Czy Linux wymaga ochrony?

Ostatnio coraz częściej pojawiają się doniesienia prasowe o zagrożeniach dla Linuksa. Jak go zabezpieczyć?

Do niedawna duża część społeczności skupionej wokół IT była przekonana, że maszyny z Linuksem nie potrzebują ochrony — z uwagi na to, że w architekturze systemu z natury prawie nie ma luk w zabezpieczeniach, nie jest ona interesująca dla atakujących, a sama ideologia otwartego kodu źródłowego jest swego rodzaju gwarancją na to, że nie pojawią się nieoczekiwane, poważne luki w zabezpieczeniach. Jednak w ostatnich latach nawet zatwardziali w swoim podejściu specjaliści w dziedzinie bezpieczeństwa informacji zdali sobie sprawę, że takie stwierdzenia mają już niewiele wspólnego z rzeczywistością.

Zagrożenia dla serwerów Linux

Dopóki cyberprzestępczość koncentrowała się wyłącznie na zarabianiu pieniędzy na użytkownikach końcowych, serwery Linux rzeczywiście były stosunkowo bezpieczne. Ale dzisiejsi cyberprzestępcy już dawno postawili na atakowanie firm, gdyż mają one większy potencjał w kwestii zysków. Różne kompilacje Linuksa zostały poddane poważnej analizie; w końcu serwer ma strategiczne znaczenie dla każdego atakującego, niezależnie od celu: szpiegostwa, sabotażu czy zwykłej dystrybucji oprogramowania ransomware. Przykładów nie trzeba szukać daleko.

  • W listopadzie ubiegłego roku nasi eksperci odkryli modyfikację trojana RansomEXX, który potrafił szyfrować dane na komputerach z systemem Linux. Został on przygotowany pod kątem ataków ukierunkowanych na określone organizacje (kod i powiadomienie o żądaniu okupu są dostosowywane do każdego nowego celu) i działał już w momencie wykrycia go.
  • Wykryte tego lata ransomware DarkRadiation zostało stworzone specjalnie pod kątem ataków na dystrybucje Red Hat / CentOS i Debian systemu Linux i potrafi zatrzymać działanie wszystkich kontenerów Dockera na komputerach, których dotknie problem. To szkodliwe oprogramowanie jest napisane w całości w skrypcie Bash, a do komunikacji z serwerami kontroli wykorzystuje interfejs API komunikatora Telegram.
  • Prawie każde współczesne ugrupowanie APT dysponuje backdoorami, rootkitami lub kodem exploita dla Linuksa. Nasz Globalny Zespół ds. Badań i Analiz (GReAT) opublikował badanie, którego przedmiotem były najnowsze narzędzia APT przygotowane pod kątem maszyn z systemem Linux.

Chociaż społeczność skupiona wokół kodu źródłowego Linuksa dokładnie bada dystrybucje, wspólnie omawia luki w zabezpieczeniach i przeważnie publikuje informacje o nich w sposób odpowiedzialny, administratorzy nie zawsze aktualizują swoje serwery z systemem Linux. Wiele osób wciąż uważa, że „jeśli coś nie jest zepsute, nie naprawiaj tego”.

Taka filozofia dominuje, mimo że niektóre luki w zabezpieczeniach są dość poważne. Na przykład cyberprzestępcy mogą wykorzystać do eskalacji uprawnień lukę CVE-2021-3560, znalezioną w usłudze systemowej polkit (instalowanej domyślnie w wielu dystrybucjach Linuksa) i opublikowanej w czerwcu 2021 r. Luce tej przypisano wynik 7,8 na 10 w skali CVSS v3.

Jak zabezpieczyć serwery Linux

Rozwiązanie Kaspersky Endpoint Security for Linux od dawna chroni użytkowników przed takimi problemami. Jednak wraz z rosnącą liczbą ataków na serwery działające na Linuksie zdecydowaliśmy się zaktualizować nasze rozwiązanie o szereg nowych technologii.

Po pierwsze, rozwiązanie zawiera teraz pełną Kontrolę aplikacji (technologię pozwalającą na uruchamianie wyłącznie aplikacji znajdujących się na liście zaufanych lub blokowanie tych, które są na liście niezaufanych). Aby pomóc użytkownikom w skonfigurowaniu tego modułu, dodaliśmy funkcje służące do spisu programów wykonywalnych i zdefiniowania kategorii niestandardowych. Zapewnia to wysoce skuteczną ochronę przed bardzo szerokim zakresem zagrożeń. Po drugie, nadszedł czas, aby wzmocnić możliwości systemu w zakresie ochrony przed ransomware (tego typu szkodliwe oprogramowanie jest teraz wykrywane na podstawie jego zachowania).

Zdajemy sobie również sprawę z tego, że znaczna część maszyn z Linuksem to serwery w chmurze, a nie fizyczne maszyny działające w biurach klientów. Co więcej, dzięki rozwojowi technologii konteneryzacji aplikacje można teraz uruchamiać w kontenerach, dzięki czemu administratorzy mają rozwiązany problem ze skalowalnością, mogą cieszyć się większą stabilnością aplikacji i lepszą wydajnością zasobów obliczeniowych. Dlatego skupiliśmy się na opcjach wdrożenia tego rozwiązania w chmurach publicznych i ochronie platform konteneryzacyjnych (Docker, Podman, Cri-O i Runc). Dotyczą one zarówno trybu wykrywania zagrożeń dla kontenerów uruchomionych, dzięki czemu specjaliści mogą identyfikować konkretne kontenery zawierające zagrożenia i określać ścieżki szkodliwych plików (w środowisku wykonawczym), jak i usługi sprawdzania obrazów kontenerów na żądanie (zarówno lokalnych, jak i znajdujących się w repozytoriach). W tym drugim scenariuszu możliwe jest uruchomienie rozwiązania Kaspersky Endpoint Security for Linux wewnątrz kontenera Docker i użycie go do skanowania innych kontenerów w poszukiwaniu zagrożeń przy użyciu interfejsu RESTful API, który służy np. do automatyzacji zadań skanowania obrazów kontenerów w potoku ciągłej integracji / ciągłego wdrażania.

Użytkownicy mają teraz do wyboru kilka opcji zarządzania ochroną serwerów i obciążeń kontenerów w chmurach publicznych, takich jak Microsoft Azure, AWS, Google Cloud i Yandex Cloud. Pierwszą z nich jest konsola znajdująca się w wewnętrznym centrum danych lub w chmurze publicznej. Druga opcja zarządzania obejmuje korzystanie z konsoli Kaspersky Security Center Cloud Console, wdrożonej i obsługiwanej przez nas, dzięki czemu administrator może skupić się na zarządzaniu ochroną swojej infrastruktury.

Rozwiązanie Kaspersky Endpoint Security for Linux jest częścią pakietu rozwiązań Kaspersky Hybrid Cloud. Integruje się ono z usługą Kaspersky Managed Detection and Response, która zajmuje się szczególnie niebezpiecznymi cyberzagrożeniami, potrafiącymi omijać automatyczne bariery.

Porady