Еще недавно большая часть IT-сообщества была уверена, что машины под управлением Linux вообще не имеет смысла защищать. Считалось, что и архитектура у системы изначально практически неуязвимая, и злоумышленникам она не очень-то интересна, да и идеология открытого исходного кода служит своего рода гарантией против неожиданного появления серьезных уязвимостей. В последние годы всем здравомыслящим безопасникам стало очевидно, что все три эти утверждения далеки от истины.
Угрозы серверам под Linux
Пока киберпреступность специализировалась исключительно на зарабатывании денег за счет конечных пользователей, серверы под Linux действительно были в относительной безопасности. Но современные злоумышленники уже давно переключились на бизнес — это позволяет им получать гораздо большую прибыль с каждой успешной атаки. И вот тут-то различные сборки Linux удостоились серьезного внимания. Ведь сервер стратегически интересен любому атакующему, ставит ли тот целью шпионаж, саботаж или банальное распространение шифровальщика. За примерами далеко ходить не надо.
- В ноябре прошлого года наши эксперты обнаружили модификацию трояна RansomEXX, способную шифровать данные на компьютерах под управлением Linux. Зловред адаптирован для целевых атак на конкретные организации (код и записка о выкупе каждый раз модифицируются под новую цель). На тот момент несколько крупных организаций уже были атакованы этим трояном.
- Обнаруженный летом этого года шифровальщик DarkRadiation разработан специально для атак на Red Hat / CentOS и Debian Linux, он также способен останавливать все контейнеры Docker на пораженной машине. Зловред целиком написан на Bash-скрипте, а для коммуникации с серверами управления он использует программный интерфейс мессенджера Telegram.
- Некоторое время назад наши эксперты из Global Research and Analysis Team (GREAT) опубликовали исследование инструментов современных APT, ориентированных на атаки машин под управлением Linux. В результате выяснилось, что практически у каждой группировки есть такие модули — руткиты, бэкдоры, эксплойты.
Отдельные риски несут в себе уязвимости. Да, действительно, сообщество open-source внимательно изучает дистрибутивы, коллективно обсуждает уязвимости и даже чаще всего ответственно публикует информацию о них. Вот только далеко не каждый администратор устанавливает обновления на Linux-серверы, многие до сих пор придерживаются философии «работает — не трогай».
А тем временем уязвимости порой находятся достаточно серьезные. Например, июньская CVE-2021-3560 в системном сервисе polkit (который по дефолту присутствует во множестве дистрибутивов Linux) может быть использована для повышения привилегий и по шкале CVSS v3 имеет оценку в 7,8 балла из 10 возможных.
Как защищать серверы под Linux
У нас достаточно давно есть решение, служащее для защиты систем под Linux: Kaspersky Endpoint Security for Linux. Однако в связи с участившимися случаями атак на серверы под управлением этой системы мы решили обновить его, снабдив рядом новых технологий.
Во-первых, теперь в решении работает полноценный контроль приложений (технология, позволяющая запускать только приложения, внесенные в список доверенных, или же блокировать программы, внесенные в список недоверенных). Чтобы помочь с настройкой этого модуля, мы снабдили его функцией инвентаризации исполняемых программ и возможностью задавать пользовательские категории. В результате все это позволяет обеспечить высокоэффективную защиту от очень широкого спектра угроз. Во-вторых, настало время усилить средства борьбы с шифровальщиками (в обновленной версии такие зловреды детектируются по поведению).
Также мы понимаем, что изрядная часть Linux-машин — это не физические серверы, а облачные; более того, благодаря развитию технологий контейнеризации появилась возможность упаковывать приложения в контейнерах, что позволяет решать вопросы масштабируемости, повысить стабильность работы приложений и эффективность использования вычислительных ресурсов. Поэтому особое внимание мы уделили сценариям развертывания решения в публичных облаках и защите платформ контейнеризации (поддерживаются Docker, Podman, Cri-O, Runc). Причем как в режиме обнаружения угроз в запущенных контейнерах, с возможностью идентификации конкретных контейнеров, содержащих угрозу, и указанием путей к вредоносным файлам (в среде RunTime), так и в виде сервиса для проверки образов контейнеров по запросу (локальных или расположенных в репозиториях). В последнем сценарии решение Kaspersky Endpoint Security for Linux может быть запущено в виде Docker-контейнера с RESTful API, который можно использовать для автоматизации задач проверки образов контейнеров, например в пайплайнах CI/CD.
Теперь есть несколько вариантов управления защитой серверов и контейнерных нагрузок в публичных облаках, таких как Microsoft Azure, AWS, Google Cloud, Yandex Cloud. Первый — через консоль, которая может быть развернута как в собственном датацентре, так и в публичном облаке. Второй — из облачной консоли Kaspersky Security Center Cloud Console, которую разворачиваем и поддерживаем мы, позволяя администратору сфокусироваться собственно на управлении защитой своей инфраструктуры.
Kaspersky Endpoint Security for Linux входит в состав решений Kaspersky Hybrid Cloud, а также интегрируется с сервисом Kaspersky Managed Detection and Response, который позволяет нашим экспертам бороться с особенно опасными киберугрозами, способными обойти автоматические барьеры.