Sua nuvem foi violada, e agora?
Primeiro de tudo, respire fundo. Se você estava atento durante o ocorrido – e tem um modelo de segurança proativo em curso – você resistirá à tempestade que isso poderia lhe causar. Assim, o primeiro passo que recomendamos é estar preparado.
A preparação
Existem muitas similaridades entre uma violação física e aquela que pode acontecer em um ambiente de cloud. De forma que os mecanismos de preparação se mantêm. A grande diferença está no conjunto de ferramentas. Muitos provedores de nuvem oferecem agregação de log, visibilidade em redes virtuais e até a possibilidade de criar formatos de auditoria em nuvem. Para estar completamente pronto, você precisa organizar os seguintes pontos:
– Documentação (eletrônica ou física): em muitos casos, você precisará criar um protocolo de violação a ser seguido. Os provedores de nuvem, provavelmente, terão um próprio. No entanto, a documentação de dados e definições dos seus sistemas ainda serão de sua responsabilidade.
– Ferramentas de remoção física e serviços espelhados: ainda que suas máquinas virtuais estejam na nuvem, um servidor físico foi comprometido em algum ponto. Você precisa espelhar e isolar rapidamente este servidor. Essa tarefa precisa ser executada de maneira imediata. Lembre-se de que o espelhamento pode ser feito com a máquina virtual ligada ou desligada. Sua primeira ação não deve ser alterar o estado desta máquina. Você precisa documentar a situação e fazer uma cópia.
– Máquinas virtuais e físicas: existe uma grande possibilidade de você precisar exportar dados, cópias e outros recursos fisicamente, assim como virtualmente. Em alguns casos, você precisará promover alguns arranjos para transferir o equipamento físico afetado para uma análise posterior da violação. Seu provedor de nuvem poderá te ajudar a isolar o hardware impactado para um teste futuro.
A resposta imediata
Existem três regras mandatórias que você precisará seguir imediatamente, particularmente se o seu fluxo de trabalho está em uma máquina virtual ou rodando em nuvem: não altere a condição da máquina virtual ou a instância da nuvem. Se estiver desligada, deixa-a assim, se estiver ativa, também deixei-a desta maneira. Evite tentativas de acesso aos arquivos e não altere as definições.
O follow-up
Os próximos sete passos te ajudarão a superar essa violação e a tratar o problema.
Passo 1: crie espelhos das máquinas virtuais, das appliances virtuais e das configurações. Isso inclui também screenshots, log e configurações. Em alguns casos será necessário tomar notas do que aparece no monitor, na tela de gerenciamento ou em qualquer outro device de monitoramento. Programas ativos podem pedir uma documentação mais extensa da atividade da máquina virtual. Neste ponto, é imperativo que você não faça qualquer mudança no estado da nuvem ou da máquina virtual, isso pode alterar significativamente sua pesquisa. A máquina deve permanecer ativa até que você espelhe todo o processo.
Passo 2: proteja os dados temporários, tanto os físicos quanto os virtuais. Existe algum drive anexado ao servidor? O protocolo de comunicação DAS está em uso? Dados temporários devem ser imediatamente protegidos, documentados ou espelhados, em alguns casos fisicamente fotografados. Se um end-point que utiliza o serviço de nuvem também estiver comprometido, tenha certeza de que ele esteja com bateria suficiente e o mantenha conectado, mesmo quando for algo armazenado.
Passo 3: de maneira apropriada, derrube o recurso físico ou a instância virtual. Existem algumas forma de derrubar a máquina física – e outras para a instância virtual. Ambos são processos críticos durante esse momento de violação. Mas lembre-se, antes de promover qualquer alteração de estado no ambiente físico ou virtual, documente e espelhe tudo. Falo isso porque muitas máquinas virtuais e plataformas de nuvem utilizam armazenamento compartilhado, de forma que você pode ter algum trabalho extra aqui. Violações massivas podem força-lo a deixar sua plataforma de storage off-line por um tempo para espelhamento e coleta de evidências. Documente as LUNs, conexões e mesmo discos agregados que foram utilizados para a máquina virtual. Crie um espelho do disco virtual e tenha certeza de que todos os processos foram documentados durante sua investigação.
Passo 4: identifique todas as linhas de entrada, conexões, interfaces virtuais e portas da máquina virtual ou do ambiente de nuvem. Você precisará trabalhar com os times de segurança, rede, armazenamento e infraestrutura para documentar e entender como todas as configurações impactam o estado da nuvem ou máquina virtual violada. Colaboração durante momentos como esse é absolutamente crítica. Além disso, seu provedor de nuvem deve direcionar um time dedicado.
Passo 5: colete e classifique todas as mídias usadas durante o processo de resposta. Não é porque a violação aconteceu no ambiente de nuvem que você não precisa de uma documentação da parte física também. Essas violações também envolvem fotografias digitais, papeis e documentação de governança. Você precisa ter as mídias físicas e virtuais que serão coletadas do ambiente violado. Felizmente, ferramentas de gestão de nuvem podem ajudá-lo na agregação de logs e na identificação do estado da máquina virtual, podendo até mesmo oferecer um relatório com todo o histórico.
Passo 6: colete e guarde dispositivos, drives e evidências em uma área segura. Um protocolo apropriado recomendará que toda e qualquer evidência coletada seja armazenada em um local seguro. Nessa altura do processo, você já terá espelhos, retirado componentes físicos necessários e coletado toda a informação possível. Agora, você pode partir para análise e avaliação.
Passo 7: trate e responda. Se você ainda não está feliz, lembre-se que você experimentou apenas uma violação. Num nível mais elevado, você conseguiu compreender de onde partir a ameaça. Assim, sua tarefa final é trancar portas, serviços e outras áreas afetadas. Mas se você seguiu meu conselho inicial, você ainda permanece calmo e avalia as melhores formas para tornar sua nuvem segura para o futuro.
