Privacidade de dados Endpoint na nuvem é mais fácil do que você pensa
Blog Sysadmin A recente questão Synology Synolocker deve servir como um esguicho de água fria para qualquer fornecedor na indústria de tecnologia que o design e vender sistemas que são, em grande parte autônoma ou não gerenciado.
Conforme descrito em Reg. ontem , caixas Synology NAS estão sendo atingido por um pedaço Cryptolocker-like de malware apelidado Synolocker. Como Cryptolocker, o "ransomware" criptografa todos os seus arquivos e, então, pede um resgate para desbloqueá-los.
Como isso aconteceu eo que deve ser feito?
Erros foram cometidos na concepção, implementação e configuração de sistema recomendada de NASes da Synology que permitiu aos atacantes alvo voltado para a Internet Synology NASes e instalar malware que todos os arquivos criptografados nas NASes em questão.
Enquanto acontece que eu sei que os melhores recursos de segurança - como a autenticação de dois fatores - estão sendo planejadas pela Synology, há outras coisas que podem e devem ser feitas.
Todos os "root" ea senha "admin" para todos os pacotes devem ser alterados como parte do processo de configuração inicial para uma nova unidade de instalação. Estes também devem ser facilmente mutável na página de administração própria. Idealmente, se páginas administrativas precisam ser expostos, deve haver opções disponíveis tais que as páginas administrativos voltados para a Internet só são acessíveis a partir de contas sem privilégios.
Synology não deve ter quaisquer outros serviços em execução fora do mesmo servidor web - e muito menos as mesmas portas - como a página de administração. Se existem serviços que eu quero expor à internet, eu deveria ser capaz de fazê-lo individualmente, e absolutamente deve ser capaz de fazê-lo, sem nunca expor a interface de administração.
Estive pessoalmente acompanhando esta questão com Synology e ter-lhes dito o ponto em branco acima. Além disso, se quiserem ter alguma esperança de sobreviver ao rápido crescimento que está atualmente passando há alguns importantes - e caro - a segurança que muda absolutamente deve acoplar dentro
- Começar imediatamente uma auditoria interna total de todas as práticas de segurança em todos os pacotes suportados ea DSM oferta núcleo.
- Envolver-se em uma auditoria externa da página de administração do DSM e quaisquer outras "centrais" componentes DSM / protocolos que são expostos à internet.
- Comissão uma reescrita completa de "configurações recomendadas" com um olho para a segurança.
- Criar um processo de gestão de mudança, onde todas as novas mudanças estão vetados para a segurança antes de cometer.
Opcionalmente, eu gostaria de ver o trabalho Synology com um fornecedor do firewall para ter um firewall de camada de aplicação de classe portal oferecido como parte do pacote de Synology para ajudar a mitigar problemas desconhecidos no futuro.
É um cara perguntar, mas, apesar dos problemas dos últimos meses de segurança, eu gosto de produtos da Synology e tenho a intenção de continuar a usá-los. Eu gostaria de vê-los evoluir para produtos com a defesa mais completa em profundidade, mesmo se isso significa que eu vou ter que pagar mais.
Para além de um NAS
Synology NASes oferecem muito mais do que simplesmente o compartilhamento de arquivos ou capacidades de armazenamento de bloco. Eles oferecem tudo, desde e-mail para servidores LDAP, servidores web para antivírus. Um firewall de aplicação-aware adequado fornecido com o dispositivo seria um grande passo para a detecção e mitigação de ataques.
E isso - ali - é o componente chave que falta aqui: detecção de intrusão. O Synology não aparecem têm um fail2ban equivalente instalado.
Tudo isso é um problema a ser resolvido pela Synology porque um Synology DiskStation ou RackStation é mais do que apenas um NAS. Estas unidades são servidores full-blown com uma complexidade e capacidade que rivaliza com versões anteriores do Microsoft Small Business Server.
Como Synology cresce além de "apenas um servidor de arquivos" e torna-se uma "rede completa em uma caixa" aparelho, ele precisa adicionar detecção de intrusão, monitoramento completo soprado e até mesmo análise de configuração com remediação recomendada.
É provavelmente injusto para manter a empresa a um nível que nenhum dos outros fornecedores SMB NAS conseguimos alcançar, mas, em última análise, todos eles vão enfrentar a sua prova de fogo também. Escolha uma casa aleatória NAS e há uma longa lista de vulnerabilidades. Estes fornecedores também vão querer ser mais coisas para mais pessoas e eles também vão correr de frente em exatamente os mesmos problemas.
Responsabilidade partilhada
A segurança é uma responsabilidade compartilhada. Assim, embora talvez Synology precisa de um punho na cabeça para fazer o erro monumental de confiar que o seu próprio código é seguro, existem milhares de administradores de sistemas e usuários finais que merecem uma surra sobre o nariz com um jornal para confiando cegamente que qualquer empresa navios de produtos segura o suficiente para expor uma interface administrativa para a internet.
As empresas muitas vezes o tamanho da Synology ainda tem problemas com a segurança, muitos deles tão grave. Microsoft levou uma década para se reinventar como uma empresa de "segurança em primeiro lugar" após o apocalipse viral desastroso Windows XP, e ainda tem problemas de segurança em uma base regular. Se qualquer um de nós pensou por um segundo que pudéssemos lançar o painel de administração para qualquer dispositivo - de nosso roteador para casa para os nossos NAS às nossas lâmpadas de internet ligado - para a internet, devemos chegar em nossas cabeças de leitura.
Algumas empresas estão colocando dinheiro em encontrar novas soluções para estes "internet das coisas" problemas, mas os problemas persistem. Automatizando defesa em profundidade - e ter que trabalhar fora da caixa por padrão - não é fácil. Ainda é necessário que nos envolvemos nossos cérebros antes de usar equipamentos de TI de qualquer fornecedor.
É nosso trabalho como administradores de sistemas de nunca assumir que qualquer produto, aplicação ou serviço que usamos é seguro. É nosso trabalho para aprender o máximo que pudermos sobre como os produtos que implantar operar para que possamos protegê-los da forma mais completa possível.
No mundo de hoje aparelho e internet-de-coisas, não só você ainda precisa de firewalls, servidores proxy, gateways de camada de aplicação e sistemas de detecção de intrusão, mas eles são mais críticos do que nunca. A segurança é o máximo da responsabilidade do administrador de sistema, pois é do vendedor.
A resposta de Synology
Além das medidas acima descritas, há um monte de reuniões internas que ocorrem em Synology onde planeja não só para descobrir como resolver a crise atual, mas a forma de evitar que ele volte a acontecer. Enviei a firma meus dois centavos (conforme acima) sobre a forma de resolver isso.
A fabricante de caixa NAS certamente colocou um monte de respostas de usuários em mídias sociais nos últimos dias ou assim - que vão desde a pragmática de variantes menos educadas.
Eu pessoalmente tenho confiança Synology para apoiar as empresas de meus clientes há anos. Eles fazem os servidores de armazenamento confiável e de alto desempenho que provaram mais do que suficiente para as tarefas que têm colocado diante deles. Faço uso dos muitos pacotes para download para criar um servidor de pequena empresa que veio para substituir muitos dos meus mais velhos implementações Microsoft SBS.
Isso funciona hoje, em um mundo IPv4 onde posso agachar estes sistemas para baixo atrás de um firewall e não expô-los à internet. Mas uma grande parte da proposta de valor da Synology é cada vez mais a capacidade de acessar remotamente os arquivos e serviços nesses dispositivos. IPv6 também vai fazer tudo em nossas redes endereçável publicamente e trazer um novo modelo de ameaça em jogo que Synology precisa estar pronto para lidar com eles.
Diante disso, eu não estou pronto para arrastar Synology fora e crucificá-lo por seus erros. A crise atual está se preparando para ser cadinho da Synology. Como ele lida com isso irá determinar a sua viabilidade a longo prazo, especialmente porque Synology move de luxo para a empresa. ®
Nenhum comentário:
Postar um comentário