Serveur minecraft

5 étapes essentielles pour sécuriser les réseaux scolaires modernes – Resoudre les problemes d’un serveur MineCraft

Le 13 avril 2020 - 13 minutes de lecture

Matthew J. Frederickson est directeur des technologies de l'information au Council Rock School District.

Après plus de 30 ans en informatique, le changement est la seule constante. J'adore le fait que ce travail apporte des opportunités constantes pour moi d'apprendre et de grandir. Malheureusement, si vous êtes comme moi, les dernières années ont vu une augmentation exponentielle du risque et une grave perte de sommeil.

J'ai un ransomware à remercier pour cela.

En 1989, le biologiste Joseph L. Popp a créé le premier ransomware, appelé AIDS Trojan, mais ce n'est qu'en 2013 que deux pirates russes ont réalisé que les gens les paieraient pour décrypter les fichiers qu'ils avaient cryptés. Avance rapide de quelques années, et les coûts des ransomwares pour les organisations sont désormais mesurés en milliards de dollars. Ce n'est plus un "gars vivant dans le sous-sol de ses parents"

c'est une grosse affaire.

Et cela ne ralentira pas de sitôt.

Selon Dark Reading, du 1er janvier 2019 au 1er septembre 2019, environ 50 districts scolaires ont été touchés par un ransomware. Au 16 décembre, ce nombre était passé à plus de 1 000. Selon le Département de la sécurité intérieure, cela ne fera qu'empirer. Dans une annonce d'automne, le DHS a déclaré que les cybercriminels visaient «les municipalités et les écoles

organisations qui ont traditionnellement des infrastructures et des processus faibles. »

Même si je n'ai jamais considéré que mon infrastructure était faible ou que mes pratiques manquaient, j'ai dû repenser ma façon de faire des affaires, car les perspectives ne s'améliorent pas. En 2019, le DHS a déclaré 91% (ou 94%, selon la présentation que vous écoutez) des violations de sécurité survenues à la suite de phishing. Cela signifie que nos utilisateurs sont notre plus grande menace. Pourquoi essayer de pirater un pare-feu alors que vous pouvez simplement deviner un mot de passe ou amener quelqu'un à cliquer sur un lien vers une vidéo de chat?

Pour fournir une certaine perspective, notre district est réparti sur 72 miles carrés, situé dans cinq municipalités distinctes, et dispose de deux écoles secondaires, deux collèges, 10 écoles élémentaires, une école alternative avec les niveaux 10-12 et deux bâtiments administratifs.

Nous avons environ 11 000 étudiants et environ 1 300 employés, ce qui signifie que mon département de 10 employés y compris moi-même et ma secrétaire soutenir environ 13 000 par jour. Nous avons déployé près de 6 000 ordinateurs portables et de bureau, plus de 8 000 Chromebooks et plus de 1 110 iPad et tablettes Android.

Nous sommes principalement une boutique Microsoft Windows, exécutant Active Directory, Office 365 et Google for Education. Nous avons des serveurs Windows hébergés dans un environnement VMWare, un SAN Fujitsu avec plus de 180 téraoctets et quelques serveurs Linux juste pour compléter les choses. Comme la plupart des districts scolaires publics de la maternelle à la 12e année, nous avons frappé le mur lorsqu'il s'agit de faire plus avec moins.

Utiliser l'ancien état d'esprit «ils ne passeront jamais par mon pare-feu» ne suffit tout simplement plus.

Le concept de défense en profondeur a évolué et changé. Il existe potentiellement autant de menaces internes qu'externes. Pour protéger adéquatement ce que vous avez, vous n'avez pas d'autre choix que de mettre en œuvre des ressources supplémentaires. NTous ne peuvent pas ou ne devraient pas être des solutions open source. Mais comment obtenir le financement dont vous avez besoin pour faire le travail dont vous avez besoin?

Tout d'abord, vous devez effectuer une évaluation des risques de sécurité de l'information. Cela permettra d'identifier ce que vous avez, sa valeur (pour votre organisation) et les menaces potentielles. Vous devez ensuite adopter un cadre pour la mise en œuvre de votre plan. Cela est nécessaire pour vous empêcher, vous ou quelqu'un d'autre, de simplement acheter des solutions sans considérer la situation dans son ensemble. Je recommande le NIST Cyber ​​Security Framework.

Une fois que c'est réglé, résolvez les problèmes les plus importants. Que faites-vous actuellement pour protéger votre réseau? Bien qu'un audit soit excellent, cela prend du temps. Et la mise en œuvre d'un cadre correctement peut prendre de 18 à 24 mois. Selon toute probabilité, vous avez déjà de grandes choses en place, mais vous avez probablement aussi des lacunes.

Pour nous, j'ai divisé ce que nous devions faire en cinq domaines simples.

Dedans dehors

La première étape consiste à vous assurer que vous disposez d'une protection adéquate séparant le réseau que vous avez construit (à l'intérieur) du reste du monde (à l'extérieur). Un pare-feu fera l'affaire, mais vous avez besoin d'un pare-feu de nouvelle génération (NGF). Ce qui sépare un NGF d'un pare-feu traditionnel est sa capacité à effectuer une inspection sur les sept couches du modèle de réseau OSI.

Il doit également disposer d'un système efficace de détection / prévention des intrusions (IDS) et être capable d'effectuer une inspection approfondie des paquets (DPI). DPI est lorsque le pare-feu devient un homme au milieu en agissant comme point de terminaison lors des transmissions sécurisées. Votre NGF devrait également avoir un pare-feu DNS, une fonctionnalité essentielle qui s'abonne à une liste de mauvais sites. Il bloque ensuite les demandes adressées à ces sites, empêchant les utilisateurs d'accéder à un site auquel ils ne devraient pas accéder.

Surveillance du réseau

En plus d'un NGF, vous avez besoin d'une surveillance du réseau qui fournit des données de session pour le trafic sur le réseau. Vous devez surveiller tous vos segments de réseau et établir une base de référence efficace. Vous ne pouvez pas savoir à quoi ressemble un trafic anormal si vous ne savez pas à quoi ressemble un trafic normal. Vous devez également segmenter tout votre trafic à l'aide de VLANS.

Si vous prenez en charge le BYOD (apportez votre propre appareil) et ce que le district scolaire ne propose pas ces jours-ci, ce trafic doit être segmenté jusqu'au pare-feu afin qu'il ne soit jamais exposé au réseau intérieur. La plupart des NGF prendront facilement cela en charge. Vous devez également développer des lignes de base pour chaque VLAN et détecter un comportement inhabituel. Ucompréhension ce qui se passe sur votre réseau est essentiel pour le protéger.

Une façon de collecter ces données sans impact sur le trafic consiste à utiliser les prises réseau. Ces appareils passifs se trouvent entre votre équipement réseau et capturent les données qui les traversent. Il existe d'excellents produits open source qui peuvent vous aider à analyser vos données et à établir des bases de référence, mais soyez averti ils nécessiteront de sérieux efforts pour être correctement configurés. Vous devrez également investir du temps, que ce soit en utilisant un produit open source ou commercial, dans la formation de l'appareil et l'établissement d'une base de référence fiable.

Gestion des identités et des accès

Le prochain domaine sur lequel se concentrer est la gestion des identités et des accès. Nous utilisons Active Directory intégré à la fois à Office365 et à Google Apps for Education. Nous suivons les meilleures pratiques en matière de création de comptes, d'audit de comptes et de suppression d'accès. Ce qui est délicat, car les utilisateurs peuvent se connecter à Office365 ou à Google à tout moment, de n'importe où, c'est savoir quand un compte utilisateur a été potentiellement piraté.

Nous utilisons tous les outils de création de rapports disponibles pour les deux plates-formes, donc lorsqu'un enseignant de 2e année se connecte au Nigéria mais enseigne toujours dans sa classe ici aux États-Unis, nous savons que son compte a été compromis.

Pour augmenter les rapports prédéfinis, vous devez toujours consulter les données du journal. Nous utilisons un agrégateur de journaux pour collecter et analyser les journaux de nos serveurs Active Directory. Il y a environ 30 événements (par exemple. connexions, déconnexions, comment une personne s'est connectée, etc.) répartis sur la sécurité, le système et le journal des applications que nous surveillons. Avec les rapports et les e-mails personnalisés, nous sommes informés lorsque quelque chose semble drôle, et nous pouvons être plus réactifs et efficaces pour arrêter les actions indésirables avant qu'elles ne deviennent des intrusions importantes.

Encore une fois, vous devez savoir ce qu'est la normale pour savoir ce qui est anormal. Par exemple, un élève du secondaire se connectant à son compte à 2 h 00 du matin n'est pas inhabituel. Mais un enseignant (enfin, la plupart d'entre eux) ou un élève du primaire qui se connecte à 2 heures du matin déclenche toutes sortes de signaux d'alarme pour nous.

Sauvegardes

Les sauvegardes sont souvent négligées. Ils sont devenus presque omniprésents: tout le monde le fait, mais ils ne se sont jamais vraiment assis et y ont pensé.

Outre la restauration du fichier supprimé accidentellement occasionnellement, pourquoi effectuez-vous des sauvegardes? La plupart des gens répondront: «Pour la reprise après sinistre». Donc, ma prochaine question est toujours: "Quel est votre objectif de point de récupération?"

C’est là que j’obtiens habituellement un regard vide.

Dans l'environnement actuel, nous ne nous contentons pas de sauvegarder pour récupérer le fichier supprimé occasionnellement. Nous sauvegardons pour nous assurer que notre environnement peut continuer à fonctionner en cas de catastrophe catastrophique, comme un ransomware.

Un district scolaire situé à quelques villes de nous a été durement touché l'année dernière. Ils utilisaient le même système de sauvegarde que nous utilisons depuis des années (et non, nous ne l'utilisons plus). Cela est devenu un problème pour eux car ils sont tombés dans la routine de faire des sauvegardes, mais sans jamais valider des sauvegardes entières ou les mettre hors ligne. L'ensemble de leur système de sauvegarde et toutes les sauvegardes ont été chiffrés par l'attaque, ils n'avaient donc absolument rien à récupérer.

Pour résoudre ce problème, en plus d'utiliser les meilleures pratiques pour tester et valider les sauvegardes, vous devez utiliser un système qui crée des sauvegardes immuables. Ceux-ci ne peuvent pas être modifiés. Ils ne peuvent être supprimés, et seulement après que leur durée de vie a dépassé. Cette valeur est définie lors de la création de la sauvegarde, elle ne peut donc pas être modifiée non plus.

Une fois que vous avez cette sauvegarde, placez-la dans un endroit inaccessible aux méchants. Nous utilisons AWS Glacier, un service Amazon spécialement conçu pour cela. J'ai également un ordinateur portable qui n'est pas sur le domaine et qui est uniquement sur le réseau pour copier mes fichiers immuables sur Glacier avant de le désactiver. À moins qu'un méchant ne soit en train de scanner mon réseau au bon moment et ne pense pas que je ne suis qu'un autre appareil BYOD, il n'aurait aucun moyen de savoir que j'avais des sauvegardes immuables.

Protection des terminaux

Enfin, il existe une protection des points finaux. Plus précisément, vos points de terminaison informatiques. Les autres points de terminaison Périphériques IOT, HVAC, caméras de sécurité, lecteurs de cartes et autres choses sur lesquelles vous ne pouvez pas installer un client doivent être sur un VLAN séparé et étroitement surveillés pour les périphériques inconnus et le trafic inhabituel.

Pour vos points de terminaison informatiques, vous devez vraiment avoir un analyste en cybersécurité assis sur chaque appareil, surveillant le comportement des utilisateurs et des ordinateurs, vous informant si quelque chose de drôle se passe. Malheureusement, ce n'est pas pratique, so nous en sommes venus à nous fier aux logiciels AV / programmes malveillants.

Le problème avec cela, cependant, est que la détection anti-virus / malware traditionnelle repose sur la cohérence des virus et des logiciels malveillants en termes de noms de fichiers, de tailles, de signatures, etc. Malheureusement, la plupart des virus se réécrivent de nos jours lorsqu'ils se répliquent.

Vous avez besoin d'un produit qui ressemble à un analyste de sécurité. nous a commencé à utiliser Deep Instinct avec une installation de preuve de concept pour s'assurer que cela fonctionnerait et était un bon ajustement. J'ai commencé par l'installer sur certains serveurs de test. L'encombrement était si petit que nous avons fini par le désinstaller et le réinstaller deux fois parce que je pensais l'avoir mal installé. Je l'ai installé à côté d'un outil AV / malware très robuste (un quatrième outil quadrant), et il n'y a eu aucun impact sur les performances du serveur. Il n'a rien trouvé, j'ai donc décidé de l'installer dans quelques-uns de mes laboratoires domaines que je considère comme les plus vulnérables.

En quelques secondes, sur la troisième machine sur laquelle nous l'avons installé, Deep Instinct a identifié un fichier qui, selon lui, «ressemblait à un ransomware-bot». J'ai mis le fichier en quarantaine et l'ai téléchargé sur VirusTotal. Ma solution AV / malware ne l'avait pas identifié, et je voulais voir si une autre solution le ferait. VirusTotal dispose d'environ 64 moteurs AV qu'il utilise pour analyser les fichiers téléchargés. Aucun d'eux n'a détecté le fichier comme un bot ransomware.

J'ai laissé le dossier en quarantaine et j'ai décidé de faire des recherches. Ce qui m'a étonné, c'est que trois jours plus tard, mon AV / malware a marqué le fichier comme un «agent ransomware».

Depuis l'installation, Deep Instinct a détecté et mis en quarantaine, sans aucune interaction de ma part, au moins trois tentatives de pénétration de notre réseau avec des ransomwares que nous avons pu corréler indépendamment. Cela fonctionne parce qu'il a un «cerveau» qui ne recherche pas des types de fichiers, des emplacements, des signatures ou simplement des comportements spécifiques bien qu'il le fasse simplement parce qu'il le peut. Il fait la chasse aux menaces que je m'attendrais à ce qu'un analyste de sécurité chevronné fasse sur mes machines.

Étant donné que la partie la plus vulnérable de votre infrastructure réseau est votre utilisateur, vous devez faire autant que possible pour surveiller tout ce qu'ils font sur votre réseau.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.