Почему важно защищать Linux-системы

Защищенность операционной системы ― основа безопасности компании. В связи с уходом западных производителей ОС вопрос устойчивости GNU/Linux стоит особенно остро.


  • Более 77% веб-серверов работают на GNU/Linux
  • Более 70% мобильных устройств работают на ОС на базе Linux
  • 100% суперкомпьютеров из Top500 работают на Linux-системах

Требования регуляторов по переходу на Linux

  • Федеральные законы № 149-ФЗ и № 187-ФЗ
  • Постановления Правительства РФ от 16.11.2015 № 1236 и от 22.08.2022 № 1478
  • Распоряжение Правительства РФ от 26.07.2016 № 1588-р
  • Указы Президента РФ от 30.03.2022 № 166 и от 01.05.2022 № 250
  • Приказ Минцифры от 18.01.2023 № 21

Продукты Positive Technologies для защиты Linux-систем

1. MaxPatrol VM: система управления уязвимостями

MaxPatrol VM позволит выстроить процесс управления уязвимостями в Linux-системах.

  • Охватывает всю IT-инфраструктуру и поддерживает данные об активах сети в актуальном состоянии.
  • Приоритизирует уязвимости по уровню опасности для бизнес-процессов.
  • Определяет трендовые уязвимости, которые злоумышленники эксплуатируют прямо сейчас.

Все компоненты MaxPatrol VM 1.5 поддерживают установку на Astra Linux 1.7.

Трендовые уязвимости 2022 года, обнаруживаемые MaxPatrol VM:

ID Уязвимость Почему она трендовая
CVE‑2022‑34918 Linux local privilege escalation Позволяет повысить привилегии до уровня root, проста в эксплуатации, не требует взаимодействия с пользователем, есть во многих системах
CVE-2022-0074
Untrusted search path in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server Container allows privilege escalation Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет повысить привилегии до уровня root, например после эксплуатации уязвимости CVE-2022-0073, и может использоваться в цепочке с другими, например с CVE-2022-0072
CVE-2022-0073
Improper input validation vulnerability in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server dashboards allows command injection Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет выполнить произвольный код и может использоваться в цепочке с другими уязвимостями, такими как CVE-2022-0072, CVE-2022-0074
CVE-2022-43781 Bitbucket Server and Data Center command injection Уязвимость RCE, для которой не нужен изначальный доступ, если включена публичная регистрация. В случае отключения публичной регистрации вектор меняется на атаку с проверкой подлинности, что уменьшает риск эксплуатации уязвимости. По сути это является временным решением, технические детали эксплуатации уязвимости неизвестны
CVE‑2022‑30333 RARLAB UnRAR on Linux and UNIX allows directory traversal to write to files during an extract (aka unpack) operation Уязвимость позволяет записать файл за пределами каталога назначения при распаковке специально подготовленного архива. В контексте Zimbra Mail позволяет получить веб-шелл. Легко эксплуатируется в периметровом сервисе, не требует каких-либо прав. Зафиксированы случаи эксплуатации
CVE-2022-41352 Zimbra Collaboration Suite (ZCS) arbitrary file upload Уязвимость в популярном сервисе позволяет осуществить RCE-атаку. Похожа на CVE-2022-30333, для нее есть публичный эксплойт. Зафиксированы случаи эксплуатации

2. MaxPatrol SIEM: система управления событиями безопасности

MaxPatrol SIEM обеспечивает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.

В MaxPatrol SIEM есть три пакета экспертизы для выявления атак в ОС семейства GNU/Linux. В состав этих пакетов входят правила обнаружения угроз, которые позволяют выявлять:

  • подозрительную сетевую активность и изменения системных объектов,
  • локальную разведку при входе в Linux-системы,
  • запуск команд для повышения привилегий,
  • использование хакерских утилит для развития атаки.

3. PT XDR: продукт для выявления киберугроз и реагирования на них

PT XDR помогает обнаруживать угрозы на серверах и рабочих станциях корпоративной сети и реагировать на них:

  • автоматизирует реагирование на инциденты ИБ,
  • связывает события на узлах в единую цепочку атаки,
  • определяет исходную точку атаки,
  • объединяет средства ИБ в единую систему,
  • реагирует на угрозы,
  • нейтрализует топ-20 атак на Linux-системы по матрице MITRE ATT&CK.

В PT XDR доступна установка агента на Linux-системы. С его помощью можно строить цепочки атак, искать и добавлять контекст из других систем.

Операционная система на базе Linux или приложение на ней может быть целью хакера либо промежуточным звеном распространения атаки в инфраструктуре заказчика. PT XDR позволяет найти и остановить злоумышленников.

Совместимость продуктов Positive Technologies c Astra Linux

MaxPatrol SIEM, PT Application Inspector, PT ISIM, PT NAD, PT XDR, PT Sandbox можно установить на Astra Linux. В рамках сотрудничества специалисты Astra Linux предоставляют компании Positive Technologies оперативную информацию по изменениям в новых версиях ОС еще до выхода официальных релизов.

Как защитить Linux-системы

При установке отечественных операционных систем на базе Linux необходимо пользоваться официальными инструкциями разработчиков по безопасной настройке и рекомендациями ФСТЭК по безопасной настройке операционных Linux-систем.

Заказать консультацию экспертов по защите Linux-систем