کار مرکز ماهر شده انتشار اخبار آسیب پذیری های معروف و شناخته شده روی برندهای معروف دنیا با تاخیر فراوان! هر روز تماسهایی داریم از مشتریان که امروز مرکز ماهر بیانیه فوری داده که فلان آسیب پذیری کشف شده بعد از بررسی متوجه می شیم که غالبا این آسیب پذیری ها مال چند ماه قبله و الان هیچ خطری ندارن!
ای کاش مرکز ماهر میومد و آسیب پذیری های UTMهای داخلی و نرم افزارهای محلی رو کشف و منتشر می کرد! سیستمهای تولید شده داخلی پر هستند از آسیب پذیری هایی که هیچ مرجعی اونها رو بررسی و منتشر نمی کنه. شرکتهای خارجی هم انگیزه و علاقه ای برای بررسی و آنالیز آسیب پذیری های سیستم های داخل ایران ندارن!
اینجا یک گپ بزرگ وجود داره که همه ما رو تهدید می کنه.

دیروز یک سئوال چالشی مطرح کردم که دوستان پاسخ درست ارائه نکردند:
یک سئوال چالشی!
در یک شبکه بزرگ تعداد زیادی Host روی بسترهای VMWare و Hyper-V و بعضا Citrix Xen Server داریم که تعداد زیادی VM روی آنها وجود دارد. بعضی از VMها Workgroup هستند. شبکه از نظر امنیتی Hardening شده است. مشکل اینجاست که آمار متمرکزی از VMها روی بسترهای VMware و Hyper-V و Xen Server نداریم. این آمار را چگونه تهیه می کنید؟

اما پاسخ:
آنتی ویروس ها به عنوان یک ابزار الزامی در شبکه های بزرگ هستند که می تونن کاربردهایی بسیار فراتر از آنتی ویروس داشته باشن. بخصوص در شبکه های Hardening شده. ایین اطلاعات با استفاده از آنتی ویروس شما به راحتی بدست میاد.

تصاویری از کنسول Symantec:

شما با استفاده از این ابزار می تونید اطلاعات بسیار جالبی رو در مورد شبکه خودتون بدست بیارید. مثلا لیست کامپیوترهایی که Windows 7 دارند و RAM آنها کمتر از 4G است و ...

حالا ممکنه سئوال پیش بیاد ممکنه بعضی سیستم ها آنتی ویروس نداشته باشند. آنتی ویروس قابلیتی داره به نام Unmanaged Detector. با این قابلیت لیست تمام سیستم هایی که آنتی ویروس ندارن نشون داده میشه. در شبکه های Hardening شده آنتی ویروس نقش مهمی داره و نباید سیستم های Unmanagd داشته باشیم.

حالا که بحث آنتی ویروس پیش اومد چند نکته رو خدمتتون عرض می کنم که معمولا بهش توجه نمیشه. (البته اینها الزامی نیست ولی در محیط های خیلی بزرگ باید رعایت بشه.)

اگر تعداد Serverهای VM شما زیاد هست حتما VM Serverها رو توی یک گروه با Policyهای جدا بذارید. برای گروه VM ها باید Scheduled Scans های متفاوتی تعریف کنید. چرا؟؟؟

معمولا ما یک Policy می نویسیم که کل سیستم ها راس ساعت خاصی Scheduled Scans رو انجام بدن. اگر Serverها فیزیکی باشن هیچ اشکالی نداره که همه با هم شروع به اسکن کنن. اما اگر Serverها VM باشن و همه با هم شروع به Scan کنن ممکنه Host شما بخوابه زیر بار مصرف CPU و RAM !

در Symantec گزینه ای وجود داره بنام Enable Scan Randomization که کلید حل این مشکله.

برای کاهش زمان و بار Scan در VMها می تونید از Shared Insight Cache هم استفاده کنید. در اینصورت عملیات Scan در VMها تا 80 درصد سبکتر میشه.

پیاده سازی آنتی ویروس برای محیط های VDI هم نکات ریز و ظریفی داره که بسیار زیاد در مدیریت Performance و لایسنس موثره. اگر متقاضی داشت توضیح می دم.