- 77% веб-серверов,
- 70% мобильных устройств,
- 100% суперкомпьютеров из Top500.
Почему важно защищать Linux-системы
Защищенность операционной системы ― основа безопасности компании. В связи с уходом западных вендоров широкое распространение на российском рынке получили операционные системы на базе GNU/Linux.
На Linux-системах работают:
Защита Positive Technologies для Linux-систем
Требования регуляторов по переходу на Linux
- Федеральные законы № 149-ФЗ и № 187-ФЗ
- Постановления Правительства РФ от 16.11.2015 № 1236 и от 22.08.2022 № 1478
- Распоряжение Правительства РФ от 26.07.2016 № 1588-р
- Указы Президента РФ от 30.03.2022 № 166 и от 01.05.2022 № 250
- Приказ Минцифры от 18.01.2023 № 21
Продукты и решения Positive Technologies для защиты Linux-систем
1. MaxPatrol VM: система управления уязвимостями
MaxPatrol VM позволит выстроить процесс управления уязвимостями в Linux-системах.
- Охватывает всю IT-инфраструктуру и поддерживает данные об активах сети в актуальном состоянии.
- Приоритизирует уязвимости по уровню опасности для бизнес-процессов.
- Определяет трендовые уязвимости, которые злоумышленники эксплуатируют прямо сейчас.
Все компоненты MaxPatrol VM 1.5 поддерживают установку на Astra Linux 1.7.
Трендовые уязвимости 2022 года, обнаруживаемые MaxPatrol VM:
| ID | Уязвимость | Почему она трендовая |
|---|---|---|
| CVE‑2022‑34918 | Linux local privilege escalation | Позволяет повысить привилегии до уровня root, проста в эксплуатации, не требует взаимодействия с пользователем, есть во многих системах |
|
CVE-2022-0074 |
Untrusted search path in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server Container allows privilege escalation | Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет повысить привилегии до уровня root, например после эксплуатации уязвимости CVE-2022-0073, и может использоваться в цепочке с другими, например с CVE-2022-0072 |
|
CVE-2022-0073 |
Improper input validation vulnerability in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server dashboards allows command injection | Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет выполнить произвольный код и может использоваться в цепочке с другими уязвимостями, такими как CVE-2022-0072, CVE-2022-0074 |
| CVE-2022-43781 | Bitbucket Server and Data Center command injection | Уязвимость RCE, для которой не нужен изначальный доступ, если включена публичная регистрация. В случае отключения публичной регистрации вектор меняется на атаку с проверкой подлинности, что уменьшает риск эксплуатации уязвимости. По сути это является временным решением, технические детали эксплуатации уязвимости неизвестны |
| CVE‑2022‑30333 | RARLAB UnRAR on Linux and UNIX allows directory traversal to write to files during an extract (aka unpack) operation | Уязвимость позволяет записать файл за пределами каталога назначения при распаковке специально подготовленного архива. В контексте Zimbra Mail позволяет получить веб-шелл. Легко эксплуатируется в периметровом сервисе, не требует каких-либо прав. Зафиксированы случаи эксплуатации |
| CVE-2022-41352 | Zimbra Collaboration Suite (ZCS) arbitrary file upload | Уязвимость в популярном сервисе позволяет осуществить RCE-атаку. Похожа на CVE-2022-30333, для нее есть публичный эксплойт. Зафиксированы случаи эксплуатации |
2. MaxPatrol SIEM: система управления событиями безопасности
MaxPatrol SIEM обеспечивает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.
В MaxPatrol SIEM есть три пакета экспертизы для выявления атак в ОС семейства GNU/Linux. В состав этих пакетов входят правила обнаружения угроз, которые позволяют выявлять:
- подозрительную сетевую активность и изменения системных объектов,
- локальную разведку при входе в Linux-системы,
- запуск команд для повышения привилегий,
- использование хакерских утилит для развития атаки.
3. PT XDR: решение для выявления киберугроз и реагирования на них
PT XDR помогает обнаруживать угрозы на серверах и рабочих станциях корпоративной сети и реагировать на них:
- автоматизирует реагирование на инциденты ИБ,
- связывает события на узлах в единую цепочку атаки,
- определяет исходную точку атаки,
- объединяет средства ИБ в единую систему,
- реагирует на угрозы,
- нейтрализует топ-20 атак на Linux-системы по матрице MITRE ATT&CK.
В PT XDR доступна установка агента на Linux-системы. С его помощью можно строить цепочки атак, искать и добавлять контекст из других систем.
Операционная система на базе Linux или приложение на ней может быть целью хакера либо промежуточным звеном распространения атаки в инфраструктуре заказчика. PT XDR позволяет найти и остановить злоумышленников.
4. PT Sandbox: сетевая песочница для выявления вредоносного ПО
PT Sandbox защищает инфраструктуру компании, работающую под управлением Linux:
- с помощью статического и динамического анализа обнаруживает и блокирует вредоносное ПО;
- контролирует основные каналы передачи файлов и ссылок в инфраструктуре компании;
- анализирует объекты и предоставляет результаты проверки с возможностью выгрузки артефактов;
- использует настраиваемые приманки в виртуальных средах для обнаружения ВПО;
- повышает достоверность итогового вердикта благодаря проверке трафика, генерируемого в процессе анализа файла;
- полностью покрывает тактики и техники атакующих по матрице MITRE ATT&CK, связанные с ВПО для Linux.
Совместимость продуктов Positive Technologies c Astra Linux
MaxPatrol SIEM, PT Application Inspector, PT ISIM, PT NAD, PT XDR, PT Sandbox можно установить на Astra Linux. В рамках сотрудничества специалисты Astra Linux предоставляют компании Positive Technologies оперативную информацию по изменениям в новых версиях ОС еще до выхода официальных релизов.
Как использовать Linux-системы безопасно
При переходе на отечественные ОС необходимо руководствоваться официальными инструкциями разработчиков и рекомендациями ФСТЭК по безопасной настройке Linux-систем.