【虹科分享】不要使用Windows解决方案来保护Linux服务器

分享

对于安全操作中心来说。一刀切的解决方案在这个领域不是一个好主意。不幸的是,对于试图保护Linux服务器的安全专业人员来说,专门的Linux解决方案很难找到。即使是以保护Linux服务器为目的的解决方案,也不是专门用来防御高级威胁的,如勒索软件和有针对性的恶意软件。这部分原因是由于供应商和客户缺乏相关认识。关于 “Linux不需要杀毒软件 “的想法仍然很普遍。但不幸的是,不管安全解决方案的供应商的营销材料是怎么说,事实是为Windows环境开发的解决方案并不能完全覆盖Linux服务器部署所产生的攻击面。

Linux和Windows服务器现在所面临类似的威胁程度

Linux内核可能具有比Windows更安全的历史声誉。但是,自从Covid-19大流行将几乎所有的白领工作转移到依靠云和网络应用的家庭办公室以来,在Linux服务器上建立分层安全已经变得至关重要,因为这些应用绝大多数是由Linux驱动的。

 

近年来针对Linux的威胁数量不断增加,这一点就很明显。2021年,针对Linux服务器的攻击比2020年多出35%。同样令人担忧的是,越来越多的威胁要么被移植到Linux,要么专门针对Linux服务器。今天有超过500个Linux的发行版在使用。但是,世界对开源操作系统的依赖意味着威胁者现在有必要投入时间和资源来创建以Linux为重点的恶意软件。 

目标日益丰富的Linux环境已经变成了威胁入侵者的优先事项。2020年发现的以Linux为重点的病毒是2010年的五倍以上。Go等较新的编程语言也使编译跨平台的恶意软件变得更加容易。因此,Linux服务器越来越多地面临与Windows服务器相同的高级威胁,包括LockBit勒索软件和黑客版本的Cobalt Strike。像ExtraBacon漏洞、基于Golang的Spreader、QNACrypt勒索软件和Silex恶意软件这样的Linux特定威胁具有高度的规避性,可以绕过基于签名和行为的防病毒软件。

同时Linux的攻击面也在增加,从错误的配置到云部署期间安全信息的混乱。即使安全团队主动加固Linux服务器以避免常见的错误配置问题,但Linux漏洞的基本问题仍然是一个日益严重的问题。 2021年Trend Micro的一份报告发现,威胁者能在六个月的时间里针对200个Linux漏洞进行攻击。Windows软件没有像Linux那样有大量的“眼球”在搜索漏洞错误。但是,随着越来越多的应用程序被开发到Linux上运行,也有更多的漏洞被忽略了。每周都有超过100个对Linux稳定内核的错误被修复。因此,致力于保护Linux服务器的团队已经面临着困难的补丁选择。大多数人选择使用MITRE的CVE列表来确定优先次序。但是,由于Linux的CVE报告明显延迟,漏洞不可避免地最终被遗漏,加剧了企业的漏洞风险。

Windows安全控制不合适

所有这些都意味着优先考虑Linux服务器的安全问题越来越重要。然而,即使安全团队投入时间关闭攻击载体,并通过端点检测和响应(EDR)等解决方案减少访问路径,单靠这些基于检测的解决方案也不能阻止像RansomExx这样的人为操作的Linux威胁。

面对越来越有针对性的高级威胁,Linux服务器迫切需要另一层防御。最重要的是,企业需要一个解决方案,以减轻以Linux为重点的漏洞的风险,同时在它们部署之前击败高级威胁,如勒索软件等。 

 

为Windows开发的解决方案无法做到这一点。与Windows服务器环境不同,Linux操作环境将资源的使用控制在最低限度。这给需要不断扫描才能工作的安全解决方案留下了很小的空间。但是,像EDR和传统及下一代防病毒(NGAV)的解决方案是主要的资源占用者,对最终用户的性能有负面影响。

为了避免假阳性警报超载,大多数用于保护Linux的工具被供应商和安全团队调低到增加漏洞风险的程度。

由于流程、控制系统和应用的不同,Linux的云部署并不适合微软的云工作负载保护模式。

由于资源有限,而且很大一部分风险来自于漏洞–其中许多是未知的,传统的基于签名的防御模式与Linux服务器的安全需求不相容。与其依赖可识别的威胁签名,一个适合的Linux安全解决方案将使企业内部和云端的Linux实例安全地应对高级威胁。

用Morphisec Knight保护Linux服务器

Morphisec Knight for Linux是专门为保护Linux服务器而设计的。它作为一个轻量级、确定性的解决方案,放大了Linux内核固有的安全优势。Morphisec Knight不会浪费网络或服务器资源来寻找威胁。它不需要签名或机器学习来识别威胁行为。相反,Knight使用专利的、革命性的移动目标防御(MTD)技术,主动防止针对内部、公共、私人和混合云Linux环境中的服务器的高级攻击。 

 

MTD不断实时改变设备内存,以改变和减少Linux服务器的攻击面。它可以准确地阻止威胁,无论它们是否使用多态防御规避、内存部署或其他高级战术。Morphisec Knight保护Linux服务器的安全,不影响性能,不需要维护,不需要持续的网络连接,关键是没有错误警报。其他解决方案只能说它们在Linux上工作。只有Morphisec Knight是专门为Linux设计的,没有任何负担。 事实上,独立的测试实验室MDSec对Morphisec Knight进行了测试,确认它可以防止MITRE ATT&CK的战术和对手通常使用的技术。