چگونه و چرا از لینوکس محافظت کنیم

تا همین اواخر ، بخشهای زیادی از جامعه فناوری اطلاعات متقاعد شده بودند که ماشینهای لینوکس نیازی به حفاظت ندارند-معماری سیستم که ذاتاً آسیب ناپذیر است ، هیچ علاقه ای به مهاجمان ندارد و ایدئولوژی کد منبع باز به عنوان نوعی ضمانت در برابر آسیب پذیری های غیرمنتظره و جدی است. با این حال ، در سال های اخیر ، حتی افسران سرسخت infosec متوجه شده اند که چنین اظهاراتی در واقع چندان پایه ای ندارند. در واقع نسبتاً ایمن بودند اما مجرمان سایبری مدرن چشم انداز خود را در زمینه تجارت ، با پتانسیل بیشتر آن برای پرداخت های بسیار بزرگتر ، مدتها پیش معطوف کرده اند. و این جایی است که نسخه های مختلف لینوکس مورد بررسی جدی قرار گرفته اند. به هر حال ، یک سرور بدون توجه به هدف مورد توجه استراتژیک هر مهاجمی است ، چه جاسوسی ، خرابکاری یا توزیع باج افزار معمولی. نیازی نیست به دنبال مثال های زیادی باشید.

• نوامبر گذشته ، کارشناسان ما اصلاحاتی در تروجان RansomEXX پیدا کردند که می تواند داده ها را در دستگاه های لینوکس رمزگذاری کند. تروجان که برای حملات هدفمند به سازمان های خاص طراحی شده است (کد و یادداشت باج برای هر هدف جدید سفارشی شده است) ، تروجان قبلاً در زمان کشف مورد استفاده قرار گرفته بود. Red Hat/CentOS و Debian Linux ، و می تواند تمام ظروف Docker را در ماشین های آسیب دیده متوقف کند. این بدافزار کاملاً با اسکریپت Bash نوشته شده است و از یک API پیام رسان تلگرام برای برقراری ارتباط با سرورهای C&C استفاده می کند. تیم تحقیق و تجزیه و تحلیل جهانی ما (GReAT) مطالعه ای را در مورد آخرین ابزارهای APT که ماشین های لینوکس را مورد هدف قرار می دهد ، منتشر کرد.

اگرچه جامعه منبع باز توزیع ها را با دقت مطالعه می کند ، اما درمورد آسیب پذیری ها به طور جمعی بحث می کند و اطلاعات مربوط به آنها را به طور مسئولانه (بیشتر اوقات) منتشر می کند. ، مدیران همیشه سرورهای لینوکس خود را به روز نمی کنند. بسیاری هنوز فکر می کنند ، "اگر خراب نشد ، آن را برطرف نکنید." به عنوان مثال ، مجرمان سایبری می توانند از CVE-2021-3560 ، که در سرویس سیستم polkit (به طور پیش فرض در بسیاری از توزیع های لینوکس نصب شده است) و در ژوئن 2021 منتشر شده ، برای افزایش امتیاز استفاده کنند. این آسیب پذیری در مقیاس CVSS v3 نمره 7.8 از 10 را دریافت کرد.

نحوه ایمن سازی سرورهای لینوکس

Kaspersky Endpoint Security for Linux مدتهاست که کاربران را در برابر چنین مشکلاتی محافظت می کند. با این حال ، با افزایش تعداد حملات به سرورهایی که بر روی لینوکس اجرا می شوند ، تصمیم گرفتیم راه حل خود را با تعدادی فناوری جدید به روز کنیم. لیست ، یا مسدود کردن موارد موجود در لیست نامعتبر). برای کمک به کاربران در پیکربندی این ماژول ، ویژگی هایی را به برنامه های اجرایی موجودی اضافه کردیم و دسته های سفارشی را تعریف کردیم. این امر حفاظت م effectiveثر در برابر طیف گسترده ای از تهدیدها را تضمین می کند. ثانیاً ، زمان تقویت قابلیت ضد بادی سیستم فرا رسیده است (بدافزارهای این نوع اکنون با رفتار آن شناسایی می شوند)

ما همچنین آگاه هستیم که سهم قابل توجهی از ماشین های لینوکس سرورهای ابری هستند ، نه ماشین های فیزیکی که در سرویس گیرندگان کار می کنند. ادارات علاوه بر این ، به لطف توسعه فن آوری های کانتینریشن ، اکنون می توان برنامه ها را در ظروف اجرا کرد ، که مدیران را قادر می سازد تا مسائل مقیاس پذیری را حل کنند ، ثبات برنامه ها را افزایش دهند و بهره وری منابع محاسباتی را بهبود بخشند. بنابراین ، ما روی سناریوهایی برای استقرار راه حل در ابرهای عمومی و محافظت از بسترهای کانتینریشن (Docker ، Podman ، Cri-O و Runc) تمرکز کردیم. این موارد هم در حالت تشخیص تهدید برای ظروف راه اندازی شده ، به فناوری ها امکان می دهد ظروف خاص حاوی تهدید را مشخص کرده و هم مسیرها را به پرونده های مخرب (در محیط زمان اجرا) مشخص کنند ، و هم به عنوان یک سرویس برای بررسی تصاویر ظرف در صورت درخواست (اعم از محلی و واقع در مخازن) به در سناریوی اخیر ، ممکن است Kaspersky Endpoint Security را برای لینوکس در داخل یک کانتینر Docker راه اندازی کرده و از آن برای اسکن سایر ظروف برای تهدید با استفاده از API RESTful استفاده کنید ، که به عنوان خودکار وظایف اسکن تصاویر ظرف ، به عنوان مثال ، در CI عمل می کند. /CD pipeline.

کاربران اکنون بیش از یک گزینه برای مدیریت حفاظت از سرورها و بارهای کانتینر در ابرهای عمومی مانند Microsoft Azure ، AWS ، Google Cloud و Yandex Cloud در اختیار دارند. اولین مورد از طریق کنسول ، چه در مرکز داده داخلی یا در ابر عمومی. مورد دوم از طریق کنسول ابری مرکز امنیت کسپرسکی ، مستقر و پشتیبانی شده توسط ما ، و اجازه می دهد تا مدیر روی مدیریت حفاظت از زیرساخت های خود تمرکز کند.

Kaspersky Endpoint Security for Linux بخشی از مجموعه راه حل های کسپرسکی Hybrid Cloud است. این سرویس با سرویس تشخیص و پاسخگویی مدیریت شده Kaspersky ادغام می شود ، که تهدیدات سایبری بسیار خطرناک را که می تواند موانع خودکار را دور بزند ، مدیریت می کند.

(تابع (d، s، id) {var js، fjs = d.getElementsByTagName (s) [0]؛ if (d.getElementById (id)) {return} js = d.createElement (s)؛ js.id = id؛ js.src = "https: //connect.facebook.net /en_US /all.js"؛ fjs.parentNode.insertBefore (js، fjs)} (سند ، "اسکریپت" ، "facebook-jssdk "))؛ .