Zombie-servrar kommer att döda dig

Du trodde att den var begravd. Du glömde. Någon dokumenterade det inte. Ett ping svep hittade det inte. Den låg där, död. Ingen hittade det. Men det fanns en puls: Den går fortfarande och den lever. Och det är förmodligen enastående.

Något undersökte det för länge sedan. Hittade port 443 öppen. Knäppte den som en Porsche 911 på Sunset Boulevard på en regnig lördagskväll. Hur blev det knekt? Låt mig räkna vägarna.

Nu är det en zombie som bor i din tillgångsrik.

Det spelar ingen roll att det är en del av din elräkning. Det äter långsamt din lunch.

Det spelar ingen roll att du inte hittar det eftersom det är att hitta du.

Den lyssnar tyst på din trafik och letar efter de enkla, okrypterade grejerna. Det har förmodligen några anständiga lösenord till din routerkärna. Den NAS-aktien med MSChapV2? Ja, det var lätt att smälta. Synd att lösenordet är detsamma som det för varje NAS i varje filial från samma leverantör. Synd krypterar NAS-enheterna inte trafik.

[SÄKERHET: Meme of Week: Password Shenanigans]

Och certifikaten på de Wi-Fi-routrar som du installerade så dyrt redan 2009? Förstår du hur deras certifikat komponerades? Såg du ens inuti en av dem att upptäcka att alla cert är samma - ingen är unik - och alla var krypterade med ett abacus? Zombier förstår ett gräl.

Vänta, du säger att någon är ansluten till en väggkärlserver, eller kanske en kewl Raspberry-aromatiserad PoE gjorde vägen in i ditt kabelsystem, vänster om, vi vet inte exakt vem som gjorde det.

Zombie-servrar finns där. De lever.

Och så…

... Tyst om uppdateringar

I ExtremeLabs-anläggningen och fjärr NOC på Expedient har jag många maskiner och rikligt med fler VM-apparater och containrar. De får automatiska uppgraderingar, sparar VM: er som användes för tester. De frysas i tid, läggs i djupfrysningen av en gammal Compellent (nu Dell) SAN och raderas sedan efter ett år. Adjö.

De allra flesta uppdateringar, leverantörsskickade korrigeringar och korrigeringar, och till och med drivrutinuppdateringar utförs i väntan på nytt (ser på dig, Microsoft).

Det fanns en dag för inte länge sedan, då det var en bra praxis att ignorera automatiska uppdateringar eftersom uppdateringar inte var väl kontrollerade av leverantörer. Brist på regressionstest, omöjliga att testa-variansproblem och "åh, gjorde du det?" mysterier betydde att explosioner var vanliga. Detta ledde till att organisationer gör applikationer infrastrukturgeneriska, av boken och utan användning av tredjepartsprodukter som kan införa fel.

Det är grovt eller omöjligt att göra det idag. Gilla det eller inte, det är en heterogen värld. Du kan inte längre noggrant bygga väggar, till och med operativsystem förekommer kring kritisk infrastruktur (vad är inte kritisk affärsinfrastruktur idag?) Inklusive hypervisorer, sandlådor, containrar, unikernels och andra väggar så att systemfel inte kraterar affärsbranschen appar.

Vad behöver du göra?

  1. Gå faktiskt runt din infrastruktur och inspektera den och letar efter, ja, zombie-hårdvara och omärkta kritiska tillgångar.
  2. Öppna varje enskild hyperviserad, containeriserad (t.ex. virtualiserad) värd i hela domänen (inkluderat moln) och ta reda på det exakta syftet med varje instans som körs. Och om varje värd får uppdateringar, ta reda på vad dess patchnivå verkligen är.
  3. Skriv ner resultatet som ett granskningssteg.
  4. Gå igenom vart och ett av dessa kvartalsvis. Alla program för skydd och upptäckt av inkräktare på planeten tillåter en viss grad av normalisering. Stäng av normalisering i en vecka i veckan när ingen är på semester. Lyssna på trafiken. Återkalla regler för upptäckt / inspektion. Det är OK att automatisera denna process. Gör det bara.

I slutet av dagen har du The List. Konsolidera det. Undersök det. Få ett nytt ögonpar (eller mer) på listan. HANDLA PÅ DET. Lås upp listan efter att ha agerat på det du hittar. Gör det sedan igen.

Det finns zombiebots som väntar på att du ska glida upp.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.