IT knowledge base
CTRL+F per cercare la tua parola chiave

Virtualizzazione e sicurezza

Alla luce dei nuovi attacchi di hacker e virus, che nel 2017 erano rivolti non solo alle aziende, ma anche alle istituzioni pubbliche, comprese le istituzioni educative e ospedaliere, nonché agli utenti privati, il tema della sicurezza delle informazioni è diventato estremamente risonante. Disponibile sugli attuali problemi di sicurezza IT e l'impatto degli strumenti di virtualizzazione sulla protezione dei sistemi informativi, imparerai sotto il taglio.

Sull'originalità del momento presente

Parliamo prima dei fatti. Secondo Kaspersky Lab, la frequenza di comparsa dei virus dal 1994, quando era di circa un virus all'ora, è cresciuta fino a 5-6 virus al secondo. Bitdefender in generale conferma questo fatto, considerando che ogni mese compaiono più di 12 milioni di nuove versioni di malware, ad es. più di 400mila ogni giorno. Lo studio di Mandiant ha rilevato che le organizzazioni impiegano, in media, circa cinque mesi per scoprire le violazioni della sicurezza di un'azienda, con la metà dei casi che richiedono un aiuto esterno per risolvere il problema.
L'epidemia di worm Carbanak ha causato circa 1 miliardo di dollari di perdite in due anni, colpendo più di 30 paesi in tutto il mondo. L'infezione si è verificata tramite file allegati a messaggi di posta elettronica che sfruttavano le vulnerabilità di Microsoft Office. JPMorgan, HSBC, Halifax, Barclays e più di un centinaio di banche in totale sono state colpite. Di conseguenza, la sola JPMorgan ha pianificato di spendere più di $ 0,5 miliardi per la sicurezza IT. In media, secondo Kaspersky Lab, le strutture aziendali spendono 800.000 dollari all'anno per riprendersi dagli attacchi informatici. Perché sta succedendo?

In primo luogo , perché le moderne piattaforme informatiche sono state originariamente sviluppate negli anni '90, quando era impossibile tenere conto dei requisiti di sicurezza della fine degli anni 2010. Questo è ciò che ha portato al fatto che i sistemi antivirus e i firewall sono diventati un componente aggiuntivo obbligatorio per qualsiasi ambiente operativo e un aggiornamento prematuro dell'antivirus e del sistema operativo rende inevitabilmente il sistema vulnerabile.
In secondo luogo , perché il numero di dispositivi client connessi a Internet che sono vulnerabili a virus e malware è notevolmente aumentato nel mondo. Di conseguenza, il numero di utenti finali è cresciuto molte volte e la soglia per la loro alfabetizzazione informatica e la soglia per la sicurezza dei sistemi informatici, ovviamente, è "scivolata" a un livello estremamente basso.
È molto sintomatico: non tutti comprendono il pericolo del crimine informatico. In media, il 73% degli utenti è consapevole che i criminali informatici e gli hacker rappresentano la più grande minaccia per i propri dati elettronici, ma concordano sul fatto che questo non è il 100% (e se chiedi chi sta rubando i portafogli, il 100% risponderà: i ladri). È interessante notare che gli americani sono molto meno diffidenti nei confronti dei criminali informatici rispetto ai residenti della regione Asia-Pacifico: 61% contro 82.
Terzo , perché molti amministratori di sistemi informativi potrebbero fare il loro lavoro, diciamo, un po' meglio. Se tutte le strutture aziendali avessero almeno tutti gli aggiornamenti installati in tempo, virus come Petya e WannaCry semplicemente non avrebbero alcuna possibilità. Misure come backup regolari dei dati, archiviazione offline dei file di backup, limitazione dei privilegi amministrativi e segmentazione della rete aziendale ridurrebbero notevolmente i danni, ma ora non si tratta nemmeno di loro.
Giudica tu stesso. La vulnerabilità del protocollo di rete SMB del sistema operativo Microsoft Windows, che in seguito (ora ti dirò esattamente quando) è stato sfruttato dal virus WannaCry, è stata pubblicata da Microsoft nel febbraio 2017.14 marzo 2017 - non molto rapidamente , ma come potrebbe: Microsoft ha rilasciato una serie di aggiornamenti progettati per neutralizzare la vulnerabilità su tutti i sistemi operativi supportati.
E la diffusione totale di WannaCry è iniziata il 12 maggio 2017. Nei primi quattro giorni dell'attacco sono stati colpiti circa 300mila utenti in 150 paesi. Avevano due mesi per installare le patch. In questa luce, l'azione senza precedenti di Microsoft, che ha rilasciato aggiornamenti anche per i sistemi operativi non supportati il ​​giorno dopo l'inizio dell'attacco, sembrava quantomeno ingenua e ha causato critiche non solo giuste ma comprensibili da parte degli specialisti che hanno scritto su Twitter messaggi come: "Microsoft è da tempo rilasciando patch per Windows XP e Windows 2003, perché così facendo impediscono loro stessi di sbarazzarsi di sistemi software obsoleti nelle aziende "e" Oh no. Termina il supporto per Windows XP. Se non può morire con onore, lascia che si pieghi...”.
I computer di casa sono stati e rimangono l'anello più debole nella catena della sicurezza delle informazioni. Gli utenti con la coscienza pulita utilizzano un account amministratore per il lavoro permanente. Uno scherzo crudele è giocato dalla mentalità degli utenti che credono che se non ci sono dati segreti sui loro computer, anche gli hacker non sono interessati a loro. Naturalmente, non pensano che i loro computer vengano utilizzati per attacchi DDoS o, nella migliore delle ipotesi, per l'estrazione di bitcoin.
Oppure prendi il recente attacco al ristorante. I dipendenti del ristorante hanno ricevuto e-mail con allegati denominati "menu.rtf", "Olive Garden.rtf" o "Chick Fil A Order.rtf". I file RTF allegati utilizzavano oggetti OLE e lanciavano codice JavaScript offuscato: all'apertura di un documento RTF, la vittima vedeva un'icona a forma di busta grande e un'offerta per aprirla facendo doppio clic su di essa, dopodiché, di regola, di sua spontanea volontà, hanno lanciato un codice che ha permesso agli aggressori di estrarre dalla rete aziendale qualsiasi informazione, incluso il flusso di cassa ...
Ma c'è una semplice regola: se nulla avrebbe dovuto esserti inviato, ma è stato inviato, non dovresti prima aprire il documento inviato o fare clic sul collegamento. Dopotutto, questa è una regola di igiene, non meno importante del mantenimento degli ultimi aggiornamenti del sistema operativo e del pacchetto antivirus e, se si dispone delle competenze appropriate, disabilitare i servizi inutilizzati, ecc.

La virtualizzazione aiuterà!


A rigor di termini, "virtualizzato" non significa "protetto dagli attacchi informatici". Lo scopo dell'hypervisor e dei relativi servizi è aiutare un'organizzazione a organizzare in modo efficace tutte le operazioni relative all'amministrazione del sistema informativo, al provisioning delle risorse, all'ottimizzazione delle prestazioni e alla sicurezza delle informazioni. Il prerequisito affinché tutto questo funzioni è, non importa quanto sia noioso, ancora una volta lo studio del materiale da parte degli amministratori IT.
Perché, ad esempio, ancora non tutti sanno che spegnere o arrestare una macchina virtuale non significa proteggerla da un attacco di malfattori? Al contrario, tali macchine diventano il fulcro dell'attacco, la "direzione dell'attacco principale", poiché la loro protezione non viene aggiornata, l'antivirus non può aggiornare il database dell'antivirus. Allo stesso modo, le immagini "oro" delle workstation sono esattamente lo stesso punto di vulnerabilità, perché, di norma, vengono aggiornate in modo estremamente irregolare, una volta ogni 3-4 mesi.
Pertanto, nel caso generale, non esiste una risposta definitiva alla domanda apparentemente semplice se un servizio terminale possa essere considerato più sicuro che lavorare su un computer locale. Tutto dipende da come hai impostato il sistema. In teoria, un servizio terminale è più sicuro di una macchina locale perché non c'è nulla sul dispositivo locale dell'utente. Laddove il carico di lavoro viene effettivamente eseguito, l'utente invia sequenze di tasti e clic del mouse e riceve in risposta le modifiche alle immagini e la sicurezza è nelle mani dell'amministratore. Ma se l'amministratore non segue le regole, apre porte non necessarie, non utilizza servizi aggiuntivi, non prevede il blocco del posto di lavoro, il controllo del punto di connessione e del dispositivo di connessione, è ridicolo parlare di un posto di lavoro sicuro. Un amministratore competente che segue le migliori pratiche di sicurezza in termini di configurazione del servizio fornirà la migliore protezione per il tuo ambiente virtuale.
Uno dei vantaggi tipici di un ambiente virtuale è la possibilità di utilizzare l'immagine "dorata" di una macchina virtuale, di cui abbiamo già parlato oggi. Da un lato, l'immagine "golden" è protetta dalle modifiche, se l'utente danneggia la macchina virtuale, è molto facile risolverla con l'immagine "golden". Ma questo non sostituisce la necessità di utilizzare l'antivirus. L'immagine "dorata" stessa, come già sappiamo, ha bisogno di essere regolarmente aggiornata. Cosa succede se l'immagine "dorata" viene infettata da un virus? Cosa succede al successivo riavvio delle macchine virtuali da 1.000 persone?

Questo è il motivo per cui ha senso utilizzare soluzioni che forniscono protezione per gli ambienti virtuali. Ad esempio, ho già menzionato il nostro partner Bitdefender: la sua soluzione Hypervisor Memory Introspection consente di scansionare la memoria dell'hypervisor in modo da non installare l'agente all'interno delle macchine virtuali e, di conseguenza, non sovraccaricarle con attività di rete e aggiornamenti. Tuttavia, se l'amministratore di un ristorante riceve un messaggio per posta con un allegato dannoso mascherato da menu di domani e salva questo allegato, nulla lo aiuterà, tranne una soluzione antivirus aggiornata progettata per funzionare in un ambiente virtualizzato. Una soluzione come Kaspersky Security for Virtualization utilizza un agente speciale che, lavorando in un'infrastruttura virtuale, controlla solo quegli hash che sembrano sospetti e il sistema notifica centralmente gli hash di queste macchine virtuali. Ciò riduce sistematicamente il carico sul sottosistema del disco e sulle risorse del processore.
E, naturalmente, non dimenticare l'accesso remoto sicuro, un sistema come Citrix NetScaler ADC fornisce le funzioni di rete più importanti: bilanciamento delle applicazioni di rete, protezione di applicazioni e risorse, organizzazione dell'accesso remoto alla rete aziendale di un'impresa, senza duplicare la funzionalità di soluzioni specializzate per garantire la sicurezza delle informazioni, ma lavorando come parte di un piano di continuità operativa. Ad esempio, la nostra soluzione NetScaler Web Application Firewall proteggerà il traffico delle applicazioni Web, le applicazioni Web stesse e le risorse di rete. Se un'organizzazione richiede la crittografia dei dati, ma non secondo lo standard americano utilizzato da Citrix, ma secondo lo standard approvato da GOST, offriamo soluzioni specializzate dei nostri partner, ad esempio l'azienda S-Terra, e un altro prodotto interessante " Gateway" della società Sovintegra fornisce l'autenticazione in XenDesktop secondo i certificati GOST. E se il data center principale dell'azienda smette di funzionare, NetScaler trasferirà gli utenti a un data center in standby utilizzando GSLB (capacità di bilanciamento del carico globale tra siti geograficamente dispersi) mentre un'appliance di replica dedicata ricostruisce il data center principale.

Il gioco vale la candela?

Non devi contare il ritorno sull'investimento per rispondere a questa domanda. Basta stimare cosa perderà la tua azienda in caso di distruzione di dati, tempi di inattività del sistema informativo e altri tipi di danni. Confrontalo con i costi che dovrai sostenere per l'acquisto di questo o quel prodotto: un sistema di virtualizzazione, un complesso antivirus, ecc. - così come la sua implementazione e formazione del personale per lavorare con esso.
Quindi, scegli un complesso software o hardware-software che risolva le attività di cui hai bisogno e il cui costo sarà piuttosto basso rispetto al possibile danno e acquistalo con calma.