Hardware/servervirtualisatie is een fundamentele technologie in een cloud computing-omgeving en de hypervisor is de belangrijkste software in die gevirtualiseerde infrastructuur. Echter, hypervisors zijn grote stukjes software met enkele duizenden regels code en staan ​​daarom bekend om kwetsbaarheden. Vandaar, een vermogen om forensische analyses uit te voeren om te detecteren, het voortdurend reconstrueren en voorkomen van aanvallen op basis van kwetsbaarheden is een essentiële vereiste in cloudomgevingen.

Om een ​​beter begrip te krijgen van recente hypervisor-kwetsbaarheden en aanvalstrends, forensische informatie identificeren die nodig is om de aanwezigheid van dergelijke aanvallen aan het licht te brengen, en richtlijnen ontwikkelen voor het nemen van proactieve stappen om die aanvallen op te sporen en te voorkomen, NIST heeft NIST Intern Rapport (NISTIR) 8221 gepubliceerd, Een methodologie voor het inschakelen van forensische analyse met behulp van hypervisor-kwetsbaarhedengegevens, die een methodologie schetst om deze forensische analyse mogelijk te maken.

Twee open-source hypervisors - Xen en Kernel-based Virtual Machine (KVM) - werden gekozen als platformen om de methodologie te illustreren; de bron voor kwetsbaarheidsgegevens is de National Vulnerability Database (NVD) van NIST. De methodiek is opgedeeld in drie stappen:

1. Classificeer de kwetsbaarheden op basis van drie categorieën:hypervisorfunctionaliteit waar de kwetsbaarheid bestaat, aanvalstype, en aanvalsbron. Het resultaat van deze stap is het verkrijgen van de relatieve verdeling van recente hypervisor-kwetsbaarheden voor de twee producten in de drie categorieën.
2. Identificeer de hypervisor-functionaliteit die het meest wordt beïnvloed, bouw en voer vervolgens voorbeeldaanvallen uit, samen met het loggen van systeemaanroepen.
3. Voer een iteratief proces uit dat hiaten in de bewijsgegevens identificeert die nodig zijn voor het volledig detecteren en reconstrueren van die aanvallen en om technieken te identificeren die nodig zijn om het benodigde bewijsmateriaal te verzamelen tijdens volgende aanvalsruns.

Dit verhaal is opnieuw gepubliceerd met dank aan NIST. Lees hier het originele verhaal.