Pensaste que estaba enterrado. Te olvidaste. Alguien no lo documentó. Un barrido de ping no lo encontró. Yacía allí, muerto. Nadie lo encontró. Pero había un pulso: todavía está funcionando y está vivo. Y probablemente esté sin parchear.
Algo lo probó hace mucho tiempo. Se encontró el puerto 443 abierto. Lo metí como un Porsche 911 en Sunset Boulevard en una lluviosa noche de sábado. ¿Cómo se jodió? Déjame contar las formas.
Ahora es un zombie que vive dentro de tu reino de activos.
No importa que sea parte de su factura de energía. Lentamente está comiendo tu almuerzo.
No importa que no puedas encontrarlo porque está encontrando tú.
Está escuchando en silencio su tráfico, buscando cosas fáciles y sin cifrar. Probablemente tenga algunas contraseñas decentes para el núcleo de su enrutador. ¿Qué NAS comparte con MSChapV2? Sí, eso fue fácil de digerir. Lástima que la contraseña sea la misma que la de cada NAS en cada sucursal del mismo proveedor. Lástima que los dispositivos NAS no cifren el tráfico.
[SEGURIDAD: Meme de la semana: Travesuras de contraseña]
¿Y los certificados en esos enrutadores Wi-Fi que instaló tan caro en 2009? ¿Te das cuenta de cómo se compusieron sus certificados? ¿Miraste adentro incluso uno de ellos para descubrir que todos los certificados son iguales, ninguno es único, y todos fueron encriptados con un ábaco? Los zombis entienden un ábaco.
Espera, dices que alguien enchufó un servidor de pared de verrugas, o tal vez un PoE de Kewl con sabor a frambuesa entró en tu sistema de cableado, pero bueno, no sabemos exactamente quién hizo eso.
Los servidores de zombis están ahí. Estan vivos.
Y entonces…
... Cállate sobre las actualizaciones
En las instalaciones de ExtremeLabs y el NOC remoto en Expedient, tengo muchas máquinas y muchas más máquinas virtuales y contenedores. Obtienen actualizaciones automáticas, guardan máquinas virtuales que se utilizaron para las pruebas. Esos se congelan a tiempo, se ponen en el congelador profundo de una SAN SAN Compellent (ahora Dell) y luego se eliminan después de un año. Adiós.
La gran mayoría de las actualizaciones, los parches y las correcciones enviadas por el proveedor, e incluso las actualizaciones de controladores se realizan hasta que se reinicien (mirándolo, Microsoft).
Hubo un día no hace mucho tiempo, cuando era una buena práctica ignorar las actualizaciones automáticas porque los proveedores no habían investigado bien las actualizaciones. Falta de pruebas de regresión, problemas de variaciones imposibles de probar y "oh, ¿hiciste eso?" Los misterios significaban que las explosiones eran comunes. Esto llevó a las organizaciones a crear aplicaciones genéricas para la infraestructura, por escrito y sin el uso de productos de terceros que podrían introducir errores.
Es difícil o imposible hacer eso hoy. Nos guste o no, es un mundo heterogéneo. Ya no puede construir muros con cuidado, incluso instancias de sistemas operativos alrededor de infraestructura crítica (¿qué no es la infraestructura comercial crítica hoy en día?) Incluyendo hipervisores, cajas de arena, contenedores, unikernels y otros muros para que las fallas de los sistemas no afecten la línea de negocio aplicaciones.
Qué es lo que hay que hacer?
- Realmente camine alrededor de su infraestructura e inspecciónela, buscando, sí, hardware zombie y activos críticos sin etiquetar.
- Abra todos los hosts hipervisados, en contenedores (por ejemplo, virtualizados) en todo su dominio (incluido en la nube), y descubra el propósito exacto de cada una de las instancias en ejecución. Y si cada host está recibiendo actualizaciones, descubra cuál es realmente su nivel de parche.
- Escriba el resultado como un paso de auditoría.
- Revise cada uno de estos trimestralmente. Todo el software de protección y detección de intrusos en el planeta permite cierto grado de normalización. Apague la normalización durante una semana a la semana cuando nadie esté de vacaciones. Escucha el tráfico. Revalidar las reglas de detección / inspección. Está bien automatizar este proceso. Simplemente hazlo.
Al final del día, tienes The List. Consolidarlo. Examínalo. Obtenga otro par de ojos (o más) en la lista. HACER ALGO AL RESPECTO. Bloquee la lista después de actuar según lo que encuentre. Entonces hazlo de nuevo.
Hay robots zombies esperando que te resbales.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
