你以为它被埋了。你忘了。没有人记录下来。信号扫描没找到。它躺在那里,死了。没人找到它。但还有脉搏:它还在跳动,而且是活的。而且可能还没修好。
很久以前就有东西探测过它。发现端口443打开。就像在一个下雨天的周六晚上在日落大道上开保时捷911一样。它是怎么被劫持的?让我细数一下。
现在它是一个僵尸生活在你的资产领域。
就算这是你电费的一部分也没关系。它在慢慢地吃你的午餐。
你找不到没关系,因为它正在找你。
它静静地监听你的通讯,寻找简单的,未加密的东西。它可能有几个不错的路由器核心密码。NAS共享使用MSChapV2?是啊,很容易消化。可惜的是,密码与来自同一供应商的每个分支的每个NAS的密码相同。可惜NAS设备不加密通信。
[SECURITY: Meme of Week: Password Shenanigans]
那你2009年花大价钱安装的Wi-Fi路由器的证书呢?您知道他们的证书是如何组成的吗?你看里面了吗其中的一个发现所有的证书都是相同的—没有唯一的—并且都用算盘加密了?僵尸会用算盘。
等等,你说有人插了个墙疣服务器,或者是一个小洞Raspberry-flavored坡进入了你的电缆系统,在左边我们不知道是谁干的。
僵尸服务器是存在的。他们活着。
所以…
别再提更新了
在Expedient的ExtremeLabs设施和远程NOC中,我有很多机器和足够多的vm和容器。它们会自动升级,保存用于测试的虚拟机。它们会被时间冻结,被放入一个旧的Compellent(现在的戴尔)SAN的深度冻结中,一年后再被删除。再见。
绝大多数更新、供应商发送的补丁和修复程序,甚至驱动程序更新都是在重启前执行的(看看你,微软)。
在不久前的某一天,忽略自动更新是一种最佳实践,因为供应商没有很好地审查更新。缺乏回归测试,不可能测试方差的问题,以及“哦,你做了?”“神秘意味着爆炸很常见。这导致组织将应用程序构建成通用的基础设施,而不使用可能引入错误的第三方产品。
今天很难做到这一点。不管你喜不喜欢,这是一个多元化的世界。您不能再小心地围绕关键基础设施(现在什么不是关键业务基础设施?)构建隔离墙,甚至操作系统实例,包括管理程序、沙箱、容器、unikernel和其他隔离墙,以便系统故障不会影响业务线应用程序。
你需要做什么?
- 实际上,在你的基础设施周围走走,检查它,寻找僵尸硬件和未标记的关键资产。
- 打开整个域(包括云)中每一个托管的、容器化的(例如虚拟化的)主机,找出每一个实例运行的确切目的。如果每个主机都有更新,找出它的补丁级别到底是多少。
- 记录结果作为审核步骤。
- 每季度回顾一次。地球上所有的入侵者保护和检测软件都允许某种程度的正常化。把“正常化”关闭一个星期——一个没有人休假的星期。听听交通状况。重新验证检测/检验规则。将这个过程自动化是可以的。想做就做。
在一天结束的时候,你有这个清单。巩固它。检查它。在名单上增加一双眼睛(或更多)。采取行动。在对你发现的东西采取行动后锁定列表。然后再做一次。
僵尸机器人等着你犯错呢。