itservice
itservice itservice
itservice itservice
itservice

Вредоносные программы научились заражать виртуальные машины

Виртуальные среды применяются для автоматического анализа и обнаружения вредоносных программ. Но, согласно исследованию Symantec, виртуальные машины (ВМ) становятся более распространенными в корпоративных рабочих средах, поэтому авторы вредоносных программ научаются писать код так, чтобы более эффективно атаковать данную инфраструктуру и избегать обнаружения.

В течение ряда лет виртуализация набирает популярность в компаниях, обеспечивая масштабируемость, продуктивность и гибкость. Свыше 70% планируют использовать виртуализацию серверов к концу 2015 года. Но виртуальные серверы подвержены тем же рискам, что и физические, наряду с рядом новых проблем.

Тем не менее, внедрение технологии виртуализации в бизнес создает новые векторы атаки, требующие рассмотрения, такие как мониторинг виртуальных сетей между виртуальными машинами. Существуют вредоносные программы, специально предназначенные для заражения виртуальных машин, и хакеры нередко нацеливаются на серверы хостинга.

Примерно 18% вредоносных программ распознает виртуальные машины и прекращает выполнение, если попадает на нее; но четыре из пяти вредоносных программ будут работать на виртуальных машинах, то есть эти системы тоже нуждаются в постоянной защите от вредоносного софта.

Вредоносные программы берут на вооружение новые приемы маскировки, например, ждут, когда произойдет несколько кликов левой кнопкой мыши, прежде чем расшифроваться и запустить свою полезную нагрузку.

Это может помешать автоматизированной системе сделать точный вывод о вредоносной программе за короткий срок. Группы, организующие целевые атаки, хорошо знают об этом и создают изощренные угрозы, ускользающие от автоматизированных систем обнаружения.

Дополнительным вызовом безопасности является необходимость поддержания актуальных снимков состояния.

Компании могут создавать снимки состояния своих виртуальных машин в определенный момент времени, к которым можно будет снова обратиться позже. Зачастую установленное программное обеспечение в снимках не обновляется. А значит, когда более старый снимок вводится в действие, например, при аварийном восстановлении, снимок оказывается устаревшим. Это может дать возможность злоумышленникам эксплуатировать старые уязвимости, пока следующий цикл исправлений не обнаружит и не обновит эту виртуальную машину.

Несколько виртуальных машин могут быть соединены через виртуальный коммутатор с целью организации виртуальной сети. Классическое средство защиты сети, такое как система обнаружения вторжений (IDS) или средство предотвращения потери данных (DLP), не обнаружит, что одна виртуальная машина атакует другую на одном и том же физическом сервере, так как трафик вообще не проходит через физическую сеть.

Виртуальные среды нуждаются в средствах защиты, выходящих за рамки классических, чтобы удовлетворить разнородные требования их динамичного и ориентированного на приложения подхода. Рекомендуются следующие приемы защиты виртуальных сред: регулирование политик и создание белого списка, чтобы разрешать выполнение только доверенных системных приложений; реализация продвинутой защиты от вредоносных программ с проактивными компонентами, выходящими за пределы классических статических антивирусов; надлежащий контроль доступа к центральным серверам виртуальных машин с целью обеспечения того, чтобы только правомерные пользователи могли осуществлять изменения; строгий процесс входа в систему, такой как двухфакторная аутентификация; создание плана аварийного восстановления.

Администраторы также должны следить за тем, чтобы такие средства защиты сети, как IPS или IDS, имели доступ к трафику в виртуальной сети между несколькими виртуальными машинами на одном и том же хост-сервере, и чтобы снимки состояния и образы виртуальных машин были включены в цикл исправлений и обновлений, а также в систему журналирования событий безопасности.

Большинство компаний уже реализовало виртуализацию или запланировало ее на будущее. Некоторые хакеры атакуют хост-серверы виртуальных машин. Встречаются вредоносные программы для взлома виртуальных машин. Злоумышленники способны заразить гостевые виртуальные машины, начиная с хост-сервера. Кроме того, существуют уязвимости, позволяющие вредоносной программе сбежать из виртуальной машины и заразить хост-сервер.
Применение виртуализованных систем в корпоративной среде приносит массу выгод, но такие системы требуют особого внимания к безопасности.

<<Вернуться на страницу статей.

-->