Снижение рисков в среде виртуализации: как отечественные продукты SpaceVM и vGate могут помочь российскому бизнесу?
Использование отечественных продуктов в сфере виртуализации может помочь бизнесу снизить риски, соответствовать законодательным требованиям и укрепить свою позицию на рынке. Рассказываем как.
С уходом VMware из России большинство заказчиков лишилось техподдержки, а значит и доступа к обновлениям. Однако отечественные компании не прекратили использовать решения американского вендора. Чем это чревато? С завидной регулярностью во всех продуктах VMware обнаруживаются критические уязвимости, которые производитель закрывает с помощью «заплаток». Но для злоумышленника не составляет труда найти список имеющихся уязвимостей в открытом доступе. Они имеют разный уровень опасности: от 1-го до суровых 10-ти пунктов. Эти баги могут стать удобным инструментом для злоумышленников, которые используют их при атаках на организации, применяющих американское решение виртуализации.
Хакер просто заказывает себе чашечку кофе в кафе, открывает общедоступный список брешей в VMware и начинает по нему работать. Как по учебнику, ведь для него такой список уязвимостей — азбука, с помощью которой можно взломать любое предприятие с VMware. Взлом с помощью этих дыр в системе намного проще, чем фишинг, и злоумышленник может атаковать очень много компаний.
Фактически мы говорим о типизированном решении для тех, кто хочет вывести из строя всю ИТ-инфраструктуру какой-либо небольшой организации или целой корпорации.
Когда мы пишем о полностью открытом доступе к «энциклопедии уязвимостей VMware», то говорим буквально, потому что все это общедоступно, хорошо структурировано и готово к использованию. В списке даже присутствует удобная сортировка по степени тяжести багов. Более того, на сайте cvedetails.com подсвечены страны, в которых сканеры обнаружили максимальное присутствие какой-либо конкретной уязвимости. И Россия представлена на таких картах достаточно красочно — красным цветом. На таких иллюстрациях можно увидеть распространение фатальных багов VMware с максимальным уровнем опасности 10 и высокой угрозой злоупотребления этой проблемой в нашей стране.
Ниже мы наглядно покажем уязвимости по типам воздействия:
Только за неполный 2024 год было обнаружено 6 уязвимостей с рейтингом более 9. А за 2022 и 2023 количество найденных подобных уязвимостей составило 15 и 25 соответственно.
Теперь ненадолго погрузимся в технические термины и пройдемся по некоторым самым критическим уязвимостям VMware.
После этого мы попросим наших экспертов прокомментировать простым языком весь спектр угроз.
Подробности уязвимости: CVE-2024-37080 — Опасность 9.8 из 10
Сервер vCenter Server содержит уязвимость, связанную с переполнением очереди при реализации протокола DCERPC. То есть злоумышленник, имеющий сетевой доступ к серверу vCenter Server, может активировать эту уязвимость, отправив специально созданный сетевой пакет, который может привести к удаленному выполнению любого (в том числе вредоносного) кода на данной инфраструктуре.
Подробности уязвимости: CVE-2024-22253 — Опасность 9.3 из 10
VMware ESXi, Workstation и Fusion содержат уязвимость использования после освобождения в USB-контроллере UHCI. Злоумышленник с локальными административными привилегиями на виртуальной машине может воспользоваться этой проблемой для выполнения кода в качестве процесса VMX виртуальной машины, запущенного на хосте. В ESXi эксплуатация содержится в песочнице VMX, тогда как в Workstation и Fusion это может привести к выполнению кода на машине, где установлена Workstation или Fusion.
Подробности уязвимости: CVE-2024-22252 — Опасность 9.3 из 10
VMware ESXi, Workstation и Fusion содержат уязвимость использования после освобождения в USB-контроллере XHCI. Злоумышленник с локальными административными привилегиями на виртуальной машине может воспользоваться этой проблемой для выполнения кода в качестве процесса VMX виртуальной машины, запущенного на хосте. В ESXi эксплуатация содержится в песочнице VMX, тогда как в Workstation и Fusion это может привести к выполнению кода на машине, где установлена Workstation или Fusion.
Подробности уязвимости: CVE-2024-22273 — Опасность 8.1 из 10
Контроллеры хранения на VMware ESXi, Workstation и Fusion имеют уязвимость чтения/записи за пределами границ. Злонамеренный субъект с доступом к виртуальной машине с включенными контроллерами хранения может использовать эту проблему для создания состояния отказа в обслуживании или выполнения кода на гипервизоре с виртуальной машины в сочетании с другими проблемами.
Подробности уязвимости: CVE-2024-22254 — Опасность 7.9 из 10
VMware ESXi содержит уязвимость записи за пределами границ. Злонамеренный субъект с привилегиями в процессе VMX может инициировать запись за пределами границ, что приведет к выходу из песочницы.
Общий вывод по уязвимостям
Суперопасные уязвимости в продуктах VMware представляют собой серьезную угрозу для безопасности информационных систем. Эти уязвимости могут привести к краху инфраструктуры, если они будут успешно реализованы злоумышленниками.
Суперопасные уязвимости — это уязвимости с высокой степенью риска, которые могут быть использованы для проведения масштабных кибератак. Они позволяют злоумышленникам получить полный контроль над системой, украсть конфиденциальные данные, нарушить работу критически важных сервисов и даже вызвать физический ущерб.
Примеры суперопасных уязвимостей включают в себя уязвимости, которые позволяют удаленно выполнить код, получить несанкционированный доступ к данным, отключить систему безопасности или изменить конфигурацию системы. Такие уязвимости требуют немедленного устранения, чтобы предотвратить возможные негативные последствия.
Для минимизации рисков, связанных с суперопасными уязвимостями, необходимо регулярно обновлять программное обеспечение, использовать надежные пароли и защитные решения, а также обучать персонал основам информационной безопасности. Кроме того, важно проводить регулярные аудиты безопасности и тестирование на проникновение, чтобы выявить потенциальные уязвимости и устранить их до того, как они будут использованы злоумышленниками. Но сегодня все эти меры с VMware — бесполезны.
Итак, проблема очевидна — бизнес может просто перестать функционировать из-за атак на виртуальную инфраструктуру VMware.
Как можно реально решить эту проблему?
Решение заключается в снижении рисков и минимизации тяжести инцидентов. Этого можно достичь за счет миграции на отечественные продукты виртуализации, например, на корпоративную облачную платформу SpaceVM разработки «ДАКОМ М» с использованием средства защиты информации vGate от «Кода Безопасности». Полная совместимость облачной платформы SpaceVM и сертифицированного по линии ФСТЭК vGate R2 позволяет применять данные продукты для организации защиты информации при создании информационных систем и аттестации следующих объектов:
- ГИС до 1 класса защищенности включительно;
- ИСПДн до 1 уровня защищенности персональных данных включительно;
- КИИ до 1 категории значимости включительно — АС до класса защищенности 1Г включительно.
Кроме того, одно из главных преимуществ миграции на российское ПО виртуализации — это отсутствие уязвимостей, о которых мы подробно писали выше. Таких багов либо нет, либо они быстро закрываются.
Платформа виртуализации SpaceVM уже получила признание за свои высокие функции безопасности. У SpaceVM нет обнародованных уязвимостей, в отличии от альманаха уязвимостей сбежавшей из России VMware. Это очень актуально для предприятий, стремящихся защитить свои конфиденциальные данные.
Еще одним преимуществом SpaceVM является высокий уровень настраиваемости за счет проприетарного контроллера от «ДАКОМ М». Его возможности позволяют предприятиям адаптировать свою ИТ-инфраструктуру под специфические требования, что особенно важно в условиях быстро меняющихся бизнес-условий. Гибкость, которую предлагает SpaceVM, позволяет организациям не только оптимизировать существующие процессы, но и более эффективно реагировать на новые вызовы и возможности на рынке. На данный момент платформа закрывает 80% функционала виртуализации VMware, при этом разработчики SpaceVM не собираются останавливаться на достигнутом, создавая технологии, направленные на решение первостепенных задач российских заказчиков.
Безопасность и функции гибкой настройки SpaceVM получили высокую оценку в рамках успешной эксплуатации на системах таких крупных компаний, как «РусГидро», АО «Объединенная судостроительная корпорация» и ПАО «ГАЗПРОНЕФТЬ», «Алроса», ГК ПАО «Россети», ПАО «Газпром», ЕВРАЗ, «Росатом», УК Глобал Портс, Концерн ВКО «Алмаз – Антей», АО «Атомэнергомаш» и многих других заказчиков.
Кроме того, проведя анализ деятельности компании «ДАКОМ М», можно сделать вывод о ее высокой компетентности в области разработки программного обеспечения. Компания обладает значительным количеством специалистов различного профиля, что позволяет ей осуществлять системный подход к проектам любой сложности. От системного программирования компонентов продукта операционной системы до разработки графических интерфейсов.
В отличии от ушедших зарубежных вендоров «ДАКОМ М» — вендор платформы виртуализации SpaceVM — имеет свой сервисный центр, который напрямую взаимодействует с командой разработки. Центр доступен каждому российскому заказчику, что позволяет максимально точно диагностировать проблемы и оперативно оказывать помощь при возникновении неполадок.
Другой столь же важный аспект снижения рисков — использование микросегментации, который позволяет существенно минимизировать тяжесть инцидентов. Один из ведущих продуктов в области микросегментации — vGate от «Кода Безопасности».
Межсетевой экран уровня гипервизора выступает как барьер между сегментами, например, отделом бухгалтерии и отделом разработки. Он может предотвратить несанкционированный доступ к сети и заблокировать распространение злонамеренного трафика.
Представьте себе ситуацию, когда отдел бухгалтерии получает зараженное письмо. Благодаря межсетевому экрану бухгалтерия отрезана от остальной сети, и вирус не распространяется по всей корпорации. Далее следует восстановление из бэкапа, и компания теряет только полдня работы, а не всю IT-инфраструктуру и репутацию. Этот бэкап может делаться очень часто, например, каждую ночь.
Микросегментация сети делает IT-инфраструктуру похожей на корабль, в котором много отсеков — если один отсек повреждается, его задраивают, и корабль плывет дальше. А когда хакер открывает «кингстоны» уязвимостей VMware — корабль идет ко дну. Чтобы этого не происходило и существует постоянное обновление российских ИБ-решений. Так, Код Безопасности анонсировал новую версию своего флагманского продукта vGate 495, который теперь поддерживает самые новые версии отечественной серверной виртуализации SpaceVM — начиная 6.5.0.
В условиях, когда ушедшие зарубежные вендоры не предоставляют поддержки, особенно патчи для обнаруженных критических уязвимостей, выбор правильного решения для защиты актуален как никогда. vGate 495 предлагает контроль администратора, который позволяет непрерывно анализировать действия в системе, и в случае подозрительной активности, например, скомпрометированных учетных данных администратора, пресекать масштабные удаления и копирования виртуальных машин.
Кроме того, возможность микросегментации сети, которая в ближайшем времени будет реализована в решении, не только удовлетворяет требованиям регуляторов, но и является эффективным средством по снижению количества инцидентов, а в случае неизбежного инцидента позволяет сильно минимизировать ущерб. Таким образом, vGate 495 может помочь бизнесу защитить свои данные и инфраструктуру от кибератак и утечек данных, а также привести ИТ-инфраструктуру в соответствие с требованиями российского законодательства в области защиты персональных данных.
Снижение рисков в виртуализации — это ключ к безопасности любого бизнеса. Миграция на отечественные продукты виртуализации, такие как SpaceVM от «ДАКОМ М», и использование межсетевого экрана vGate от «Кода Безопасности», могут помочь минимизировать последствия инцидентов и защитить компанию от серьезных негативных последствий взлома. Возможно, это именно то решение, которое вы ждете, и оно уже доступно. Узнайте больше о SpaceVM и vGate.
