Autor: Danie D. Taylor
Quando o assunto é sistemas virtuais, a realidade nos mostra que as ameaças estão constantemente em evolução.
A virtualização permite que as empresas integrem seus sistemas operacionais, armazenamentos e datacenters. Esses ambientes virtuais permitem que as empresas dimensionem de forma mais eficiente e implementem novos serviços mais rapidamente. De acordo com a Forrester Research, 75% das empresas estão usando a virtualização de servidores ou passarão a usá-la até o final de 2014. Porém, essa mudança poderá trazer também uma falsa sensação de segurança.
"As empresas pensam que sistemas virtuais não precisam de nenhum cuidado especial em relação à segurança", afirma Candid Wueest, analista da Symantec. "E por isso deixam de incluí-los em um grupo de segurança especial. Além disso, um pequeno número de clientes ainda acredita que o malware não ocorre em sistemas virtuais, o que é claramente uma suposição ilusória."
Os sistemas virtuais estão tão suscetíveis ao malware quanto os servidores físicos. "Depois que o malware executa sua tarefa, não há muita diferença entre sistemas físicos e virtuais", afirma Wueest. "O impacto depende mais do conteúdo e dos serviços fornecidos por cada sistema."
Além disso, o malware foi criado especificamente para evitar que seja detectado em sistemas virtuais. Esses sistemas são basicamente uma série de arquivos no disco do servidor do host. Eles podem ser manipulados ou montados e, depois disso, podem ser propagados.
Ataques que podem se propagar
Os ataques realizados em sistemas virtuais podem se propagar para outros sistemas virtuais conectados à mesma rede. Os sistemas de detecção de intrusões ou as ferramentas de prevenção contra perda de dados não detectam esses ataques, pois as informações nunca passam por um servidor físico.
Um agressor pode também violar um servidor do host e criar um novo sistema virtual capaz de executar um ataque. Esse malware foi chamado de "Crisis" e pode atacar vários sistemas operacionais. Ele é adicionado como um arquivo Java e rouba as informações antes de tentar se propagar nos sistemas virtuais conectados.
Malware mais inteligente
Ao verificar arquivos específicos, chaves de registro ou endereços MAC, o malware detecta se está ou não sendo executado em um sistema virtual. Os analistas de segurança da Symantec estudaram 200.000 amostras de malware desde 2012 e 82% dessas amostras foram executadas com sucesso em sistemas virtuais, infectando os usuários.
Além disso, o malware vem sendo criado e recriado para evitar a detecção. A filtragem padrão de amostras suspeitas pode durar entre 5 e 10 minutos. O malware pode ser criado para atrasar sua execução de acordo com a hora, o número de cliques ou as reinicializações do sistema.
Proteção de sistemas virtuais
De acordo com Wueest, a inclusão é a melhor proteção. "As empresas devem incluir o sistema virtual no processo de segurança (como backups, aplicação de patches, monitoração, etc.) e considerar também os requisitos especiais desses sistemas virtuais. A atualização de capturas de imagens e a monitoração das redes virtuais são extremamente importantes."
Wueest dá as seguintes recomendações para as empresas que estejam buscando proteger seus sistemas virtuais. Outras práticas recomendadas podem ser encontradas neste webcast em relação à implementação de sistemas virtualizados.
- Fortalecimento: o servidor do host precisa ser bem protegido, uma vez que proporciona acesso a várias máquinas virtuais. Os administradores podem ajustar as políticas e whitelists para permitir que somente aplicativos confiáveis do sistema sejam executados.
- Proteção avançada contra malware:é necessário que seja implementada uma proteção com componentes proativos, que vão além das necessidades do verificador antivírus clássico. Dependendo da configuração, a proteção contra ameaças poderá ser implementada em cada máquina virtual separadamente ou sem agentes por meio do servidor de hospedagem, a fim de manter um alto nível de desempenho.
- Controle de acesso: os administradores deverão gerenciar apropriadamente o controle de acesso aos servidores de hospedagem de máquinas virtuais para garantir que somente usuários qualificados possam fazer alterações.
- Recuperação após desastres: as máquinas virtuais precisam ser integradas ao plano de continuidade dos negócios e recuperação após desastres. Os administradores devem adotar estratégias de backup e alta disponibilidade para os dados.
- Proteção da rede virtual: os administradores precisam garantir que as ferramentas de segurança da rede tenham acesso ao tráfego na rede virtual entre as diferentes máquinas virtuais no mesmo servidor do host.
- Atualização: as capturas de imagens e imagens de máquinas virtuais devem ser incluídas no ciclo de correção e upgrade para que sejam atualizadas quando implementadas.
- Criação de logs: as máquinas virtuais precisam ser integradas aos logs de segurança e sistemas de virtualização SIEM, como qualquer outro dispositivo de TI. Como as máquinas virtuais podem ser provisionadas dinamicamente e movimentadas pela rede, essas medidas também devem ser consistentemente incluídas no log.
Danie D. Taylor é um jornalista vencedor do prêmio Emmy ®, além de produtor de conteúdos e blogueiro, residente em São Francisco