Axoft рассказал, как защитить инфраструктуру на базе Linux от «А до Я»

В современном мире кибербезопасность — краеугольный камень, от которого зависит успех деятельности любой компании. Эффективная защита ИТ-инфраструктуры в целом, и операционной системы в частности — наше все. Ведь именно ОС — основа критически важных сервисов. В России процесс импортозамещения идет с сторону Linux. Вместе с экспертами Axoft Студии попробуем разобраться, что сейчас происходит с безопасностью операционных систем семейства Linux — поговорим об угрозах и уязвимостях, узнаем, какие сложности могут возникать в работе сервисов на серверах с наложенными средствами защиты информации (СЗИ).

Несколько слов об уязвимости Linux

Как обстоят дела с безопасностью Linux? Эксперты Axoft считают, что Linux уязвим и подвержен атакам так же, как и любая операционная система, в том числе Windows. Станислав Навсегда, руководитель отдела сетевой безопасности и аудита Axoft, отмечает, что если брать текущие уязвимости, то их уровень Severity (уровень угрозы) достигает 10 баллов. Получается, что в Linux ОС есть уязвимости, которые можно эксплуатировать, не прикладывая каких-то усилий. А поскольку есть уязвимости, то есть и софт, которым они эксплуатируются.

Согласно статистике производителей, с которыми работает Axoft, за последние два c половиной года количество выявляемых Malware (вредоносное программное обеспечение) выросло в 85 раз. И постоянное распространение такого ПО, масштабируемость его внедрений только подогревает интерес злоумышленников.

Станислав Навсегда говорит: «Linux-base — основная ОС, интерес к ней подогрет. Никто не отменял метод социальной инженерии, а также APT-атаки, тщательно спланированные продуманные таргетированные. Что, в свою очередь, подогревает интерес сферы ИБ в направлении защиты отечественного Linux».

Меньше пакетов — меньше точек отказа

Получается, что встроенных механизмов для защиты Linux ОС недостаточно и требуются наложенные ИБ-средства? Эксперты сходятся во мнении, что в отечественных Linux «из коробки» есть достойные механизмы, которые можно использовать для защиты. В первую очередь — мандатный контроль доступа, а также контроль целостности на уровне файловой системы. Рекомендуется также применять встроенные средства МСЭ, утилиту командной строки iptables, а также UFW (Uncomplicated Firewall, утилита для управления пакетами брандмауэра в Linux). 

В целом — чем меньше пакетов, тем меньше точек входа, точек отказа. Поэтому рекомендация для пользователей от экспертов Axoft проста: устанавливать и использовать только то, что нужно по минимуму.

Безусловно, для защиты Linux ОС требуются и внешние СЗИ. В частности, для анализа логов, контроля и управления доступом, обнаружения и предотвращения вторжений. И отечественные наложенные средства с этим справляются отлично.

«Существует большой пул продуктов, которые встроены в отечественные ОС на базе Linux. Они покрывают базовый уровень ИБ. Соответственно, если необходима защита более жестко зарегламентированных ОС — уровня КИИ (критической информационной инфраструктуры), госсектора, то потребуются наложенные средства защиты — как со стороны сетевого взаимодействия, так и со стороны внутреннего контроля ОС. Многие российские вендоры разрабатывают как кроссплатформенные средства защиты, так и продукты, изначально предназначенные для определенных Linux-систем», — говорит Алексей Падчин, руководитель направления промышленной и периметровой защиты отдела сетевой безопасности и аудита компании Axoft.

СЗИ «аффектят» инфраструктуру?

По данным исследования совместимости отечественных решений Axoft,  27% госзаказчиков и 36% коммерческих заказчиков до сих пор не перешли на отечественные ИБ-решения — из-за сложностей с совместимостью с операционными системами.

Как обстоят дела с наложенными СЗИ от несанкционированного доступа (НСД) — возникают ли сложности в работе сервисов на серверах с такими продуктами? Эксперты считают, что могут возникать нюансы по взаимодействию пакетов и по разграничению доступа с наложенным средством защиты. Потому что такие продукты «перетягивают» полномочия на себя — им предоставляется больше полномочий, чем самому сервису, который они защищают.  И, скорее всего, будут аффекты, поскольку есть нюансы по прохождению трафика и выделению вычислительных ресурсов. Но именно критичных сложностей для работы системы быть не должно.

Николай Вяльятага, руководитель направления инфраструктурного ПО департамента технического консалтинга, аудита и инженерной поддержки компании Axoft, отмечает: «Здесь, главным образом, речь идет о ресурсном «налоге», потому что СЗИ достаточно прожорливые и «аффектят» инфраструктуру. Поэтому необходимо планировать ресурсы, емкости и стараться оптимизировать их по всем фронтам».

 Какая защита нужна отечественным ОС Linux?

Так какие же классы ИБ-продуктов помогут защитить инфраструктуры с Linux-системами? Эксперты Axoft считают, что обеспечение безопасности таких инфраструктур ничем не отличается от защиты других систем:

• Во-первых, это NGFW (Next-Generation Firewall, межсетевой экран нового поколения), который должен обеспечивать защиту сети, любой ОС, хоста, сотрудника, находящегося в пределах организации.
• На хостах, конечных станциях должны быть средства криптографической защиты информации (СКЗИ), EDR и антивирусные решения, которые будут осуществлять проверку целостности файлов, защиту от утечек данных, защиту от вирусов-шифровальщиков.
• Это Anti-APT средства (Advanced Persistent Threat, продукты для защиты от сложных и целенаправленных кибератак): песочницы, которые в совокупности проверяют входящие файлы, комплексно предоставляющие защиту, NTA-системы (network traffic analysis, система анализа сетевого трафика), которые обеспечивают видимость трафика.
• Не стоит забывать и про обучение персонала, поскольку, по статистике, основная точка входа — это человек и взаимодействие с человеком. Немаловажны — введение регламентов и периодические проверки безопасности предприятия.
• Также потребуется корректно организовать сетевую инфраструктуру, в частности, разделить ее на необходимые сегменты — чтобы взаимодействие узлов было более защищенным в рамках сети и трафик — более прозрачным.
• Еще один «маст хэв» — тестирование на проникновение (пентест), а также формирование команды нападения Red Team.

Что новенького?

Есть мнение, что российские ИБ-разработки за последние три года — это не про что-то новое: не про новые классы решений, не про новые продукты — это про импортозамещение. Насколько это утверждение верно? Эксперты студии считают, что в России есть интересные перспективные разработки. Одна из последних — система автоматического пентестинга BAS (Breach and Attack Simulation), разработанная отечественным вендором. Решение тестирует инфраструктуру заказчика, дает рекомендации. Также следует отметить продукты класса SOAR (Security Orchestration, Automation and Response), отвечающие за управление системами безопасности. Российские вендоры показывают постоянный прогресс в этом направлении, выводят на рынок новые версии. Еще один класс продуктов — Security Awareness, позволяющий обучать пользователей ИБ-гигиене.

Если говорить о решениях именно в области разработки Linux-архитектур, то одно из последних, что сейчас на слуху — микросегментация архитектуры, в рамках которой сервисы не могут взаимодействовать дальше, чем им положено. А также — разработка изначально безопасных ОС.

Николай Вяльятага поясняет: «Под разработкой изначально безопасных операционных систем следует понимать так называемую методологию безопасной разработки, позволяющую вендору в дальнейшем самостоятельно аттестовывать собственные решения, в том числе на соответствия требованиям ФСТЭК. На данный момент в России уже четыре вендора имеют статус в области безопасной разработки. Начало положено!».