虹科分享 | 不要使用Windows解決方案來(lái)保護(hù)Linux服務(wù)器

往期回顧

Review

上期內(nèi)容為大家講解了移動(dòng)目標(biāo)防御（MTD）技術(shù)是如何有效抵御供應(yīng)鏈攻擊的。本期小編將帶大家了解如何使用移動(dòng)目標(biāo)防御（MTD）技術(shù)來(lái)保護(hù)Linux服務(wù)器。了解更多信息，敬請(qǐng)閱讀全文。

分享

對(duì)于安全操作中心來(lái)說(shuō)。一刀切的解決方案在這個(gè)領(lǐng)域不是一個(gè)好主意。不幸的是，對(duì)于試圖保護(hù)Linux服務(wù)器的安全專業(yè)人員來(lái)說(shuō)，專門的Linux解決方案很難找到。即使是以保護(hù)Linux服務(wù)器為目的的解決方案，也不是專門用來(lái)防御高級(jí)威脅的，如勒索軟件和有針對(duì)性的惡意軟件。這部分原因是由于供應(yīng)商和客戶缺乏相關(guān)認(rèn)識(shí)。關(guān)于"Linux不需要?dú)⒍拒浖?的想法仍然很普遍。但不幸的是，不管安全解決方案的供應(yīng)商的營(yíng)銷材料是怎么說(shuō)，事實(shí)是為Windows環(huán)境開發(fā)的解決方案并不能完全覆蓋Linux服務(wù)器部署所產(chǎn)生的攻擊面。

Linux和Windows服務(wù)器現(xiàn)在所面臨類似的威脅程度

Linux內(nèi)核可能具有比Windows更安全的歷史聲譽(yù)。但是，自從Covid-19大流行將幾乎所有的白領(lǐng)工作轉(zhuǎn)移到依靠云和網(wǎng)絡(luò)應(yīng)用的家庭辦公室以來(lái)，在Linux服務(wù)器上建立分層安全已經(jīng)變得至關(guān)重要，因?yàn)檫@些應(yīng)用絕大多數(shù)是由Linux驅(qū)動(dòng)的。

近年來(lái)針對(duì)Linux的威脅數(shù)量不斷增加，這一點(diǎn)就很明顯。2021年，針對(duì)Linux服務(wù)器的攻擊比2020年多出35%。同樣令人擔(dān)憂的是，越來(lái)越多的威脅要么被移植到Linux，要么專門針對(duì)Linux服務(wù)器。今天有超過(guò)500個(gè)Linux的發(fā)行版在使用。但是，世界對(duì)開源操作系統(tǒng)的依賴意味著威脅者現(xiàn)在有必要投入時(shí)間和資源來(lái)創(chuàng)建以Linux為重點(diǎn)的惡意軟件。

目標(biāo)日益豐富的Linux環(huán)境已經(jīng)變成了威脅入侵者的優(yōu)先事項(xiàng)。2020年發(fā)現(xiàn)的以Linux為重點(diǎn)的病毒是2010年的五倍以上。Go等較新的編程語(yǔ)言也使編譯跨平臺(tái)的惡意軟件變得更加容易。因此，Linux服務(wù)器越來(lái)越多地面臨與Windows服務(wù)器相同的高級(jí)威脅，包括LockBit勒索軟件和黑客版本的Cobalt Strike。像ExtraBacon漏洞、基于Golang的Spreader、QNACrypt勒索軟件和Silex惡意軟件這樣的Linux特定威脅具有高度的規(guī)避性，可以繞過(guò)基于簽名和行為的防病毒軟件。

同時(shí)Linux的攻擊面也在增加，從錯(cuò)誤的配置到云部署期間安全信息的混亂。即使安全團(tuán)隊(duì)主動(dòng)加固Linux服務(wù)器以避免常見(jiàn)的錯(cuò)誤配置問(wèn)題，但Linux漏洞的基本問(wèn)題仍然是一個(gè)日益嚴(yán)重的問(wèn)題。2021年Trend Micro的一份報(bào)告發(fā)現(xiàn)，威脅者能在六個(gè)月的時(shí)間里針對(duì)200個(gè)Linux漏洞進(jìn)行攻擊。Windows軟件沒(méi)有像Linux那樣有大量的“眼球”在搜索漏洞錯(cuò)誤。但是，隨著越來(lái)越多的應(yīng)用程序被開發(fā)到Linux上運(yùn)行，也有更多的漏洞被忽略了。每周都有超過(guò)100個(gè)對(duì)Linux穩(wěn)定內(nèi)核的錯(cuò)誤被修復(fù)。因此，致力于保護(hù)Linux服務(wù)器的團(tuán)隊(duì)已經(jīng)面臨著困難的補(bǔ)丁選擇。大多數(shù)人選擇使用MITRE的CVE列表來(lái)確定優(yōu)先次序。但是，由于Linux的CVE報(bào)告明顯延遲，漏洞不可避免地最終被遺漏，加劇了企業(yè)的漏洞風(fēng)險(xiǎn)。

Windows安全控制不合適

所有這些都意味著優(yōu)先考慮Linux服務(wù)器的安全問(wèn)題越來(lái)越重要。然而，即使安全團(tuán)隊(duì)投入時(shí)間關(guān)閉攻擊載體，并通過(guò)端點(diǎn)檢測(cè)和響應(yīng)（EDR）等解決方案減少訪問(wèn)路徑，單靠這些基于檢測(cè)的解決方案也不能阻止像RansomExx這樣的人為操作的Linux威脅。

面對(duì)越來(lái)越有針對(duì)性的高級(jí)威脅，Linux服務(wù)器迫切需要另一層防御。最重要的是，企業(yè)需要一個(gè)解決方案，以減輕以Linux為重點(diǎn)的漏洞的風(fēng)險(xiǎn)，同時(shí)在它們部署之前擊敗高級(jí)威脅，如勒索軟件等。

為Windows開發(fā)的解決方案無(wú)法做到這一點(diǎn)。與Windows服務(wù)器環(huán)境不同，Linux操作環(huán)境將資源的使用控制在最低限度。這給需要不斷掃描才能工作的安全解決方案留下了很小的空間。但是，像EDR和傳統(tǒng)及下一代防病毒（NGAV）的解決方案是主要的資源占用者，對(duì)最終用戶的性能有負(fù)面影響。

為了避免假陽(yáng)性警報(bào)超載，大多數(shù)用于保護(hù)Linux的工具被供應(yīng)商和安全團(tuán)隊(duì)調(diào)低到增加漏洞風(fēng)險(xiǎn)的程度。

由于流程、控制系統(tǒng)和應(yīng)用的不同，Linux的云部署并不適合微軟的云工作負(fù)載保護(hù)模式。

由于資源有限，而且很大一部分風(fēng)險(xiǎn)來(lái)自于漏洞--其中許多是未知的，傳統(tǒng)的基于簽名的防御模式與Linux服務(wù)器的安全需求不相容。與其依賴可識(shí)別的威脅簽名，一個(gè)適合的Linux安全解決方案將使企業(yè)內(nèi)部和云端的Linux實(shí)例安全地應(yīng)對(duì)高級(jí)威脅。

用Morphisec Knight保護(hù)Linux服務(wù)器

Morphisec Knight for Linux是專門為保護(hù)Linux服務(wù)器而設(shè)計(jì)的。它作為一個(gè)輕量級(jí)、確定性的解決方案，放大了Linux內(nèi)核固有的安全優(yōu)勢(shì)。Morphisec Knight不會(huì)浪費(fèi)網(wǎng)絡(luò)或服務(wù)器資源來(lái)尋找威脅。它不需要簽名或機(jī)器學(xué)習(xí)來(lái)識(shí)別威脅行為。相反，Knight使用專利的、革命性的移動(dòng)目標(biāo)防御（MTD）技術(shù)，主動(dòng)防止針對(duì)內(nèi)部、公共、私人和混合云Linux環(huán)境中的服務(wù)器的高級(jí)攻擊。

MTD不斷實(shí)時(shí)改變?cè)O(shè)備內(nèi)存，以改變和減少Linux服務(wù)器的攻擊面。它可以準(zhǔn)確地阻止威脅，無(wú)論它們是否使用多態(tài)防御規(guī)避、內(nèi)存部署或其他高級(jí)戰(zhàn)術(shù)。Morphisec Knight保護(hù)Linux服務(wù)器的安全，不影響性能，不需要維護(hù)，不需要持續(xù)的網(wǎng)絡(luò)連接，關(guān)鍵是沒(méi)有錯(cuò)誤警報(bào)。其他解決方案只能說(shuō)它們?cè)贚inux上工作。只有Morphisec Knight是專門為L(zhǎng)inux設(shè)計(jì)的，沒(méi)有任何負(fù)擔(dān)。事實(shí)上，獨(dú)立的測(cè)試實(shí)驗(yàn)室MDSec對(duì)Morphisec Knight進(jìn)行了測(cè)試，確認(rèn)它可以防止MITRE ATT&CK的戰(zhàn)術(shù)和對(duì)手通常使用的技術(shù)。

Morhpisec（摩菲斯）

Morphisec（摩菲斯）作為移動(dòng)目標(biāo)防御的領(lǐng)導(dǎo)者，已經(jīng)證明了這項(xiàng)技術(shù)的威力。他們已經(jīng)在5000多家企業(yè)部署了MTD驅(qū)動(dòng)的漏洞預(yù)防解決方案，每天保護(hù)800多萬(wàn)個(gè)端點(diǎn)和服務(wù)器免受許多最先進(jìn)的攻擊。事實(shí)上，Morphisec（摩菲斯）目前每天阻止15,000至30,000次勒索軟件、惡意軟件和無(wú)文件攻擊，這些攻擊是NGAV、EDR解決方案和端點(diǎn)保護(hù)平臺(tái)（EPP）未能檢測(cè)和/或阻止的。(例如，Morphisec客戶的成功案例，Gartner同行洞察力評(píng)論和PeerSpot評(píng)論)在其他NGAV和EDR解決方案無(wú)法阻止的情況下，在第零日就被阻止的此類攻擊的例子包括但不限于：

勒索軟件(例如，Conti、Darkside、Lockbit)

后門程序(例如，Cobalt Strike、其他內(nèi)存信標(biāo))

供應(yīng)鏈(例如，CCleaner、華碩、Kaseya payloads、iTunes)

惡意軟件下載程序(例如，Emotet、QBot、Qakbot、Trickbot、IceDid)

Morphisec（摩菲斯）為關(guān)鍵應(yīng)用程序，windows和linux本地和云服務(wù)器提供解決方案，2MB大小快速部署。

免費(fèi)的Guard Lite解決方案，將微軟的Defener AV變成一個(gè)企業(yè)級(jí)的解決方案。讓企業(yè)可以從單一地點(diǎn)控制所有終端。請(qǐng)聯(lián)系我們免費(fèi)獲?。?/span>