Реакция на компрометацию в облачных сервисах

Поскольку вы должны иметь систему обнаружения вторжений, вы должны очень быстро узнавать о случаях, когда имеет место фактическая компрометация системы. Если вы реагируете на такие ситуации быстро, вы можете воспользоваться преимуществом снижения времени простоя, вызванного компрометацией системы вследствие применения эксплоита.

Когда вы обнаруживаете, что скомпрометирован ваш физический сервер, процедура реагирования представляет собой долгий и болезненный процесс:

1.      В первую очередь необходимо перекрыть доступ злоумышленнику, вторгшемуся в систему. Как правило, это достигается отключением сервера от всей остальной сети.

2.      Затем следует определить вектор атаки. Вам требуется не просто остановить сервер и перезапустить его, поскольку уязвимость, о которой идет речь, может затрагивать любое количество серверов. Далее, вполне возможно, что атако-

вавший вас злоумышленник уже оставил в системе руткит (rootkit)1 или какоелибо еще программное обеспечение, дающее возможность повторного вторжения после того, как вы ликвидируете изначальную уязвимость, которая и позволила ему осуществить вторжение. Поэтому крайне важно идентифицировать способ, которым атакующий сумел скомпрометировать вашу систему, а также выяснить, дало ли это ему возможность скомпрометировать и другие системы в вашей сети, а также определить, нет ли в остальных системах такой же уязвимости, которая дала злоумышленнику доступ в вашу сеть.

3.      Вычистить сервер и снова запустить его. На этом шаге вам потребуется "залатать" дыру в системе безопасности и перестроить систему с помощью новейшей версии нескомпрометированной резервной копии.

4.      Запустить сервер в рабочее состояние и повторить перечисленные шаги для всех серверов, имевших точно такой же вектор атаки.

Этот  процесс  очень  трудоемок  и  может  потребовать  длительного  времени.

В облачной среде он протекает намного проще.

Во-первых, вы можете провести некоторые процедуры по криминалистическому анализу. Вы можете скопировать корневую файловую систему на один из блочных томов, снять моментальный снимок блочных томов, остановить сервер и осуществить его замену.

После того как предназначенный на замену сервер начнет работу (определенно, он будет иметь прежнюю уязвимость, но, по крайней мере, он не будет скомпрометирован), вы сможете запустить сервер в выделенной группе безопасности и смонтировать скомпрометированные тома. Поскольку этот новый сервер будет иметь другую корневую файловую систему, и на нем не будет работать никаких сервисов, он не будет скомпрометирован. Тем не менее, вы все же будете иметь полный доступ к скомпрометированной информации, так что вы будете иметь возможность и для идентификации вектора атаки.

После того как вы идентифицируете вектор атаки, вы сможете применить обновления безопасности, устраняющие уязвимость, к образам машин. Как только уязвимость будет устранена, вы сможете перезапустить другие экземпляры. Таким образом, в результате вы сможете гораздо быстрее реагировать на уязвимости и компрометацию серверов, сведя к минимуму (или даже к нулю) время простоя.

1 Руткит (rootkit, т. е. "набор root’а") — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин "rootkit" исторически пришел из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя. Подробнее см. http://tinyurl.com/ye4jkb6, http://en.wikipedia.org/wiki/Rootkit, http://www.z-oleg.com/secur/articles/rootkit.php, http://www.rootkit.com/. — Прим. перев.

Источник: Риз Дж., Облачные вычисления: Пер. с англ. — СПб.: БХВ-Петербург, 2011. — 288 с.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете промотать до конца и оставить ответ. Pinging в настоящее время не допускается.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100