Зачастую информационные системы призваны обеспечивать обработку данных разных категорий и для различных целей. Благодаря технологиям виртуализации, эксплуатация этих систем становится более удобной, гибкой и экономически оправданной. Но при создании виртуальной инфраструктуры часто забывают или не учитывают вопросы ее безопасности. В то же время инфраструктура, опирающаяся на технологию виртуализации, приобретает звенья, компрометация которых приводит к возможности несанкционированного доступа ко всем виртуальным компьютерам и обрабатываемой ими информации. Такими звеньями становятся гипервизор и средства управления виртуальной средой.
Используя функции гипервизора, злоумышленник способен совершать любые действия в виртуальной инфраструктуре, при этом скрывая их от систем защиты. Информация может быть изменена злоумышленником путем выполнения кода вне оперативной памяти виртуальной машины (ВМ), где его действия были бы зафиксированы используемыми сегодня классическими средствами защиты.
Рис. 1. Статистика уязвимостей на базе CVE
За последние несколько лет наблюдается заметное увеличение числа уязвимостей в критических компонентах виртуальной инфраструктуры, которые могут приводить к нарушению состояния безопасности ВМ. Статистика уязвимостей для трех наиболее популярных и распространенных платформ виртуализации – VMware, Citrix и Microsoft – говорит о необходимости повышения интереса к этой теме.
Количественно данные уязвимости не сопоставимы с уязвимостями в продуктах Adobe или Microsoft, однако теоретически могут повлечь гораздо большие риски. Отметим, что большинство из них связаны с попытками запуска произвольного кода, повышения привилегий и отказом в облуживании.
Среда виртуализации добавляет к существующему инструментарию злоумышленника дополнительные векторы атаки, используя которые, он может нарушать состояние защищенности информации и без использования уязвимостей в программном обеспечении. Ведь кроме непосредственно уязвимостей есть еще и ошибки в конфигурации, отсутствие журналирования или процедуры контроля действий пользователей. Новая среда создает новые угрозы.
Рис. 2. Типы уязвимостей на базе CVE
Ярким примером опасности этих рисков является случай, произошедший не так давно с японской компанией Shionogi, работающей в США. Уволенный сотрудник ИТ-отдела подключился к консоли управления VMware vSphere Client, доступ к которой из Интернета он обеспечил себе до увольнения. Затем отключил и удалил все 88 виртуальных серверов компании. Действия злоумышленника привели к потере $800 000 и остановке работы компании на несколько дней, понадобившихся для восстановления всей инфраструктуры. Безусловно, это не пример прямой атаки на среду виртуализации, однако он показывает, насколько опасным может быть пренебрежительное отношение к безопасности в виртуальных средах.