Οι οργανισμοί πρέπει να ασφαλίζουν, να παρακολουθούν και να διαχειρίζονται το Linux όπως κάθε άλλο τελικό σημείο του δικτύου
Οι κυβερνοεγκληματίες δεν έδωσαν ιστορικά μεγάλη προσοχή στα συστήματα Linux. Στην πραγματικότητα, το Linux ήταν παλαιότερα μια από τις πλατφόρμες με τις λιγότερες επιθέσεις στην πληροφορική, αλλά αυτό άλλαξε γρήγορα. Σήμερα βλέπουμε κακόβουλο λογισμικό που έχει σχεδιαστεί για να επιτίθεται σε συστήματα Linux, συχνά με τη μορφή εκτελέσιμης και συνδεόμενης μορφής (ELF). Το Linux γίνεται πιο δημοφιλής στόχος για τους επιτιθέμενους καθώς διαχειρίζεται τα back-end συστήματα πολλών δικτύων και λύσεων που βασίζονται σε κοντέινερ για συσκευές IoT και εφαρμογές κρίσιμες για την αποστολή.
Αυτό δεν είναι κάτι που οι CISO μπορούν να αγνοήσουν πλέον. Ας δούμε τις τρέχουσες απειλές και πώς να τις αντιμετωπίσουμε.
Το Linux στο στόχαστρο
Σήμερα, οι επιθέσεις σε λειτουργικά συστήματα Linux και τα προγράμματα που εκτελούνται σε αυτά είναι σχεδόν εξίσου συνηθισμένες με τις επιθέσεις σε λειτουργικά συστήματα Windows.
Πολλές εταιρείες έχουν συνηθίσει να προστατεύονται από επιθέσεις που βασίζονται στα Windows, αλλά δεν είναι συνηθισμένες να συμβαδίζουν με το Linux όσον αφορά την ανάλυση άμυνας και κακόβουλου λογισμικού. Ακόμα χειρότερα, οι εγκαταστάσεις Linux συχνά περιέχουν ευαίσθητες πληροφορίες, όπως πιστοποιητικά, διαπιστευτήρια Secure Socket Shell (SSH), ονόματα χρήστη εφαρμογών και κωδικούς πρόσβασης. Το botnet Mirai που βασίζεται σε Linux παραμένει κορυφαία απειλή, καθώς οι χειριστές συχνά βρίσκουν την ευκαιρία να προσθέσουν νέα τρωτά σημεία στο σύνολο εργαλείων εκμετάλλευσης τους.
Ο επιπολασμός συσκευών και εφαρμογών που εκτελούνται σε Linux είναι τεράστιος. Και υπάρχουν πολλές διαφορετικές γεύσεις και μορφές Linux. Ως εκ τούτου, υπάρχουν διάφορες τρύπες ασφαλείας που καταλήγουν σε αυτό. Πολλές συσκευές σε περιβάλλοντα παραγωγής και OT τρέχουν σε Linux – γεγονός που κάνει αυτή την τάση ιδιαίτερα ανησυχητική. Στην πραγματικότητα, η έκθεση της Fortinet για την Κατάσταση Επιχειρησιακής Τεχνολογίας και Κυβερνοασφάλειας για το 2021 διαπίστωσε ότι το 51% των οργανισμών υπέστη επιθέσεις επιχειρησιακής τεχνολογίας (OT) που επηρέασαν την παραγωγικότητα και το 45% βίωσαν επιθέσεις OT που έθεταν σε κίνδυνο τη φυσική ασφάλεια ενός εργαζομένου.
Το τέταρτο τρίμηνο του 2021, οι ερευνητές μας στο FortiGuard Labs διαπίστωσαν ότι το ποσοστό των νέων υπογραφών κακόβουλου λογισμικού Linux τετραπλασιάστηκε σε σχέση με το πρώτο τρίμηνο. Το 2021, οι ανιχνεύσεις κακόβουλου λογισμικού των αρχείων ELF διπλασιάστηκαν, υποδεικνύοντας ότι το κακόβουλο λογισμικό Linux γίνεται πιο διαδεδομένο στο έγκλημα στον κυβερνοχώρο.
Το Vermilion Strike, μια κακόβουλη εφαρμογή της λειτουργίας Beacon του Cobalt Strike, μπορεί να στοχεύσει υπολογιστές Linux με δυνατότητες απομακρυσμένης πρόσβασης χωρίς να ανακαλυφθεί. Είναι βέβαιο ότι θα ακολουθήσει κακόβουλο λογισμικό τώρα που η Microsoft ενσωματώνει επιθετικά το Windows Subsystem for Linux (WSL) στα Windows 11. Στην πραγματικότητα, όλος ο κώδικας που γράφεται για botnet και για κακόβουλο λογισμικό μπορεί να εκτελεστεί σε νέες πλατφόρμες Windows. Το WSL είναι ένα επίπεδο συμβατότητας που σας επιτρέπει να εκτελείτε δυαδικά εκτελέσιμα αρχεία Linux στα Windows εγγενώς. Το κακόβουλο λογισμικό Botnet δημιουργείται όλο και περισσότερο σε υπολογιστές Linux. Η τρέχουσα ευπάθεια Log4J είναι ένα άλλο παράδειγμα πρόσφατης επίθεσης κατά την οποία τα δυαδικά αρχεία Linux εκμεταλλεύτηκαν αυτήν την ευκαιρία.
Αντιμετώπιση του προβλήματος
Είναι σαφές ότι οι οργανισμοί πρέπει να ασφαλίζουν, να παρακολουθούν και να διαχειρίζονται το Linux όπως και κάθε άλλο τελικό σημείο του δικτύου. Οι οργανισμοί θα πρέπει να διαθέτουν προηγμένη και αυτοματοποιημένη προστασία τερματικού σημείου, εντοπισμό και απόκριση, καθώς και ενσωματωμένη πρόσβαση στο δίκτυο μηδενικής εμπιστοσύνης. Είναι σημαντικό να παλεύετε με τη φωτιά – πρέπει να χρησιμοποιείτε τα ίδια είδη εργαλείων που χρησιμοποιούν οι κακοί ηθοποιοί.
Αυτό σημαίνει ότι έχετε μια προοπτική του κέντρου επιχειρήσεων ασφαλείας (SOC) και χρησιμοποιείτε λύσεις όπως η ευφυΐα απειλών, το SIEM, το SOAR, η τεχνολογία εξαπάτησης – όλα αυτά είναι εργαλεία που σας βοηθούν να μην χρειάζεται να προσλάβετε 40 ή 50 περισσότερα άτομα για το SOC σας. Έχει να κάνει με το πώς μπορείτε να συνεργαστείτε με τα εργαλεία και την τεχνολογία και να έχετε σε εφαρμογή τον σχεδιασμό αντιμετώπισης περιστατικών.
Η εκπαίδευση και η ευαισθητοποίηση αποτελούν βασικό μέρος αυτής της στρατηγικής. Η υγιεινή ασφαλείας θα πρέπει να γίνει πρωταρχικός στόχος για την παροχή ενεργητικής προστασίας από απειλές για συστήματα που ενδέχεται να επηρεαστούν από απειλές χαμηλού επιπέδου. Όπως και με την προσωπική υγιεινή, η υγιεινή στον κυβερνοχώρο πρέπει να εκτελείται σε τακτική βάση – όχι μόνο μια στο τόσο ή δύο φορές το χρόνο. Με στόχο τη διατήρηση της ασφάλειας των δεδομένων, η υγιεινή ασφαλείας περιλαμβάνει τακτικά αντίγραφα ασφαλείας, τείχη προστασίας, κρυπτογράφηση, διαχείριση κωδικών πρόσβασης και πολλά άλλα. Η συνεχής εκπαίδευση των εργαζομένων είναι επίσης βασικό. βεβαιωθείτε ότι το προσωπικό γνωρίζει τις πιο πρόσφατες τεχνικές κοινωνικής μηχανικής (ειδικά το ηλεκτρονικό ταχυδρομείο) και τις βέλτιστες πρακτικές ασφάλειας.
Κάλυψη όλων των βάσεων
Οι οργανισμοί θα πρέπει να θέσουν τη σκλήρυνση των συστημάτων που βασίζονται σε Linux και Windows κορυφαία προτεραιότητα το 2022. Και οι επιχειρήσεις θα πρέπει πάντα να δίνουν προτεραιότητα στην ασφάλεια καθώς υιοθετούν τη νέα τεχνολογία. Αυτό σημαίνει ότι οι νέες συνδέσεις, όπως η δορυφορική επικοινωνία, είναι ασφαλείς πριν προχωρήσετε.
Ωστόσο, πρέπει να θυμάστε ότι οι κακόβουλοι ηθοποιοί θα συνεχίσουν να χρησιμοποιούν τακτικές που έχουν αποτέλεσμα. Δεν μπορείτε να ξεχάσετε τις απειλές που ελλοχεύουν αυτή τη στιγμή ενώ προετοιμάζεστε για μελλοντικές απειλές. Η προστασία των δικτύων σας τόσο από νέες όσο και από τρέχουσες απειλές απαιτεί μια ολοκληρωμένη στρατηγική ασφάλειας. Οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο χρήσης μιας πλατφόρμας ασφάλειας που βασίζεται σε μια αρχιτεκτονική πλέγματος κυβερνοασφάλειας με λύσεις ασφάλειας που συνεργάζονται για την καταπολέμηση των αναπτυσσόμενων απειλών, καθώς και για να διατηρούν το προσωπικό ενήμερο σχετικά με την υγιεινή και τις βέλτιστες πρακτικές στον κυβερνοχώρο. Αυτή η ολιστική προσέγγιση αντιπροσωπεύει την ισχυρότερη στάση ασφαλείας και την καλύτερη άμυνα ενάντια στους επιτιθέμενους.
