Cokoliv, co ovlivňuje obrat, určitě získá něčí okamžitou pozornost. Telekomunikační tým zkontroloval nastavení naší aplikace Cisco Call Manager i VoIP brány – a vše bylo v pořádku.
Trochu překvapivý zdroj
Linka technické podpory však následně dostala i řadu stížností na příliš pomalé připojení k internetu, a to ze stejného vývojového centra. Někteří lidé se rozhodli přivolat na pomoc i bezpečnostní oddělení.
Šéf našeho oddělení pro správu sítí, který je také odpovědný za administraci firewallů, mi zaslal zprávu, která hned získala mou pozornost: „Přijď se na to raději podívat.“ Ukázal mi protokoly firewallu chránícího vývojové centrum, které byly plné odchozích spojení přes port 445 do několika míst v internetu.
Museli jsme tuto aktivitu rychle zarazit, aby se přístup k internetu a funkce telefonní služby obnovily. Náš pokus zablokovat odchozí provoz na firewallu nebyl úspěšný, protože protokoly vytížily prostředky firewallu natolik, že jsme na něm nemohli udělat vlastně vůbec nic.
Síťový inženýr tedy umístil seznam řízení přístupu na jeden ze směrovačů, což mu nakonec umožnilo upravit pravidlo zasaženého firewallu a zablokovat škodlivý provoz. Toto opatření zase zpřístupnilo internet a telefonní služby, takže se tím vyřešily bezprostřední problémy. Co je ale způsobilo? Náš inženýr měl naštěstí zálohu protokolů, takže jsme mohli data v klidu analyzovat.
Kontrola ukázala, že IP adresy generující provoz byly přidělené učebně. Lektor mi prozradil, že účastníci jednoho z kurzů instalovali bitovou kopii serveru na desktopy v učebně a na rozdíl od běžného protokolu učebny připojili virtuální stroje přímo do podnikové sítě.
Zjistili jsme, že tyto virtuální stroje neobsahovaly žádný antivirový software a nebyly záplatované více než dva roky, takže jsme spustili antivirový program a jeden z těchto virtuálních strojů zkontrolovali. A najednou bylo vše jasné.
Virtuální stroj byl infikovaný virem, jehož vlastnosti odpovídaly aktivitám, jež způsobily odepření služby. Tedy ve skutečnosti bylo nakažených všech 30 desktopů ve třídě. A to nebylo ještě to nejhorší.
Nainstalované bitové kopie vycházely ze základní bitové kopie udržované u poskytovatele cloudu, která sama obsahovala virus, což vysvětluje, jak se nakazilo všech 30 strojů.
Bez oprav
Zkontaktoval jsem osobu, která nesla odpovědnost za provisioning bitových kopií virtuálních strojů, abych zjistil, proč se nepodnikly kroky, které by takové infekci mohly zabránit. Vysvětlila, že před pár lety některé opravy způsobovaly nestabilitu bitových kopií, takže se instalace patchů zastavily.
Pokud jde o antivirový software, zmíněný člověk prohlásil, že neměl rozpočet, aby ho nainstaloval na více než 1 500 bitových kopií systému Microsoft Windows. Možná že mě mělo takové vysvětlení uklidnit, ale nedokázal jsem skrýt své zděšení.
Patnáct set bitových kopií virtuálních strojů mělo minimální nebo žádnou ochranu před virovou infekcí! A tyto bitové kopie se pravidelně používaly v několika našich odděleních v počítačích, které jsou připojené do podnikové sítě.
Okamžitě jsem požádal o schůzku našeho šéfa IT i viceprezidenty oddělení, která nasazují virtuální stroje. Žádal jsem okamžitý mandát pro skenování všech bitových kopií, instalaci našeho podnikového antivirového softwaru, instalaci všech oprav a zavedení procesu, který by zajistil shodu bitových kopií s procesem správy oprav v naší společnosti.
To vše jsem musel stihnout během jediného pracovního dne.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
Článek vyšel v Computerworldu 4/2015. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU