在急于利用这一SD-WAN的市场机会,一些SD-WAN厂商似乎被玩弄他们的设备。
在我们最近的一个客户的网站,Nirvik南迪,SD-WAN的专家和红灯笼,安全及合规顾问的CEO的首席信息安全官,和我合作过的安全分析的SD-WAN架构。我们进行渗透的几个测试SD-广域网解决方案,在看
家电和云架构。我们如何测试和供应商的详细结果必然是保密的。不过,我可以跟大家做一些我们对家电整体结果的分享 - 我们将在以后的日子到云中。
SD-WAN的安全性:它真正的意思
首先,一些背景:SD-WAN厂商谈论他们的架构为安全,这就是真实的程度。所有SD-广域网解决方案的安全进行过境运输。但是,还有更多的网络安全不是保护防止窃听和监听,这就是为什么企业部署下一代防火墙(NGFW)的数据,入侵防御系统(IPS),等等。SD-WAN和安全厂商已在探讨这方面的需求,彼此的功能集成到其提供的网络解决方案和安全性。
但这些都不架构的SD-WAN设备的安全性发言。并检查设备的安全性是至关重要的。供应商要求您信任他们,他们可以提供防火墙,代理服务器,并更具有可比性的功能和安全性为您现有的设备。这是你的责任,以验证这些事实。
SD-WAN设备的安全性是因为我们如何为当今互联网接入尤为重要。直到SD-WAN,有比攻击者物理访问我们的互联网连接设备大得多的担忧。互联网点数据中心或服务器机房进行集中。房间的物理访问是通过门禁卡,全天候有人值班的限制,常常在视频监控。
SD-广域网和互联网增加物理访问设备的风险
但是,当我们从单一或有限的一套集中管理的,安全的互联网网关移动到一个非常分散的一套互联网网关,攻击空间的增长。路由器,其中SD-WAN设备更换,是成熟的,久经沙场的产品。他们通常部署在中心辐射型配置。妥协分支机构路由器,充其量可以访问到分支办公室和数据中心之间的流量。即使这样攻击者需要找到一种方法,通过严密监测,防火墙集中到exfiltrate数据。
SD-WAN设备是不同的,特别是当分支被直接连接到互联网。SD-WAN设备是全网状,这潜在地是指包含一个设备可以给将整个公司的攻击者的可视性交通流量。并与直接上网,攻击者未被发现出入穿插数据的可能性更大。
我们的测试和调查结果
揭开漏洞家电,我们从上了裸机检查设备的安全性。SD-WAN经常在白盒服务器上运行的设备,现成的服务器硬件,与来自不同来源的微服务。每个那些微服务的代表潜在的攻击点。因此,你需要从芯片组,BIOS和固件检查一切 - 就到了。
供应商可能会解雇这样的分析,向你保证他们的设备是安全的。但是,我们的研究结果说,否则。
在运行的微服务SD-WAN设备通常是由第三方来源。他们可能来自具有很好的测试产品知名安全厂商,但也很容易被厂商一起编码的开源组件。我们的研究结果表明,后者是常见的有有已知80%的常见漏洞和披露(CVE和),有的超过十年的历史。
什么这可能意味着两个具体的例子。在一种情况下,我们发现,如果攻击者可以通过SSH连接到一个盒子,那是绝对有可能在某些情况下,他们可以创建一个重新启动系统的竞争条件。通常情况下,一个系统的IPS应该拿出网络之前,保护装置。但在某些情况下,这是相反的:网络是第一个。这给了攻击者一个简短的窗口中插入一个bug到系统中,让他们在盒子完全控制。
在另一种情况下,一个过时的BIOS使我们能够重新启动设备,并从USB钥匙启动恶意代码,创建一个中间人攻击。该漏洞会通过设备给攻击者了解所有的流量。
“这些不断涌现的新公司的技术和他们没有支付的注意程度是一个经验丰富的安全人员会支付安全的整个运作模式。故障在堆或任何级别的任何层暴露组织网络事件(如果检测到)或数据丢失(如果未检测到)“。
你的方法
当然,安全威胁必须优先考虑。可以远程对许多目标立即采取优先于物理访问漏洞推出,可以用一个挂锁被吓倒。
但是,这不是不研究你的分支设备的安全性的借口。他们经常做仰卧在不到无菌环境比集中式防火墙 - 由多个供应商访问的配线间或,说实话,管理员的办公桌上。
我们的分支家电经常暴露在“无辜”的威胁,如被第三方销售工程师无意中禁用。而更糟的是,他们可以接触到真正的敏感数据。社会和物理工程学攻击 - 与远程攻击结合使用 - 以威胁者可能产生的安全环境访问。有一件事情是明确的:如果你要依靠SD-WAN安全您的企业一定的SD-WAN设备是安全的。