Zombie-servere dræber dig

Du troede, det var begravet. Du glemte. Nogen dokumenterede det ikke. Et ping feje fandt det ikke. Den lå der, død. Ingen fandt det. Men der var en puls: Den kører stadig, og den er i live. Og det er sandsynligvis uovertruffen.

Noget prøvede det for længe siden. Fundet port 443 åben. Knægtede den som en Porsche 911 på på Sunset Boulevard på en regnfuld lørdag aften. Hvordan blev det knekt? Lad mig tælle måderne.

Nu er det en zombie, der bor inden i dit aktivområde.

Det betyder ikke noget, at det er en del af din strømregning. Det spiser langsomt din frokost.

Det betyder ikke noget, at du ikke kan finde det, fordi det er at finde du.

Det lytter stille til din trafik og leder efter de let, ukrypterede ting. Det har sandsynligvis et par anstændige adgangskoder til din router-kerne. At NAS-andelen bruger MSChapV2? Ja, det var let at fordøje. Synd adgangskoden er den samme som den for hver NAS i hver filial fra den samme leverandør. Synd at NAS-enhederne ikke krypterer trafik.

[SIKKERHED: Meme of Week: Password Shenanigans]

Og certifikaterne på disse Wi-Fi-routere, som du installerede så dybt tilbage i 2009? Er du klar over, hvordan deres certifikater blev sammensat? Kiggede du endda inde en af ​​dem at opdage, at alle certs er ens-ingen er unik, og at alle blev krypteret med en abacus? Zombier forstår en abacus.

Vent, du siger, at nogen er tilsluttet en vægtserverserver, eller måske en kewl med hindbær-aromatiseret PoE kom vej ind i dit kabelsystem, efterladt af godt, vi ved ikke nøjagtigt, hvem der gjorde det.

Zombie-servere er der. De lever.

Også…

… Hold kæft om opdateringer

I ExtremeLabs-anlægget og fjerntliggende NOC hos Expedient har jeg en masse maskiner og rigeligt flere VM'er og containere. De får automatiske opgraderinger, gemme VM'er, der blev brugt til test. De bliver frosset i tide, sat i dyb frysning af en gammel Compellent (nu Dell) SAN, derefter slettet efter et år. Farvel.

Langt de fleste opdateringer, leverandør-sendte rettelser og rettelser og endda driveropdateringer udføres i afventende genstart (ser på dig, Microsoft).

Der var en dag for ikke længe siden, hvor det var en god praksis at ignorere automatiske opdateringer, fordi opdateringer ikke var godt overvåget af leverandører. Manglende regressionstest, umulige problemer med afvigelse og "åh, gjorde du det?" mysterier betød, at eksplosioner var almindelige. Dette førte til, at organisationer gør applikationer infrastrukturgeneriske, ved hjælp af bogen og uden brug af tredjepartsprodukter, der kunne introducere fejl.

Det er groft til umuligt at gøre det i dag. Synes godt om det eller ej, det er en heterogen verden. Du kan ikke længere omhyggeligt bygge vægge, selv operativsystemforekomster omkring kritisk infrastruktur (hvad er der ikke kritisk forretningsinfrastruktur i dag?) Inklusive hypervisorer, sandkasser, containere, unikerneller og andre vægge, så systemfejl ikke kraterer forretningsmæssigt apps.

Hvad skal du gøre?

  1. Gå faktisk rundt i din infrastruktur og inspicér den og leder efter, ja, zombiehardware og ikke-mærkede kritiske aktiver.
  2. Åbn enhver enkelt hyperviseret, containeret (f.eks. Virtualiseret) vært i hele dit domæne (sky inkluderet), og find ud af det nøjagtige formål med hver enkelt kørende instans. Og hvis hver vært får opdateringer, skal du finde ud af, hvad dens patch-niveau virkelig er.
  3. Skriv resultatet som et revisionstrin.
  4. Gennemgå hvert af disse kvartalsvise. Alle indtrængende beskyttelses- og detekteringssoftware på planeten tillader en vis grad af normalisering. Sluk for normalisering i en uge-en uge, når ingen er på ferie. Lyt til trafikken. Gentag detekterings- / inspektionsregler. Det er OK at automatisere denne proces. Bare gør det.

I slutningen af ​​dagen har du The List. Konsolider det. Undersøg det. Få et andet par øjne (eller mere) på listen. AKTION PÅ DET. Lås listen op efter at have handlet på det, du finder. Så gør det igen.

Der venter zombiebots på, at du glider op.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.