Nuvens em estado de choque?

Em setembro de 2014, outra bomba, “Shellshock”, atingiu a comunidade de segurança na forma de um conjunto de vulnerabilidades no “Bash”, um componente da maioria dos sistemas baseados em UNIX. Ele tem o potencial de causar grandes danos, e a comunidade está em um frenesi tentando consertar todos os sistemas afetados. Já milhões de tentativas de ataques foram lançadas em quase todos os sistemas na Internet, e alguns invasores tentaram transformar isso em um “worm” auto-replicante. Para serem consideradas seguras, as redes dos fornecedores devem ser protegidas por firewalls multicamadas e sistemas de detecção de intrusão. Essas redes também devem ser monitoradas por um Centro de Operações de Segurança (SOC) 24x7x365. A única abordagem de segurança que perdura é uma estratégia de “SECURITY IN DEPTH”, semelhante à seguida pelo LiveOps, com várias camadas de proteção sobrepostas e redundantes.

No LiveOps, usamos uma abordagem holística de segurança. Desde o momento em que um projeto é imaginado e colocado na prancheta, passando por suas etapas de desenvolvimento e teste até sua implantação, nossa equipe de segurança de aplicativos revisa cada etapa. A segurança deve ser parte integrante de como um fornecedor projeta e constrói sua plataforma em cada estágio do ciclo de vida de desenvolvimento de software – não uma reflexão tardia. Além disso, o sistema de segurança deve ser exaustivamente testado para provar que a solução atende ou excede os requisitos de segurança padrão do setor. Os sistemas baseados em nuvem exigem monitoramento XNUMX horas por dia para garantir a segurança e a integridade dos dados do cliente, proteger contra ameaças de segurança ou violações de dados e impedir o acesso não autorizado aos dados do cliente.

No instante em que um sistema é colocado em nossos data centers seguros, ele é monitorado e auditado, corrigido e analisado. Os dados são protegidos até o fim, quando, anos depois, o disco rígido no qual os dados se encontram encontra seu local de descanso final em um triturador industrial em um centro de reciclagem.

Sempre que uma vulnerabilidade é exposta, como no Shellshock (ou qualquer uma das dezenas de vulnerabilidades menos visíveis que são descobertas todos os meses), a equipe de LiveOps analisa o impacto, decide sobre um plano de correção e o implementa com a equipe apropriada.

No caso da Shellshock, nossa abordagem consistiu nas sete etapas a seguir:

  1. Procure quaisquer casos de vulnerabilidade pública usando varreduras automatizadas de vários fornecedores e testes manuais. (Nenhum foi encontrado.)
  2. Atualize as regras do Web Application Firewall e notifique a equipe do Security Operation Center.
  3. Revise os logs de IDS para tentativas de ataque. (Várias tentativas foram vistas, mas nenhuma foi bem sucedida.)
  4. Implementação em escala completa dos patches apropriados com várias iterações.
  5. Teste o código de prova de conceito para verificar o sucesso da aplicação de patches em cada máquina.
  6. Execute verificações de vulnerabilidades internas para verificar se nenhuma caixa foi perdida.
  7. Execute uma revisão de “caixa branca” de todo o código-fonte de produção para uso “bash”.

Algumas dessas tarefas foram executadas em paralelo e exigiram esforço de toda a equipe, mas conseguimos resolver esse problema de forma rápida, sem exposição de segurança e sem nenhum impacto nos processos de produção.

O que você pode fazer como usuário de sistemas em nuvem?

Além das práticas recomendadas usuais de segurança (sobre as quais estamos sempre dispostos a aconselhar nossos clientes), a única coisa a fazer é permanecer vigilante e certificar-se de revisar adequadamente seu provedor de nuvem.

Incidentes como este voltarão a acontecer no futuro. Certifique-se de escolher um parceiro que esteja pronto para eles.

Imagem cortesia de Stuart Miles em FreeDigitalPhotos.net.