Защищенность операционной системы ― основа безопасности компании. В связи с уходом западных вендоров широкое распространение на российском рынке получили операционные системы на базе GNU/Linux.


Почему важно защищать
Linux-системы
Требования регуляторов по переходу на Linux
- Федеральные законы № 149-ФЗ и № 187-ФЗ
- Постановления Правительства РФ от 16.11.2015 № 1236 и от 22.08.2022 № 1478
- Распоряжение Правительства РФ от 26.07.2016 № 1588-р
- Указы Президента РФ от 30.03.2022 № 166 и от 01.05.2022 № 250
- Приказ Минцифры от 18.01.2023 № 21


Продукты и решения Positive Technologies для защиты Linux-систем
MaxPatrol VM: система управления уязвимостями
MaxPatrol VM позволит выстроить процесс управления уязвимостями в Linux-системах.
- Охватывает всю IT-инфраструктуру и поддерживает данные об активах сети в актуальном состоянии.
- Приоритизирует уязвимости по уровню опасности для бизнес-процессов.
- Определяет трендовые уязвимости, которые злоумышленники эксплуатируют прямо сейчас.
Трендовые уязвимости 2022 года, обнаруживаемые MaxPatrol VM:
ID | Уязвимость | Почему она трендовая |
---|---|---|
CVE‑2022‑34918 | Linux local privilege escalation | Позволяет повысить привилегии до уровня root, проста в эксплуатации, не требует взаимодействия с пользователем, есть во многих системах |
CVE-2022-0074 | Untrusted search path in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server Container allows privilege escalation | Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет повысить привилегии до уровня root, например после эксплуатации уязвимости CVE-2022-0073, и может использоваться в цепочке с другими, например с CVE-2022-0072 |
CVE-2022-0073 | Improper input validation vulnerability in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server dashboards allows command injection | Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет выполнить произвольный код и может использоваться в цепочке с другими уязвимостями, такими как CVE-2022-0072, CVE-2022-0074 |
CVE-2022-43781 | Bitbucket Server and Data Center command injection | Уязвимость RCE, для которой не нужен изначальный доступ, если включена публичная регистрация. В случае отключения публичной регистрации вектор меняется на атаку с проверкой подлинности, что уменьшает риск эксплуатации уязвимости. По сути это является временным решением, технические детали эксплуатации уязвимости неизвестны |
CVE‑2022‑30333 | RARLAB UnRAR on Linux and UNIX allows directory traversal to write to files during an extract (aka unpack) operation | Уязвимость позволяет записать файл за пределами каталога назначения при распаковке специально подготовленного архива. В контексте Zimbra Mail позволяет получить веб-шелл. Легко эксплуатируется в периметровом сервисе, не требует каких-либо прав. Зафиксированы случаи эксплуатации |
CVE-2022-41352 | Zimbra Collaboration Suite (ZCS) arbitrary file upload | Уязвимость в популярном сервисе позволяет осуществить RCE-атаку. Похожа на CVE-2022-30333, для нее есть публичный эксплойт. Зафиксированы случаи эксплуатации |
MaxPatrol SIEM: система управления событиями безопасности
MaxPatrol SIEM обеспечивает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.
В MaxPatrol SIEM есть три пакета экспертизы для выявления атак в ОС семейства GNU/Linux. В состав этих пакетов входят правила обнаружения угроз, которые позволяют выявлять:
- подозрительную сетевую активность и изменения системных объектов,
- локальную разведку при входе в Linux-системы,
- запуск команд для повышения привилегий,
- использование хакерских утилит для развития атаки.
MaxPatrol EDR: система защиты конечный устройств от хакеров
- Выявляет сложные атаки на серверах, виртуальных рабочих местах, ноутбуках удаленных сотрудников;
- Дает полный набор данных для расследования атак;
- Останавливает вредоносные действия по запросу специалиста ИБ или автоматически;
- Защищает устройства на базе отечественных ОС;
- Собирает данные для аудита уязвимостей в тесной связке с MaxPatrol VM;
- Обнаруживает угрозы автономно, когда устройства работают без доступа к сети или в закрытом контуре.
PT Sandbox: сетевая песочница для выявления вредоносного ПО
PT Sandbox защищает инфраструктуру компании, работающую под управлением Linux:
- с помощью статического и динамического анализа обнаруживает и блокирует вредоносное ПО;
- контролирует основные каналы передачи файлов и ссылок в инфраструктуре компании;
- анализирует объекты и предоставляет результаты проверки с возможностью выгрузки артефактов;
- использует настраиваемые приманки в виртуальных средах для обнаружения ВПО;
- повышает достоверность итогового вердикта благодаря проверке трафика, генерируемого в процессе анализа файла;
- полностью покрывает тактики и техники атакующих по матрице MITRE ATT&CK, связанные с ВПО для Linux.
Совместимость продуктов Positive Technologies c Astra Linux
MaxPatrol SIEM, PT Application Inspector, PT ISIM, PT NAD, PT XDR, PT Sandbox можно установить на Astra Linux. В рамках сотрудничества специалисты Astra Linux предоставляют компании Positive Technologies оперативную информацию по изменениям в новых версиях ОС еще до выхода официальных релизов.


Как использовать Linux-системы безопасно
При переходе на отечественные ОС необходимо руководствоваться официальными инструкциями разработчиков и рекомендациями ФСТЭК по безопасной настройке Linux-систем.

Остались вопросы?
Заполните форму и наши специалисты свяжутся с вами в ближайшее время