Hubo un tiempo no hace mucho tiempo cuando Linux era un sistema operativo ‘geek’, el dominio de la administración de la línea de comandos y el uso empresarial limitado. Esos días definitivamente se han ido, claramente ilustrados por cosas como Gartner vinculando el crecimiento global del sistema operativo para Linux en 13.5% [1], así como la prevalencia de Linux en el entorno de la nube pública, como lo demuestra el hecho de que aproximadamente el 90% de las cargas de trabajo en AWS EC2 están ejecutando alguna variante de Linux. Con un uso tan extendido para aplicaciones empresariales sensibles, no es de extrañar que haya un enfoque creciente en atacar servidores Linux, como se evidencia en el reciente ataque de ransomware en Corea del Sur que utilizó un ataque de ransomware centrado en Linux llamado Erebusthat que impactó los sitios web y las bases de datos. y archivos multimedia de 3.400 empresas.
Seguro, pero aún vulnerable
Con más y más servidores que se mueven más allá de los límites de la empresa y hacia la nube, la protección de la red a nivel de host se vuelve cada vez más importante, ya que las cargas de trabajo deben defenderse frente a tener un perímetro a su alrededor. Y recuerde, las cargas de trabajo incluyen las aplicaciones que se ubican sobre Linux … es más que solo el sistema operativo.
- ¿Puedo tener una lista de hackers falsos?
- ¿Por qué el software antivirus es raro en las máquinas Linux?
- ¿Por qué las Mac no contraen virus tan fácilmente como las PC?
- Hackers: ¿Fue Facebook responsable de la violación de seguridad de Twitter?
- Cómo encontrar un mentor como Chris Roberts de One World Labs (empresa de inteligencia de seguridad) y continuar una búsqueda pasiva del conocimiento en seguridad cibernética
Tener un sistema de prevención de intrusiones (IPS) basado en host ayudará a proteger contra las vulnerabilidades en el sistema operativo central Y la pila de aplicaciones que se ejecuta en la parte superior. Grandes ejemplos de vulnerabilidades accesibles a la red con impactos generalizados son el reciente problema de Apache Struts-2, Heartbleed y Shellshock, pero hay muchos más. Y solo porque una vulnerabilidad, como Heartbleed, tenga un par de años no significa que las aplicaciones y los servidores aún no sean vulnerables. En una encuesta reciente de Shodan, demostró que Heartbleed todavía era una vulnerabilidad disponible en más de 180,000 servidores en todo el mundo, ¡con la mayoría de ellos en los Estados Unidos!
[1] Gartner, “Market Share Analysis: Server Operating Systems, Worldwide, 2016”, ID # G00318388, 26 de mayo de 2017
Si ejecuta un servidor web en Linux (que se ejecuta en al menos el 37 por ciento de los servidores web según W3Techs), necesita protección contra las vulnerabilidades que los afectan, incluidos Apache, Nginx, etc.
Vulnerabilidades cubiertas en y después de 2014 (aprox.)
Antes de 2014 (aprox.)
Total
SO no Windows y servicios básicos
80
230
310
Servidores web
114
472
586
Servidores de aplicaciones
255
319
574
Consola web / Interfaces de administración
113
453
566
Servidores de bases de datos
10
218
228
Servidores DHCP, FTP, DNS
9 9
82
91 91
Tabla 1: Vulnerabilidades protegidas por Deep Security
Es muy importante no confundir las vulnerabilidades con las amenazas. Si bien puede haber menos amenazas conocidas para Linux, si observa la Base de datos de vulnerabilidad nacional, hay un número similar de vulnerabilidades reportadas para los sistemas operativos Linux y Windows.
Malware, diseñado para Linux
Contrariamente a la creencia popular, hay una gran cantidad de malware para la plataforma Linux. Si bien los números en comparación con Microsoft Windows no son tan altos, todavía hay decenas de miles de malware diseñados para Linux, incluido el ransomware Erebus mencionado anteriormente.
Implementar SOLO anti-malware es inadecuado para proteger los servidores. Sin embargo, la mayoría de los ataques a los centros de datos que provocan una violación implican la instalación de malware como parte de la cadena de ataque. Esta es la razón por la cual los marcos de cumplimiento y seguridad como PCI-DSS (Sección # 3), SANS CIS Critical Security Controls (Sección # 8) y NIST Cybersecurity Framework (Sección DE.CM-4) continúan recomendando anti-malware como un mejores prácticas.
Seguridad en capas para cargas de trabajo de Linux
Está claro que no hay una bala de plata cuando se trata de la seguridad del servidor, y que las empresas deberían utilizar un enfoque de seguridad por capas para proteger las cargas de trabajo vulnerables de Linux. Más allá del anti-malware e IPS, hay una serie de controles que ayudarán a construir una estrategia robusta de Linux:
- Control de aplicaciones: ayuda a “bloquear” el host de Linux para evitar que se ejecute un proceso o script desconocido. Esto evita que el malware se ejecute en primer lugar o que los atacantes aprovechen las puertas traseras que podría haber colocado en el servidor.
- Monitoreo de integridad: es probable que una nueva amenaza realice cambios en el sistema en algún lugar (puertos, cambios de protocolo, archivos), por lo que es importante vigilarlos. El monitoreo de integridad ayuda a monitorear el sistema en busca de cambios fuera de una ventana de cambio autorizada, que tienden a ser pocas para las cargas de trabajo de producción típicas.
- Inspección de registros: analiza los archivos de registro y proporciona un proceso de monitoreo continuo para ayudar a identificar las amenazas al inicio del ciclo. Los ataques como la inyección SQL, la inyección de comandos, los ataques contra las API se pueden ver en los registros y luego se toman medidas.
La lección que aprendemos aquí es que, aunque Linux es una opción de sistema operativo más segura y confiable, no es su solución definitiva cuando se trata de seguridad. Al igual que cualquier otro sistema operativo, se requiere un poco de ensamblaje y mantenimiento, y es su responsabilidad adoptar una estrategia de seguridad de varias capas, incluida la administración de actualizaciones periódicas y la adición de controles de seguridad adicionales para proteger los servidores Y las aplicaciones que se ejecutan en ellos. Para obtener más información sobre las vulnerabilidades de Linux y cómo protegerse contra ellas con Trend Micro Deep Security, lea nuestro breve documento de investigación aquí.
