O Guia Essencial para Transformação de TI
Sysadmin falhas do blog de segurança são uma grande fonte de inter-empresa FUD marketing, mas é como uma empresa responde a eles que determina o quão confiável são. Você pode apostar o seu negócio - ou seus dados pessoais - em uma empresa que simplesmente escovas falhas sob um tapete? Onde termina a responsabilidade do fornecedor ea do cliente começar?
À medida que a "internet das coisas" torna-se a nova realidade, há um número crescente de computadores "não gerenciados" conectados à internet. Estes variam de automação residencial, para o Google Nest , para uma diversificada gama de sensores industriais - e até mesmo os controladores de gerenciamento de banda base que fornecem luzes apagadas de gestão para os nossos servidores.
Este último é um canário importante para os problemas que a Internet das Coisas vai apresentar. A BMC é um computador em seu próprio direito. Estes pequenos computadores integrados permitem que os administradores para acessar remotamente os servidores maiores e mais poderosos que servem em um nível "baixo" do sistema operacional. Isso permite que os administradores para atualizar remotamente BIOS a maior do servidor, alterar as configurações de firmware ou instalar sistemas operacionais.
BMCs tipicamente aderir ao padrão IPMI, muitas vezes com reviravoltas únicas, características e funcionalidades, dependendo do fabricante. Eles vão por nomes diferentes, dependendo do fabricante: HP chama sua ILIO implementação; Dell tem DRAC; Supermicro simplesmente usa IPMI.
BMCs borrar as linhas entre os computadores gerenciados e não gerenciados. Os servidores que o BMCs são projetados para aumentar normalmente são mantidos ativamente. Infelizmente, enquanto os sistemas operacionais de servidores e aplicações, muitas vezes recebem patching regular, varreduras de segurança e assim por diante, o BMCs são muitas vezes negligenciados.
Vulnerabilidades e como você lida com eles
A resposta mais simples que qualquer empresa fornecer é a emissão de correções para problemas conhecidos. Um pesquisador de segurança detecta e problema, levanta-a com a empresa em questão e - em um mundo perfeito - que a empresa cria um patch e libera-lo para os clientes a instalar.
Isso nem sempre acontece. Existem roteadores domésticos vulneráveis inúmeras ainda em serviço que nunca verá patches. Estes servem como exemplos de quão negligentes muitas empresas estão sobre esses tipos de questões.
Supermicro foi recentemente nas notícias sobre as vulnerabilidades de segurança em suas implementações BMC. Eles não são de forma a única empresa a ter BMCs com vulnerabilidades de segurança, mas a sua resposta para a questão é digna de consideração mais profunda.
Felizmente, ao contrário de muitas das empresas produzindo o roteadores domésticos, a Supermicro fazer questão manchas . O que os torna dignos de interesse é que, em vez de prender a essa postura reacionária básico, Supermicro escolhe ir um pouco mais além.
De acordo com Zachary Wikholm, engenheiro sênior de segurança da Cari.net, a Equipe de Resposta a Incidentes de Segurança (CARISIRT) tem sido cooperativa . Quando perguntado sobre questões específicas de segurança da BMC, eles não simplesmente fornecer algumas declarações de marketing pré-enlatados, mas ajudar os pesquisadores a escavar em outras questões, mesmo quando sabem que as informações sobre esses problemas de segurança será publicado.
Tive a oportunidade de conversar com Arun Kalluri, gerente sênior de produto da divisão de soluções de software da Supermicro, e fez algumas perguntas duras, na esperança de obter uma melhor idéia da abordagem da Supermicro para a segurança. Considerando-se que a Supermicro está muitas vezes retratado como "nada mais do que um fornecedor whitebox", eu queria cavar o Supermicro poderia - e é - fazendo isso vai além de simplesmente reagir. Como as empresas optar por responder a estas questões é sempre de grande interesse para mim.
Concorrentes Supermicro HP, Dell, IBM e assim por diante, todos têm D departamentos enorme R &. Seus recursos vastamente superam qualquer coisa Supermicro pode trazer para suportar. Reconhecendo isso, parece que a abordagem da Supermicro é a renunciar ao sigilo típico vendedor e chegar a tanto a comunidade de segurança e da comunidade de pesquisa acadêmica.
Nenhum comentário:
Postar um comentário