Дали на Linux машините не им е потребна заштита?

До неодамна, голем дел од ИТ заедницата беа убедени дека на машините на Linux не им е потребна заштита-дека архитектурата на системот, бидејќи е суштински неповредлива, нема интерес за напаѓачите, а самата идеологија на нивниот отворен код служи како еден вид гаранција против неочекувани, сериозни пропусти. Меѓутоа, во последниве години, дури и тврдоглавите службеници за безбедност на информации сфатија дека таквите изјави немаат реална основа.

Закани за серверите на Линукс

Сè додека сајбер криминалот беше фокусиран само на заработка на сметка на крајните корисници, серверите на Linux беа навистина релативно безбедни. Но, модерните сајбер -криминалци, одамна ги насочија своите активности кон бизнисите, со неговиот поголем потенцијал за многу поголеми исплати. И тоа е местото каде што различните градби на Линукс се под сериозна контрола. На крајот на краиштата, серверот е од стратешки интерес за секој напаѓач без оглед на целта, било да е тоа шпионажа, саботажа или обична дистрибуција на ransomware. Не мора да барате примери далеку или широко.

• Минатиот ноември, нашите експерти најдоа модификација на тројанецот RansomEXX што може да ги криптира податоците на Linux -машините. Наменет за насочени напади врз одредени организации (кодот и пораката за откуп се прилагодени за секоја нова цел), тројанецот веќе беше во употреба во времето на откривањето.
• Рансомверот DarkRadiation, откриен летово, е наменет за напади врз Red Hat/CentOS и Debian Linux и може да ги запре сите контејнери на Docker на погодените машини. Тој целосно е напишан во Bash скрипта и користи Telegram messenger API за да комуницира со C&C серверите.
• Речиси сите модерни APT (напредни упорни закани ) група има задни врати, rootkits или експлоатирачки код за Linux. Нашиот глобален тим за истражување и анализа (GReAT) објави студија за најновите APT – алатки насочени кон Linux -машините.

Иако заедницата со отворен код внимателно ги проучува дистрибуциите, колективно дискутира за слабостите и најчесто одговорно објавува информации за нив, администраторите не секогаш ги ажурираат своите Linux сервери. Многумина сè уште се на мислење „ако не е скршено, не го поправајте“.

Таа филозофија преовладува и покрај тоа што некои слабости се доста сериозни. На пример, сајбер-криминалците можат да користат CVE-2021-3560, пронајдени во системската услуга polkit (инсталирана стандардно во многу дистрибуции на Linux) и објавена во јуни 2021 година, за зголемување на привилегиите. Ранливоста доби оценка 7,8 од 10 на CVSS v3 скала.

Како да ги обезбедите серверите на Линукс

Kaspersky Endpoint Security за Linux веќе долго време ги штити корисниците од такви проблеми. Меѓутоа, заради зголемениот број напади врз серверите што работат на Линукс, решението е ажурирано со голем број нови технологии.Најнапред, решението сега се карактеризира со целосна контрола на апликациите (технологија за извршување само на оние апликации во доверливата листа, или блокирање на оние од недоверливата листа). За да им помогнеме на корисниците да го конфигурираат овој модул, додадовме карактеристики во извршните програми и дефиниравме сопствени категории. Тоа обезбедува високо ефикасна заштита од многу широк спектар на закани. Второ, дојде време да се зајакне антирансомверската способност на системот (малициозен софтвер од овој тип сега е откриен по неговото однесување).

Linux cloud и локално

Исто така, свесни сме дека значителен дел од машините за Linux се клауд сервери, а не физички машини што работат во канцелариите на компаниите. Покрај тоа, благодарение на развојот на технологии за контејнери, сега е можно да се извршуваат апликации во контејнери, овозможувајќи им на администраторите да решаваат прашања за приспособливост, да ја зголемат стабилноста на апликацијата и да ја подобрат ефикасноста на компјутерските ресурси. Затоа, Kaspersky се фокусираше на сценарија за распоредување на решението во јавни облаци и заштита на контејнерските платформи (Docker, Podman, Cri-O и Runc). Тие се однесуваат и на режимот за откривање закани за лансираните контејнери, овозможувајќи им на техничарите да идентификуваат контејнери што содржат закани и да ги одредат патеките до малициозни датотеки (во runtime околини), и како услуга за проверка на состојбата на контејнерите на барање (локални и лоцирани во складишта). Во второто сценарио, можно е да се стартува Kaspersky Endpoint Security за Linux во контејнер Docker и да се користи за скенирање други контејнери за закани со помош на RESTful API, кој служи за автоматизирање на задачите за скенирање на контејнери.

Повеќе опции за управување

Корисниците сега имаат повеќе од една опција за управување со заштитата на сервери и оптоварувања на контејнери во јавни облаци, како што се Microsoft Azure, AWS, Google Cloud и Yandex Cloud. Првиот е преку конзолата, без разлика дали е во локален центар за податоци или во јавен облак. Вториот е преку конзолата за облак Kaspersky Security Center, распоредена и поддржана од страна на сертфицирани лица, оставајќи го администраторот слободен да се фокусира на управување со заштитата на компаниската инфраструктура.Kaspersky Endpoint Security за Linux е дел од пакетот решенија Kaspersky Hybrid Cloud. Се интегрира со услугата Kaspersky Managed Detection and Response, која се справува со особено опасните сајбер закани кои можат да ги заобиколат автоматските бариери.