de produção.
O que você pode fazer como usuário de sistemas em nuvem?
Além das práticas recomendadas usuais de segurança (sobre as quais estamos sempre dispostos a aconselhar nossos clientes), a única coisa a fazer é permanecer vigilante e certificar-se de revisar adequadamente seu provedor de nuvem.
Incidentes como este voltarão a acontecer no futuro. Certifique-se de escolher um parceiro que esteja pronto para eles.
Imagem cortesia de Stuart Miles em FreeDigitalPhotos.net.