速览:
Linux 也不能幸免于高级网络攻击。
原因分析。 Linux 本身
软件链的入口
其他防御机制
基于移动目标防御技术的 Morphisec Knigt for Linux
在数字时代,网络安全已成为企业不可忽视的重要问题。 特别是对于依赖 Linux 服务器的组织来说,面对日益复杂的网络攻击,传统的安全措施已经不够用了。 Linux服务器面临哪些新的网络威胁,有效的防御策略是什么?
1. Linux 不能幸免于高级网络攻击
首席信息安全官和 IT 管理员最担心的是勒索软件和其他恶意软件。 让我们来看看每年新增多少个 Linux 恶意软件家族。 这表明威胁行为者正在转移优先事项,表明威胁行为者正在将注意力转移到 Linux 漏洞而不是传统目标上。
2010 年至 2020 年间每年发现新的 Linux 恶意软件家族 (**intezers)
再次查看 Linux 恶意软件增长与 Windows 恶意软件增长的比较,Linux 恶意软件更新现在接近基于 Windows 的恶意软件。
*: ibm x-force threat intelligence index 2022, originator intezer
2、原因分析
(1)Linux自身的原因
1、Linux的开源性使其具有渗透性,恶意软件可以很容易地绕过Linux的防御工具,但人们长期没有重视安全防御,最终造成了网络服务器、数据库、网络文件共享、ERP系统、应用网关等后端系统无法防范安全黑洞的情况。
2. 传统的基于签名的防病毒程序和基于机器学习的下一代防病毒 (NG**) 应用程序不再能够保护组织免受高级网络攻击。 这些攻击的复杂性、数量和影响都在增加,网络犯罪分子绕过保护并导致大量数据泄露和勒索软件攻击。
3. 端点检测和响应 (EDR) 工具是被动的,其中许多解决方案并未针对云或服务器工作负载进行优化。
4. 云工作负载保护平台(CWPP)和服务器工作负载保护(SWP)安全解决方案成本高昂,难以实施、操作和维护。
5. 与物联网、大数据、分析、区块链和其他 B2B 应用相关的现代应用程序也缺乏传统的解决方案。 他们依赖于昂贵的尖端计算资源,这些资源容易受到传统安全工具带来的风险的影响。
(2)软件链的入口
软件链已成为企业的重要资源。 用这样的**链代替自己的软件开发,可以提高生产力和效率,同时降低成本。 但也有一个缺点:软件链是网络攻击的主要目标。 Linux 是开源的,因此天生容易受到链的攻击。 安全团队必须了解攻击的原因并探索解决方案。
(3)其他防御机制
1. 传统的防护方式侧重于以工作站-终端-为中心,这是一种不同于服务器攻击的威胁策略和技术。 攻击方法已经演变成新的恶意软件并逃避检测,最终逃脱了以检测为中心的解决方案。
2. 在软件依赖不断变化的开源世界中,很难“只安装签名版本”。 因此,在某些情况下,软件的完整性是不安全的,即使是从受信任的人那里签名或接收的软件也是不安全的。
3.“将软件更新到最新版本”只能提供很少的保护,因为更新的软件不会强化隐藏或未知的破坏性弱点。 在许多关键任务系统中,修补和重新启动是不可能的,只能定期以协调的方式进行,这始终是一个差距。
4.“监控软件行为”可能有助于发现问题,但当问题被发现时,隐蔽的攻击已经溜走,重大损失已经发生,为时已晚。
5. “Review Source**”仅在开发者看到对 Source ** 的更改时才有效。 虽然莱纳斯定律断言“只要有足够的眼球,所有错误都可以浮出水面”,但现代工作负载服务器中的开源软件和第三方**的数量超出了任何组织正确分析它的能力。
3. 基于移动目标防御技术的 Morphisec Knigt for Linux
Morphisec Knight for Linux 使用 MTD 技术主动阻止基于文件的恶意软件、无文件威胁、高级内存持续性威胁 (APT) 和零日攻击。 移动目标防御使用简单、有效且经过验证的洞察力来防止网络攻击:移动目标比静止目标更难击中。 MTD采取以预防为导向的方法,不断转移和隐藏入口点,以防止犯罪分子进入。 此外,它还设置了一个陷阱来捕捉他们的行动,以进一步保护他们免受未来的攻击。 移动目标防御是对反应防御的补充,可避免更复杂的 0 天威胁。
大多数攻击都遵循规定的路线图来达到其预期目标。 因此,如果攻击者找不到他们想要的东西——例如进入组织的门或窗——他们就会失败。 保持一个动态的入口点,而不是一个静态的入口点,本质上是不可避免的和未知的,而且要安全得多。 在移动目标防御中,攻击者必须找到前进的方向并战斗。 鉴于持续进行这些攻击的工作量和成本大大增加,大多数攻击者将转向更容易的目标。 MTD 在不中断当前 NG**、EPP 或 EDR 功能的情况下,向威胁参与者隐藏漏洞、弱点和关键资产。 这可确保在造成损害之前阻止 0 日攻击、勒索软件和其他高级攻击。
适用于 Linux 的 Morphisec Knight 创建了一个“骨架”或虚假前端来捕获高级规避恶意软件,使合法应用程序能够继续畅通无阻地运行。 Morphisec Knight 采用 MTD 来确保系统之间的差异化——即使是系统也会随时间而变化。 从专有技术的角度来看,这意味着我们更改(随机化)一些 Linux 内核 API,以便为受信任的应用程序提供修改后的运行时接口。 结果是威胁行为者无法渗透的动态攻击面,导致他们放弃攻击并转向更容易的目标。
Knight 在内存和预执行中使用可执行修改。 这确保了对试图利用受信任但易受攻击的应用程序的攻击者的“专门处理”。 这些执行前内存修改使对手无法在一个地方进行训练,然后在不同的机器、时间等上重用该方法。 主机安装**使 Morphisec 能够在不牺牲性能或增加成本和复杂性的情况下提供实时、确定性的预防。 Knight for Linux 的不同之处在于这种保护 Linux 设备的方法。 由于它不需要更新,因此它利用命令验证过程(类似于 CPU 操作码(操作))来确定是否应信任操作。 它在资源负载上是轻量级的,并且与后端系统隔离。