Theo các nhà nghiên cứu bảo mật của Kaspersky, tin tặc đang ngày càng chú ý đến việc tấn công các máy chủ và máy trạm Linux.
Mặc dù các hệ thống Windows có truyền thống nằm trong tầm ngắm của những kẻ tấn công, nhưng các mối đe dọa nâng cao (APT) hiện đang là một vấn đề nghiêm trọng trong thế giới Linux. Các hệ thống Linux đang được nhắm mục tiêu cụ thể với sự lựa chọn ngày càng rộng rãi các công cụ phần mềm độc hại.
Mặc dù còn lâu mới phát hiện ra phần mềm độc hại trên Linux – và đã có rất nhiều ví dụ đáng chú ý như TwoSail Junk, Sofacy và Equation – Kaspersky chỉ ra rằng mặc dù có ấn tượng rộng rãi rằng hệ thống Linux hiếm khi hoặc không bao giờ được nhắm mục tiêu , trên thực tế có rất nhiều webshells, backdoor và rootkit được thiết kế đặc biệt cho Linux.
Một ví dụ gần đây là phiên bản cập nhật của cửa hậu Penguin_x64 Linux từ nhóm Turla của Nga. Tập đoàn phần mềm độc hại Lazarus của Hàn Quốc cũng đã tăng cường kho vũ khí phần mềm độc hại trên Linux, với nhiều công cụ khác nhau được sử dụng trong các cuộc tấn công tài chính và gián điệp.
Yury Namestnikov, trưởng nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky tại Nga, cho biết:
Xu hướng nâng cao bộ công cụ APT đã được các chuyên gia của chúng tôi xác định nhiều lần trong quá khứ và các công cụ tập trung vào Linux cũng không ngoại lệ. Nhằm bảo mật hệ thống của họ, các bộ phận CNTT và bảo mật đang sử dụng Linux thường xuyên hơn trước. Các tác nhân đe dọa đang đáp ứng điều này bằng việc tạo ra các công cụ tinh vi có thể xâm nhập vào các hệ thống như vậy. Chúng tôi khuyên các chuyên gia an ninh mạng nên tính đến xu hướng này và thực hiện các biện pháp bổ sung để bảo vệ máy chủ và máy trạm của họ.
Công ty bảo mật chia sẻ chi tiết một số bước có thể được thực hiện để giúp bảo vệ hệ thống Linux khỏi APT:
- Duy trì danh sách các nguồn phần mềm đáng tin cậy và tránh sử dụng các kênh cập nhật không được mã hóa
- Không chạy tệp nhị phân và tập lệnh từ các nguồn không đáng tin cậy. Những cách được quảng cáo rộng rãi để cài đặt chương trình bằng các lệnh như “curl https: // install-url | sudo bash” gây ra một cơn ác mộng bảo mật
- Đảm bảo quy trình cập nhật của bạn có hiệu quả và thiết lập cập nhật bảo mật tự động
- Dành thời gian để thiết lập tường lửa đúng cách: đảm bảo tường lửa ghi lại hoạt động mạng, chặn tất cả các cổng bạn không sử dụng và giảm thiểu phạm vi mạng của bạn
- Sử dụng xác thực SSH dựa trên khóa và bảo vệ khóa bằng mật khẩu
- Sử dụng 2FA (xác thực hai yếu tố) và lưu trữ các khóa nhạy cảm trên các thiết bị mã thông báo bên ngoài (ví dụ: Yubikey)
- Sử dụng một nút mạng ngoài băng tần để giám sát và phân tích độc lập các giao tiếp mạng của hệ thống Linux của bạn
- Duy trì tính toàn vẹn của tệp thực thi hệ thống và xem xét các thay đổi tệp cấu hình thường xuyên
- Hãy chuẩn bị cho các cuộc tấn công nội bộ / vật lý: sử dụng mã hóa toàn bộ ổ đĩa, khởi động đáng tin cậy / an toàn và dán băng bảo mật có bằng chứng giả mạo trên phần cứng quan trọng của bạn
- Kiểm tra hệ thống và kiểm tra nhật ký để tìm các chỉ số tấn công
- Chạy thử nghiệm thâm nhập trên thiết lập Linux của bạn
- Sử dụng giải pháp bảo mật chuyên dụng với tính năng bảo vệ Linux, chẳng hạn như Bảo mật điểm cuối tích hợp. Điều này cung cấp khả năng bảo vệ web và mạng để phát hiện lừa đảo, các trang web độc hại và các cuộc tấn công mạng cũng như kiểm soát thiết bị, cho phép người dùng xác định các quy tắc để truyền dữ liệu đến các thiết bị khác
- Kaspersky Hybrid Cloud Security cho phép bảo vệ DevOps, cho phép tích hợp bảo mật vào các nền tảng và vùng chứa CI / CD và quét hình ảnh chống lại các cuộc tấn công chuỗi cung ứng