Hårdvara/servervirtualisering är en grundläggande teknik i en molnmiljö och hypervisorn är nyckelmjukvaran i den virtualiserade infrastrukturen. Dock, hypervisorer är stora programvaror med flera tusen rader kod och är därför kända för att ha sårbarheter. Därav, en förmåga att utföra kriminalteknisk analys för att upptäcka, rekonstruera och förhindra attacker baserade på sårbarheter löpande är ett kritiskt krav i molnmiljöer.

För att få en bättre förståelse för de senaste hypervisorns sårbarheter och attacktrender, identifiera kriminalteknisk information som behövs för att avslöja förekomsten av sådana attacker, och utveckla vägledning för att vidta proaktiva åtgärder för att upptäcka och förhindra dessa attacker, NIST har publicerat NIST Internal Report (NISTIR) 8221, En metod för att möjliggöra kriminalteknisk analys med hjälp av Hypervisor-sårbarhetsdata, som beskriver en metodik för att möjliggöra denna rättsmedicinska analys.

Två hypervisorer med öppen källkod – Xen och Kernel-baserad virtuell maskin (KVM) – valdes ut som plattformar för att illustrera metodiken; källan för sårbarhetsdata är NIST:s National Vulnerability Database (NVD). Metodiken är uppdelad i tre steg:

1. Klassificera sårbarheterna baserat på tre kategorier:hypervisorfunktioner där sårbarheten finns, attack typ, och attackkälla. Resultatet av detta steg är att erhålla den relativa fördelningen av de senaste hypervisorsårbarheterna för de två produkterna i de tre kategorierna.
2. Identifiera hypervisorfunktionaliteten som är mest påverkad, bygg sedan och kör provattacker, tillsammans med loggning av systemsamtal.
3. Utför en iterativ process som identifierar luckor i bevisdata som krävs för att fullständigt upptäcka och rekonstruera dessa attacker och för att identifiera tekniker som krävs för att samla in nödvändig bevis under efterföljande attackkörningar.

Denna berättelse är återpublicerad med tillstånd av NIST. Läs originalberättelsen här.