WEBVTT

00:00.330 --> 00:01.350
ผู้สอน: ในบทเรียนนี้

00:01.350 --> 00:03.780
เราจะหารือเกี่ยวกับการโจมตีเครื่องเสมือน

00:03.780 --> 00:07.410
ซึ่งรวมถึง VM Escapes, VM Hopping, Sandbox Escape และข้อกังวลอื่นๆ

00:07.410 --> 00:09.360
ของ VM

00:09.360 --> 00:12.680
ก่อนอื่นเรามี VM Escape หรือ Virtual Machine Escape

00:12.680 --> 00:21.270
VM Escape เป็นการโจมตีประเภทหนึ่งที่ผู้คุกคามพยายามออกจากเครื่องเสมือนที่แยกออกมาแล้วส่งคำสั่งโดยตรงไปยังไฮเปอร์ไวเซอร์ที่อยู่เบื้องหลัง

00:21.270 --> 00:23.820
เนื่องจากเครื่องเสมือนแต่ละเครื่องควรแยกออกจากกัน

00:23.820 --> 00:27.300
การหลบหนี VM จึงทำได้ยากมาก

00:27.300 --> 00:31.200
อย่างไรก็ตาม ระบบปฏิบัติการเกสต์แต่ละระบบไม่ควรรู้ด้วยซ้ำว่าเป็นส่วนหนึ่งของเครื่องเสมือน

00:31.200 --> 00:38.340
เนื่องจากยังคิดว่าสามารถเข้าถึงเครื่องจริงจำลองที่ไฮเปอร์ไวเซอร์ให้บริการได้อย่างเต็มที่

00:38.340 --> 00:40.260
เพื่อให้ VM Escape มีประสิทธิภาพ

00:40.260 --> 00:44.880
ผู้โจมตีต้องหาทางเชื่อมต่อโดยตรงกับทรัพยากรทางกายภาพพื้นฐาน เช่น

00:44.880 --> 00:46.830
หน่วยความจำของเซิร์ฟเวอร์ ฮาร์ดไดรฟ์

00:46.830 --> 00:48.990
หรือการประมวลผล

00:48.990 --> 00:53.220
ซึ่งมักเกิดขึ้นจากการใช้ประโยชน์จากช่องโหว่ในโค้ดของไฮเปอร์ไวเซอร์เอง

00:53.220 --> 01:00.840
มีบางกรณีที่เกิดขึ้นและแพตช์ได้รับการพัฒนาและเผยแพร่โดยผู้ผลิตทันทีที่ค้นพบช่องโหว่เหล่านี้

01:00.840 --> 01:06.330
VM Escape ดำเนินการกับไฮเปอร์ไวเซอร์ประเภทที่สองได้ง่ายกว่าบนไฮเปอร์ไวเซอร์ประเภทที่หนึ่ง

01:06.330 --> 01:08.940
หากคุณกำลังใช้ไฮเปอร์ไวเซอร์ประเภทที่สองหรือโพสต์อิท

01:08.940 --> 01:14.400
ผู้โจมตีอาจสามารถเข้าถึงระบบปฏิบัติการพื้นฐานที่โฮสต์เครื่องเสมือนของคุณได้

01:14.400 --> 01:21.203
หากทำได้ ก็จะสามารถยกระดับสิทธิ์และเข้าถึงเครื่องเสมือนเครื่องอื่นที่โฮสต์บนอุปกรณ์เดียวกันนั้น

01:21.203 --> 01:23.820
และมีผลให้สร้างเครื่องเสมือนหนี

01:23.820 --> 01:25.620
เพื่อป้องกันการหลบหนีของเครื่องเสมือน

01:25.620 --> 01:26.910
สิ่งสำคัญเสมอคือต้องแน่ใจว่าระบบปฏิบัติการเกสต์

01:26.910 --> 01:33.270
ระบบปฏิบัติการโฮสต์ และไฮเปอร์ไวเซอร์ของคุณทั้งหมดยังคงแพตช์และอัปเดตอยู่เสมอ

01:33.270 --> 01:36.750
ประการที่สองเรามี VM hopping หรือการกระโดดของเครื่องเสมือน

01:36.750 --> 01:43.860
ตอนนี้ VM hopping เป็นการโจมตีประเภทหนึ่งที่ผู้คุกคามพยายามย้ายจากเครื่องเสมือนหนึ่งไปยังอีกเครื่องหนึ่งบนโฮสต์เดียวกัน

01:43.860 --> 01:53.730
การโจมตี VM hopping จะมุ่งเน้นไปที่การใช้ประโยชน์จากไฮเปอร์ไวเซอร์ของซอฟต์แวร์เวอร์ชวลไลเซชันหรือคุณสมบัติบางอย่างเพื่อย้ายระหว่างเครื่องเสมือนสองเครื่องที่แยกออกจากกัน

01:53.730 --> 01:56.340
ตอนนี้ VM hopping ฟังดูคล้ายกับ VM Escape แต่มีความแตกต่างที่สำคัญอย่างหนึ่งที่

01:56.340 --> 02:02.340
VM hopping มุ่งเน้นไปที่การย้ายระหว่างเครื่องเสมือนเครื่องหนึ่งไปยังอีกเครื่องหนึ่ง

02:02.340 --> 02:03.818
ในขณะที่เราพูดถึง VM Escape

02:03.818 --> 02:08.550
จะเน้นไปที่การเข้าถึงไฮเปอร์ไวเซอร์หรือระบบปฏิบัติการโฮสต์

02:08.550 --> 02:13.603
เพื่อป้องกันการกระโดดของ VM คุณควรตรวจสอบให้แน่ใจเสมอว่าไฮเปอร์ไวเซอร์ของคุณเป็นปัจจุบันและแพตช์อย่างถูกต้อง

02:13.603 --> 02:20.910
นอกจากนี้ คุณต้องแน่ใจว่าระบบปฏิบัติการแขกและไฮเปอร์ไวเซอร์ของคุณได้รับการกำหนดค่าอย่างปลอดภัยโดยใช้คู่มือการกำหนดค่าแนวทางปฏิบัติที่ดีที่สุด

02:20.910 --> 02:25.650
เพื่อให้แน่ใจว่าไม่มีการเชื่อมต่อที่ผิดพลาดระหว่างเครื่องเสมือนที่ควรแยกออกจากกัน

02:25.650 --> 02:27.930
ประการที่สาม เรามีการหลบหนีแบบแซนด์บ็อกซ์

02:27.930 --> 02:31.710
ปัจจุบัน แซนด์บ็อกซ์เป็นกลไกการรักษาความปลอดภัยที่ใช้เพื่อแยกกระบวนการและโปรแกรมที่กำลังทำงานอยู่

02:31.710 --> 02:36.840
เพื่อลดความล้มเหลวของระบบหรือช่องโหว่ของซอฟต์แวร์ไม่ให้แพร่กระจาย

02:36.840 --> 02:41.370
โดยทั่วไปแล้ว แซนด์บ็อกซ์ถูกสร้างขึ้นโดยใช้เครื่องเสมือนหรือคอนเทนเนอร์

02:41.370 --> 02:48.030
ตัวอย่างเช่น เว็บเบราว์เซอร์มักใช้แนวคิดของแซนด์บ็อกซ์เพื่อแยกรหัสเว็บที่รันอยู่ออกจากระบบปฏิบัติการที่ได้รับการป้องกันหรือซอฟต์แวร์อื่นๆ

02:48.030 --> 02:49.950
ในระบบ

02:49.950 --> 02:59.190
ตอนนี้การหลบหนีจากแซนด์บ็อกซ์จะเกิดขึ้นเมื่อผู้โจมตีสามารถหลีกเลี่ยงการป้องกันแซนด์บ็อกซ์เพื่อเข้าถึงระบบปฏิบัติการที่ได้รับการป้องกันสำหรับกระบวนการพิเศษอื่นๆ

02:59.190 --> 03:01.130
เพื่อปกป้องระบบของคุณจากการหลบหนีจากแซนด์บ็อกซ์

03:01.130 --> 03:08.460
สิ่งสำคัญคือต้องแน่ใจว่าซอฟต์แวร์และระบบปฏิบัติการของคุณได้รับการแพตช์และอัปเดตอยู่เสมอ รวมทั้งต้องแน่ใจว่าคุณมีซอฟต์แวร์ป้องกันปลายทางที่แข็งแกร่งติดตั้งบนไคลเอนต์ของคุณ

03:08.460 --> 03:16.920
และคุณจำกัดส่วนขยายหรือเพิ่ม- ที่ติดตั้งภายในเว็บเบราว์เซอร์ของคุณในกรณีของการป้องกันเว็บเบราว์เซอร์แซนด์บ็อกซ์หนี

03:16.920 --> 03:19.530
ประการที่สี่ เรามีข้อกังวลบางประการที่จำเป็นต้องพูดถึงเช่นกัน

03:19.530 --> 03:23.160
เมื่อเราคิดถึงเครื่องเสมือนและสภาพแวดล้อมเสมือนจริง

03:23.160 --> 03:26.250
ซึ่งรวมถึงสิ่งต่างๆ เช่น การย้ายข้อมูลและส่วนที่เหลือของข้อมูล

03:26.250 --> 03:30.570
ตอนนี้ ประโยชน์หลักประการหนึ่งของการใช้สภาพแวดล้อมเสมือนคือคุณสามารถย้ายเครื่องเสมือนจากโฮสต์หนึ่งไปยังอีกโฮสต์หนึ่งได้

03:30.570 --> 03:33.270
แม้ในขณะที่เครื่องกำลังทำงานอยู่

03:33.270 --> 03:35.280
สิ่งนี้เรียกว่าการย้ายข้อมูลสด

03:35.280 --> 03:37.290
ขณะนี้การโยกย้ายนี้เกิดขึ้นผ่านเครือข่าย

03:37.290 --> 03:48.480
ดังนั้น สิ่งสำคัญคือต้องตรวจสอบให้แน่ใจเสมอว่าการย้ายข้อมูลเกิดขึ้นผ่านเครือข่ายที่เชื่อถือได้หรือเครือข่ายที่ใช้การเข้ารหัสที่เหมาะสมระหว่างเซิร์ฟเวอร์ที่ตั้งค่าเครื่องเสมือนและเซิร์ฟเวอร์ที่รับเครื่องเสมือนนั้น

03:48.480 --> 03:51.570
หากการโยกย้ายสดเกิดขึ้นผ่านการเชื่อมต่อที่ไม่ได้เข้ารหัส

03:51.570 --> 04:01.200
จะมีความเป็นไปได้ที่ข้อมูลที่อยู่ในเครื่องเสมือนนั้นอาจถูกสอดรู้สอดเห็นหรือถูกบุกรุกโดยผู้โจมตีโดยใช้การโจมตีในเส้นทาง

04:01.200 --> 04:06.840
เพื่อป้องกันปัญหานี้ ควรเข้ารหัสอิมเมจเครื่องเสมือนก่อนที่จะส่งจากเซิร์ฟเวอร์หนึ่งไปยังอีกเซิร์ฟเวอร์หนึ่งผ่านเครือข่าย

04:06.840 --> 04:11.580
โปรดจำไว้ว่าเซิร์ฟเวอร์ไม่ได้เป็นเพียงอุปกรณ์ทางกายภาพที่อยู่ภายในศูนย์ข้อมูลของเราอีกต่อไป

04:11.580 --> 04:16.410
แต่ยังเป็นเครื่องเสมือนที่เป็นเพียงไฟล์ที่อยู่ในระบบไฟล์บางประเภท

04:16.410 --> 04:18.930
และไฟล์เหล่านี้อาจถูกขโมยโดยผู้โจมตี

04:18.930 --> 04:27.150
ข้อกังวลหลักอีกประการหนึ่งเมื่อใช้เครื่องเสมือนในสภาพแวดล้อมระบบคลาวด์คือข้อมูลที่เหลืออยู่ซึ่งอาจหลงเหลืออยู่เมื่อคุณยกเลิกการจัดสรรเซิร์ฟเวอร์เสมือนส่วนเกิน

04:27.150 --> 04:34.230
ผู้ให้บริการคลาวด์หลายรายใช้ที่เก็บข้อมูลแบบบล็อกที่สามารถอนุญาตให้ทิ้งข้อมูลที่ไม่ต้องการอีกต่อไปไว้ในอุปกรณ์เก็บข้อมูลของตน

04:34.230 --> 04:38.700
หากไม่ได้ลบอย่างถูกต้อง ข้อมูลนั้นอาจถูกเข้าถึงโดยผู้ใช้ที่ไม่ได้รับอนุญาต

04:38.700 --> 04:40.620
เพื่อบรรเทาภัยคุกคามของข้อมูลที่เหลืออยู่นี้

04:40.620 --> 04:42.270
คุณควรเข้ารหัสตำแหน่งที่จัดเก็บเครื่องเสมือนของคุณเสมอ

04:42.270 --> 04:49.020
และตรวจสอบให้แน่ใจว่าคีย์การเข้ารหัสถูกทำลายเมื่อใดก็ตามที่ไม่จำเป็นต้องใช้เครื่องเสมือนอีกต่อไปและถูกยกเลิกการจัดสรร

04:49.020 --> 04:50.160
สิ่งสุดท้ายที่เราต้องครอบคลุมในแง่ของความปลอดภัยคือ

04:50.160 --> 04:54.990
VM sprawl หรือที่เรียกว่า virtual machine sprawl

04:54.990 --> 04:59.664
ตอนนี้การแผ่กิ่งก้านสาขาของเครื่องเสมือนคือการปรับใช้เครื่องเสมือนตั้งแต่หนึ่งเครื่องขึ้นไปโดยไม่มีการควบคุม

04:59.664 --> 05:01.920
นี่เป็นช่องโหว่ขนาดใหญ่สำหรับคุณในฐานะองค์กร

05:01.920 --> 05:09.030
เนื่องจากคุณมี VM อันธพาลเหล่านี้ซึ่งติดตั้งโดยไม่ได้รับอนุญาตทั่วทั้งเครือข่ายของคุณ

05:09.030 --> 05:11.730
ตอนนี้หมายความว่าการจัดการระบบไม่ได้ดำเนินการกับเครื่องเหล่านั้น

05:11.730 --> 05:14.460
เพราะคุณไม่รู้ว่ามีอยู่

05:14.460 --> 05:15.990
และเนื่องจากคุณไม่ทราบว่ามีอยู่

05:15.990 --> 05:23.130
คุณจึงไม่ได้ทำการแพตช์ความปลอดภัยและอัปเดตและวางโซลูชันป้องกันมัลแวร์หรือโปรแกรมป้องกันไวรัสเพื่อป้องกันเครื่องเหล่านั้น

05:23.130 --> 05:27.300
ด้วยเหตุนี้ VM เหล่านี้จึงไวต่อการโจมตีมาก

05:27.300 --> 05:30.843
และหากผู้โจมตีสามารถค้นพบหนึ่งใน VM อันธพาลเหล่านี้ซึ่งเกิดจากการแผ่ขยายของ

05:30.843 --> 05:36.480
VM พวกเขาจะสามารถเข้าไปโจมตีสิ่งนั้นและรับสิ่งนั้นเป็นจุดหมุนไปยังส่วนที่เหลือของเครือข่ายของคุณ จากนั้นจึงลองใช้

05:36.480 --> 05:40.860
VM หลบหนี หรือ VM ข้ามไปยังส่วนอื่น ๆ ของเครือข่ายของคุณ

05:40.860 --> 05:42.270
ดังนั้นโปรดจำไว้เสมอ เนื่องจากการแพร่กระจายของ

05:42.270 --> 05:46.725
VM นี้เป็นปัญหาใหญ่ โดยเฉพาะอย่างยิ่งหากคุณมีผู้รับเหมาและนักพัฒนาจำนวนมากที่ทำงานบนเครือข่ายของคุณ

05:46.725 --> 05:54.000
และพวกเขาไม่ได้เป็นส่วนหนึ่งของทีมปกติของคุณ และพวกเขาไม่ได้ติดตามการเปลี่ยนแปลงตามปกติของคุณ กระบวนการควบคุม

05:54.000 --> 06:03.360
อีกครั้งในบทเรียนนี้ เราได้พูดคุยเกี่ยวกับข้อกำหนดด้านความปลอดภัยบางประการที่คุณควรคำนึงถึงและช่องโหว่บางประการที่อาจขัดกับข้อกำหนดด้านความปลอดภัยเหล่านั้น

06:03.360 --> 06:06.330
ซึ่งรวมถึงสิ่งต่างๆ เช่น VM Escape, VM Hopping,

06:06.330 --> 06:09.303
Sandbox Escape และ Virtual Machine