Почему важно защищать Linux-системы

Защищенность операционной системы ― основа безопасности компании. В связи с уходом западных вендоров широкое распространение на российском рынке получили операционные системы на базе GNU/Linux.

На Linux-системах работают:


  • 77% веб-серверов,
  • 70% мобильных устройств,
  • 100% суперкомпьютеров из Top500.

Защита Positive Technologies для Linux-систем

Требования регуляторов по переходу на Linux

  • Федеральные законы № 149-ФЗ и № 187-ФЗ
  • Постановления Правительства РФ от 16.11.2015 № 1236 и от 22.08.2022 № 1478
  • Распоряжение Правительства РФ от 26.07.2016 № 1588-р
  • Указы Президента РФ от 30.03.2022 № 166 и от 01.05.2022 № 250
  • Приказ Минцифры от 18.01.2023 № 21

Продукты и решения Positive Technologies для защиты Linux-систем

1. MaxPatrol VM: система управления уязвимостями

MaxPatrol VM позволит выстроить процесс управления уязвимостями в Linux-системах.

  • Охватывает всю IT-инфраструктуру и поддерживает данные об активах сети в актуальном состоянии.
  • Приоритизирует уязвимости по уровню опасности для бизнес-процессов.
  • Определяет трендовые уязвимости, которые злоумышленники эксплуатируют прямо сейчас.

Все компоненты MaxPatrol VM 1.5 поддерживают установку на Astra Linux 1.7.

Трендовые уязвимости 2022 года, обнаруживаемые MaxPatrol VM:

ID Уязвимость Почему она трендовая
CVE‑2022‑34918 Linux local privilege escalation Позволяет повысить привилегии до уровня root, проста в эксплуатации, не требует взаимодействия с пользователем, есть во многих системах
CVE-2022-0074
Untrusted search path in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server Container allows privilege escalation Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет повысить привилегии до уровня root, например после эксплуатации уязвимости CVE-2022-0073, и может использоваться в цепочке с другими, например с CVE-2022-0072
CVE-2022-0073
Improper input validation vulnerability in LiteSpeed Technologies OpenLiteSpeed Web Server and LiteSpeed Web Server dashboards allows command injection Популярный веб-сервер, к которому обычно есть доступ снаружи. Уязвимость позволяет выполнить произвольный код и может использоваться в цепочке с другими уязвимостями, такими как CVE-2022-0072, CVE-2022-0074
CVE-2022-43781 Bitbucket Server and Data Center command injection Уязвимость RCE, для которой не нужен изначальный доступ, если включена публичная регистрация. В случае отключения публичной регистрации вектор меняется на атаку с проверкой подлинности, что уменьшает риск эксплуатации уязвимости. По сути это является временным решением, технические детали эксплуатации уязвимости неизвестны
CVE‑2022‑30333 RARLAB UnRAR on Linux and UNIX allows directory traversal to write to files during an extract (aka unpack) operation Уязвимость позволяет записать файл за пределами каталога назначения при распаковке специально подготовленного архива. В контексте Zimbra Mail позволяет получить веб-шелл. Легко эксплуатируется в периметровом сервисе, не требует каких-либо прав. Зафиксированы случаи эксплуатации
CVE-2022-41352 Zimbra Collaboration Suite (ZCS) arbitrary file upload Уязвимость в популярном сервисе позволяет осуществить RCE-атаку. Похожа на CVE-2022-30333, для нее есть публичный эксплойт. Зафиксированы случаи эксплуатации

2. MaxPatrol SIEM: система управления событиями безопасности

MaxPatrol SIEM обеспечивает полную видимость IT-инфраструктуры и выявляет инциденты информационной безопасности.

В MaxPatrol SIEM есть три пакета экспертизы для выявления атак в ОС семейства GNU/Linux. В состав этих пакетов входят правила обнаружения угроз, которые позволяют выявлять:

  • подозрительную сетевую активность и изменения системных объектов,
  • локальную разведку при входе в Linux-системы,
  • запуск команд для повышения привилегий,
  • использование хакерских утилит для развития атаки.

3. PT XDR: решение для выявления киберугроз и реагирования на них

PT XDR помогает обнаруживать угрозы на серверах и рабочих станциях корпоративной сети и реагировать на них:

  • автоматизирует реагирование на инциденты ИБ,
  • связывает события на узлах в единую цепочку атаки,
  • определяет исходную точку атаки,
  • объединяет средства ИБ в единую систему,
  • реагирует на угрозы,
  • нейтрализует топ-20 атак на Linux-системы по матрице MITRE ATT&CK.

В PT XDR доступна установка агента на Linux-системы. С его помощью можно строить цепочки атак, искать и добавлять контекст из других систем.

Операционная система на базе Linux или приложение на ней может быть целью хакера либо промежуточным звеном распространения атаки в инфраструктуре заказчика. PT XDR позволяет найти и остановить злоумышленников.

4. PT Sandbox: сетевая песочница для выявления вредоносного ПО

PT Sandbox защищает инфраструктуру компании, работающую под управлением Linux:

  • с помощью статического и динамического анализа обнаруживает и блокирует вредоносное ПО;
  • контролирует основные каналы передачи файлов и ссылок в инфраструктуре компании;
  • анализирует объекты и предоставляет результаты проверки с возможностью выгрузки артефактов;
  • использует настраиваемые приманки в виртуальных средах для обнаружения ВПО;
  • повышает достоверность итогового вердикта благодаря проверке трафика, генерируемого в процессе анализа файла;
  • полностью покрывает тактики и техники атакующих по матрице MITRE ATT&CK, связанные с ВПО для Linux.

Совместимость продуктов Positive Technologies c Astra Linux

MaxPatrol SIEM, PT Application Inspector, PT ISIM, PT NAD, PT XDR, PT Sandbox можно установить на Astra Linux. В рамках сотрудничества специалисты Astra Linux предоставляют компании Positive Technologies оперативную информацию по изменениям в новых версиях ОС еще до выхода официальных релизов.

Как использовать Linux-системы безопасно

При переходе на отечественные ОС необходимо руководствоваться официальными инструкциями разработчиков и рекомендациями ФСТЭК по безопасной настройке Linux-систем.