Právě se našlo 30 serverů, za které nikdo nenesl odpovědnost. Třicet serverů dostupných z internetu bez ochrany proti malwaru a bez instalovaných záplat. Musím se uklidnit a zjistit, jak špatné to je a co můžeme udělat, aby se takové situace již nikdy neopakovaly.
Vyšlo to najevo, protože shromažďuji metriky, které mohu prezentovat našemu šéfovi IT při jeho čtvrtletní kontrole. Je mezi nimi mimo jiné i počet našich nespravovaných prostředků. To je číslo, u kterého vždy budeme chtít vidět pokles.
Úplná eliminace nespravovaných prostředků je pravděpodobně mimo naše možnosti, nicméně aspoň je chci dostat do našeho vývojového prostředí a udržet je mimo demilitarizovanou zónu, která je částí sítě vystavující aplikace a infrastrukturu okolnímu světu.
Naše produkční prostředí je za firewallem, který mu tak zajišťuje ochranu před sítí oddělení výzkumu a vývoje, kterou sám nazývám „velmi Divokým západem“.
Snažili jsme se přimět personál z tohoto oddělení, aby lépe spravoval své prostředky, ale pracovníci mají tolik izolovaných požadavků, že to zkrátka nelze plnit. Než abychom bojovali v bitvě, kterou nemůžeme nikdy vyhrát, umístili jsme jejich zdroje za jejich vlastní firewall a nastavili pravidla, která omezují, co jejich prostředky mohou dělat a kam mohou přistupovat.
Protože si ale myslím, že jsme tak silní, jak silný je náš nejslabší článek, důrazně prosazuji správu konfigurace v naší produkční síti. Cílem je dodržení této zásady u prostředků dostupných z internetu.
Metrika nespravovaných prostředků se vytváří skenováním prostřednictvím produktu Nessus a porovnáním s údaji, které nám provozní personál sdělí ohledně možné správy. Rozdíl tvoří počet nespravovaných systémů.
Objevené zranitelné servery
Samozřejmě mě šokovalo, že Nessus objevil 30 serverů dostupných z internetu, které se neobjevují na správní konzoli našich podnikových systémů. Hned, jak jsem se probral z úvodního šoku, jsme zkontrolovali tyto servery ručně.
Kromě selhání v oblasti malwaru a záplat (žádné aktualizace za více než šest měsíců) jsme také zjistili, že některé z těchto nespravovaných prostředků jsou linuxové servery s nainstalovanými kompilátory open source kódu.
Některé z nich dokonce měly spuštěné výchozí služby, které jsou přinejmenším riskantní, jako jsou třeba Telnet nebo FTP.
A ještě zbývá zjistit, kdo tyto servery provozuje. E-mail s touto otázkou, zaslaný veškerému IT personálu, zůstal bez odpovědi. Dobře, takže dalším krokem je vypnutí portů přepínačů, ke kterým jsou tyto servery připojené, a uvidí se, kdo se ozve.
Trvalo to déle než tři dny, ale nakonec někdo z jednoho podnikového oddělení přece jen provoznímu týmu IT zavolal. Ukázalo se, že poskytovali servery zákazníkovi kvůli ověření nějakého konceptu.
Toto oddělení to mohlo udělat díky tomu, že jeden z jeho správců býval členem IT týmu a stále měl přístup pro Lab Manager, což je server centralizované správy sloužící ke spouštění virtuálních strojů.
Tento správce navíc uvedl, že si myslel, že Lab Manager umístil servery jen do sítě oddělení výzkumu a vývoje a ne do demilitarizované zóny.
Jaké je poučení?
V tomto příběhu tedy nefiguruje žádný padouch, ale zcela zjevně u nás existují určité procesní nedostatky. Podle našich zásad mělo dojít při odchodu správce z oddělení IT ke změně hesla pro Lab Manager.
Dále jsme měli nedokumentované servery se zákaznickými daty, což odporuje přijatým bezpečnostním zásadám. Proč ale nedošlo k žádnému upozornění e-mailem nebo k jiným oznámením z Lab Manageru, že došlo k poskytnutí serverů?
Chci také zjistit, proč zprovozněné servery neodpovídaly instalaci naší předdefinované výchozí bitové kopii, která obsahuje náš software pro správu systémů, záplaty, antivirový software a zabezpečený operační systém.
Napadá mě ještě jedna další otázka: Proč nám náš systém SIEM (Security Information and Event Management, správa událostí a informací zabezpečení) nenahlásil, že se v naší demilitarizované zóně objevily nové IP adresy? Tím se určitě budu muset vážně zabývat.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
PŘEDPLATNÉ
ČLÁNKY DO MAILU