仮想化とセキュリティ

2017年に企業だけでなく、教育機関や病院などの公的機関や個人ユーザーをも狙った新しいハッカーとウイルス攻撃に照らして、情報セキュリティのトピックは非常に反響しています。 現在のITセキュリティの問題と、仮想化が情報システムの保護に及ぼす影響について説明します。

現在の瞬間の独創性について

まず事実について話しましょう。 Kaspersky Labによると、1994年以降のウイルスの出現頻度は1時間に約1ウイルスでしたが、1秒に5〜6ウイルスに増加しました。 Bitdefenderは全体としてこの事実を確認しており、毎月1,200万を超えるマルウェアの新しいバージョンが出現すると信じています。 毎日40万人以上。 Mandiantの調査によると、組織は企業のセキュリティ侵害を検出するのに平均約5か月かかり、半数のケースでは、企業は問題を解決するために外部からの支援が必要でした。



Carbanakワームの流行は2年間で約10億ドルの損失をもたらし、世界30か国以上が影響を受けています。 この感染は、Microsoft Officeの脆弱性を悪用する電子メールメッセージに添付されたファイルを介して発生しました。 影響を受けるJPモルガン、HSBC、ハリファックス、バークレイズ、および合計100以上の銀行。 その結果、JPモルガンだけで5億ドル以上をITセキュリティに費やすことを計画しました。 Kaspersky Labによると、企業構造は平均して、サイバー攻撃からの回復に年間80万ドルを費やしています。 なぜこれが起こっているのですか？







まず 、現代のコンピュータープラットフォームは1990年代に開発されたため、2010年代後半のセキュリティ要件を考慮することが不可能でした。 これが、アンチウイルスシステムとファイアウォールがすべてのオペレーティング環境の必須のアドオンになり、アンチウイルスとオペレーティングシステムをタイミングよく更新しないと、必然的にシステムが脆弱になるという事実につながりました。



第二に、インターネットに接続されているクライアントデバイスの数が世界中で著しく増加しているため、ウイルスやマルウェアに対して脆弱です。 したがって、エンドユーザーの数は何度も増加しました。そして、コンピューターリテラシーのしきい値とコンピューターシステムのセキュリティのしきい値は、もちろん、非常に低いレベルに「スリップ」しました。



非常に症候性：誰もがサイバー犯罪の危険性を理解しているわけではありません。 平均して、ユーザーの73％は電子データに対する最大の危険性がサイバー犯罪者およびハッカーであることを認識していますが、これは100％ではないことに同意するでしょう（そして、誰がウォレットを盗むのかを尋ねると、100％が答えます-泥棒）。 興味深いことに、アメリカ人はアジア太平洋諸国の住民よりもサイバー犯罪者に対する警戒心がはるかに低く、61％対82人です。



第三に、多くの情報システム管理者が自分の仕事をすることができたため、もう少し良いとしましょう。 すべての企業構造に少なくともすべての更新プログラムが時間通りにインストールされていた場合、PetyaやWannaCryなどのウイルスにはまったくチャンスがありません。 定期的なデータのバックアップ、バックアップファイルのオフラインストレージ、管理者権限の制限、企業ネットワークのセグメント化などの手段により、被害は大幅に削減されますが、現在ではそれらについてでさえありません。



自分で判断してください。 Microsoft WindowsオペレーティングシステムのSMBネットワークプロトコルの脆弱性（後に（正確に言うと）WannaCryウイルスによって使用されました）は、2017年2月にMicrosoftによって公開されました。2017年3月14日-それほど迅速ではないが、どのように可能か-Microsoftサポートされているすべてのオペレーティングシステムの脆弱性を中和するように設計された一連の更新プログラムをリリースしました。



WannaCryの全体的な配布は2017年5月12日に始まりました。攻撃の最初の4日間で、150か国の約30万人のユーザーが影響を受けました。 パッチをインストールするのに2か月かかりました。 この観点から、攻撃の翌日にサポート対象外のオペレーティングシステムでも更新をリリースしたMicrosoftの前例のないアクションは、少なくとも素朴で、次のようなTwitterメッセージを書いた専門家からの理解できる苦情を引き起こしました。 Windows XPおよびWindows 2003のパッチのリリースを停止します。これにより、企業内の古いソフトウェアシステムを「および」廃止することができなくなるためです。 Windows XPのサポートを停止します。 彼女が名誉をもって死ぬことができないなら、ただ彼女を曲げてください...」。



自宅のコンピューターは、情報セキュリティチェーンの弱点であり続けています。 明確な良心を持つユーザーは、管理者アカウントを使用して継続的に作業します。 ユーザーのメンタリティは残酷な冗談を演じます。コンピューターに秘密のデータがなければ、彼らもハッカーにとって面白くないと信じています。 もちろん、彼らは自分のコンピューターがDDoS攻撃、またはせいぜいビットコインのマイニングに使用されているとは考えていません。



または、最近のレストランを攻撃します。 レストランの従業員は、menu.rtf、Olive Garden.rtf、またはChick Fil A Order.rtfという添付ファイルが添付された電子メールを受信しました。 添付されたRTFファイルはOLEオブジェクトを使用し、難読化されたJavaScriptコードを起動しました-RTFドキュメントを開くと、被害者は大きな封筒アイコンとダブルクリックでそれを開くという提案を確認し、その後、原則として攻撃者が抽出できるコードを自発的に起動しました企業ネットワークキャッシュフローを含むあらゆる情報...



ただし、簡単なルールがあります。送信しないで送信する場合は、送信したドキュメントを開いたりリンクをクリックしたりしないでください。 結局のところ、これは衛生規則であり、オペレーティングシステムとウイルス対策パッケージの最新の更新を維持することと同じくらい重要です。また、適切なスキルがあれば、未使用のサービスをオフにするなどです。

仮想化が役立ちます！

厳密に言えば、「仮想化」は「サイバー攻撃からの保護」を意味するものではありません。 ハイパーバイザーと関連サービスの目的は、情報システムの管理、リソースの提供、パフォーマンスの最適化、情報セキュリティに関連するすべての操作を組織が効果的に整理できるようにすることです。 これがすべて機能するために必要な条件は、それがどんなに退屈であっても、IT管理者によって研究されています。



たとえば、仮想マシンをオフにしたり停止したりしても、侵入者による攻撃から保護することを意味しないことを誰もがまだ知っているわけではないのはなぜですか？ それどころか、そのようなマシンは、攻撃の焦点、つまり「主な打撃の方向」になります。これは、保護が更新されないため、ウイルス対策データベースがウイルス対策データベースを更新できないためです。 同様に、ワークステーションの「ゴールデン」イメージは、原則として3〜4か月ごとに非常に不規則に更新されるため、まったく同じ脆弱性のポイントです。



したがって、一般的な場合、ターミナルサービスがローカルコンピューターで作業するよりも安全であると見なせるかどうかという一見単純な質問には、明確な答えがありません。 それはすべて、システムの構成方法に依存します。 理論的には、ユーザーのローカルデバイスには何もないため、ターミナルサービスはローカルマシンよりも安全です。 ワークロードが実際に発生する場所では、ユーザーはキーストロークとマウスクリックを送信し、代わりに画像の変更を受信します。セキュリティは完全に管理者の手に委ねられます。 しかし、管理者がルールに従わず、余分なポートを開き、追加のサービスを使用せず、職場のブロックを提供せず、接続場所と接続デバイスを確認しない場合、安全なワークステーションについて話すのはばかげています。 サービスの構成に関して最高のセキュリティプラクティスに従う有能な管理者は、仮想環境に最適な保護を提供します。



仮想環境の一般的な利点の1つは、既に説明した仮想マシンの「ゴールデン」イメージを使用できることです。 一方では、「ゴールデン」イメージは変更から保護されています。ユーザーが仮想マシンを破壊した場合、「ゴールデン」イメージで修正するのは非常に簡単です。 しかし、これはウイルス対策を使用する必要性を置き換えるものではありません。 「ゴールデン」イメージ自体は、すでにわかっているように、定期的に更新する必要があります。 また、「ゴールデン」イメージがウイルスに感染した場合はどうなりますか？ 1000人ごとに仮想マシンを再起動するとどうなりますか？







そのため、仮想環境を保護するソリューションを使用するのが理にかなっています。 たとえば、既にパートナーのBitdefenderについて述べました-そのソリューションHypervisor Memory Introspectionを使用すると、ハイパーバイザーのメモリをスキャンして、仮想マシン内にエージェントをインストールせず、したがって、ネットワークアクティビティや更新でエージェントを過負荷にしないようにできます。 確かに、レストランの管理者が明日のメニューを装った悪意のある添付ファイル付きのメッセージをメールで受信し、この添付ファイルを保存した場合、仮想環境で動作するように設計された現在のアンチウイルスソリューションを除いて、彼は何も助けません。 Kaspersky Security for Virtualizationのようなソリューションは、仮想インフラストラクチャで動作し、疑わしいと思われるハッシュのみをチェックし、システムがこれらの仮想マシンのハッシュを集中的に通知する特別なエージェントを使用します。 これにより、ディスクサブシステムとプロセッサリソースの負荷が体系的に削減されます。



そしてもちろん、安全なリモートアクセスを忘れないでください。CitrixNetScaler ADCなどのシステムは、最も重要なネットワーク機能を提供します-ネットワークアプリケーションのバランス、アプリケーションとリソースの保護、企業の企業ネットワークへのリモートアクセスの整理-特殊な情報セキュリティソリューションの機能を複製することなく、しかし、事業継続計画の一部として機能しています。 たとえば、Webアプリケーションのトラフィック、Webアプリケーション自体、およびネットワークリソースを保護することにより、NetScaler Web Application Firewallソリューションが提供されます。 組織がデータ暗号化を必要としているが、Citrixが使用している標準のアメリカ標準ではなく、GOSTによって承認された標準に従っている場合、S-Terraや別の興味深いGatekeeper製品などのパートナーからの特別なソリューションを提供しますSovintegraは、GOST証明書に従ってXenDesktopで認証を提供します。 また、会社のメインデータセンターが停止した場合、NetScalerはGSLB（地理的に離れたサイト間のグローバルロードバランシングの可能性）を使用してバックアップデータセンターで作業するようにユーザーを切り替えますが、データ複製用の専用ソフトウェアおよびハードウェアソリューションはメインデータセンターを復元します。

ゲームはろうそくの価値がありますか？

この質問に答えるために、投資利益率を考慮する必要はありません。 データの破壊、情報システムのダウンタイム、その他の種類の損害が発生した場合にビジネスが失うものを評価するだけです。 これを特定の製品（仮想化システム、ウイルス対策複合体など）を購入する際に発生するコストと比較してください。 -彼と一緒に働くための人員の実装とトレーニング。



次に-必要なタスクを解決するソフトウェアまたはハードウェアとソフトウェアの複合体を選択します。そのコストは、発生する可能性のある損害と比較して非常に小さく、落ち着いて取得します。