文章速覽：

• Linux難逃高級網(wǎng)絡(luò)攻擊
• 原因分析
  Linux自身原因
  軟件供應(yīng)鏈的入口
  其他防御機(jī)制
• 基于移動目標(biāo)防御技術(shù)的Morphisec Knigt for Linux

在數(shù)字化時代，網(wǎng)絡(luò)安全已成為企業(yè)不可忽視的重要議題。尤其是對于依賴Linux服務(wù)器的組織，面對日益復(fù)雜的網(wǎng)絡(luò)攻擊，傳統(tǒng)安全措施已顯不足。Linux服務(wù)器面臨著哪些新型網(wǎng)絡(luò)威脅，有哪些有效的防御策略呢？

一、Linux難逃高級網(wǎng)絡(luò)攻擊

CISO和IT管理員最怕的就是勒索軟件和其他惡意軟件。我們來看看每年增加了多少新的Linux惡意軟件家族。這表明威脅者正在轉(zhuǎn)移優(yōu)先級，表明威脅參與者正在將重點(diǎn)轉(zhuǎn)移到Linux漏洞上，而不是傳統(tǒng)目標(biāo)。

2010-2020年間每年發(fā)現(xiàn)的新Linux惡意軟件系列(來源：Intezer)

再看看Linux惡意軟件與Windows惡意軟件增長的比較，Linux惡意軟件的更新現(xiàn)在接近基于Windows的惡意軟件。

來源：IBM X-Force Threat Intelligence Index 2022, originator Intezer

二、原因分析

（一）Linux自身原因

1、Linux的開源性質(zhì)使其具有滲透性，惡意共計軟件能夠輕易繞過Linux的防御工具，然而長期以來人們并不重視安全防御，最后造成的局面是，網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)文件共享、ERP系統(tǒng)、應(yīng)用網(wǎng)關(guān)等后端系統(tǒng)無法防范安全黑洞。

2、傳統(tǒng)的基于簽名的防病毒程序和基于機(jī)器學(xué)習(xí)的下一代防病毒(NGAV)應(yīng)用程序已經(jīng)無法保護(hù)組織免受高級網(wǎng)絡(luò)攻擊。這些攻擊的復(fù)雜性、數(shù)量和影響都在不斷增加，網(wǎng)絡(luò)犯罪分子繞過保護(hù)措施，造成了大量的數(shù)據(jù)泄露和勒索軟件攻擊。

3、終端檢測和響應(yīng)(EDR)工具是被動的，其中許多解決方案沒有針對云或服務(wù)器工作負(fù)載進(jìn)行優(yōu)化。

4、云工作負(fù)載保護(hù)平臺(CWPP)和服務(wù)器工作負(fù)載保護(hù)(SWP)安全解決方案價格昂貴，難以實(shí)施、操作和維護(hù)。

5、與物聯(lián)網(wǎng)、大數(shù)據(jù)、分析、區(qū)塊鏈和其他B2B應(yīng)用相關(guān)的現(xiàn)代應(yīng)用也同樣缺乏傳統(tǒng)的解決方案。它們依賴于昂貴的尖端計算資源，這些資源容易受到伴隨傳統(tǒng)安全工具的風(fēng)險的影響。

（二）軟件供應(yīng)鏈的入口

軟件供應(yīng)鏈已經(jīng)成為企業(yè)的重要資源。用這樣的供應(yīng)鏈代替自己開發(fā)軟件，可以在降低成本的同時提高生產(chǎn)力和效率。但也有一個缺點(diǎn)：軟件供應(yīng)鏈?zhǔn)蔷W(wǎng)絡(luò)攻擊的主要目標(biāo)。Linux是開放源碼，因此在本質(zhì)上容易受到供應(yīng)鏈的攻擊。安全團(tuán)隊(duì)必須了解遭受攻擊的原因，并探索解決方案。
（三）其他防御機(jī)制

1、傳統(tǒng)的保護(hù)方法是以工作站—終端—為重點(diǎn)，這是與服務(wù)器攻擊不同的威脅策略和技術(shù)。攻擊方法已經(jīng)演變成新的惡意軟件且能逃避檢測，最終逃過了以檢測為中心的解決方案。

2、在軟件依賴性不斷變化的開源世界中，很難實(shí)現(xiàn)“只安裝已簽名的版本”。因此，在某些情況下，代碼來源和完整性的是不安全的，甚至，即使是從可信來源簽名或接收的軟件也是不安全的。

3、“將軟件更新到最新的版本”只能給予極少的保護(hù)，因?yàn)楦潞蟮能浖]有對隱藏的或未知的顛覆性弱點(diǎn)進(jìn)行加固。在許多關(guān)鍵任務(wù)系統(tǒng)中，打補(bǔ)丁和重啟是不可能的，只能定期地以協(xié)調(diào)的方式進(jìn)行，而這將始終是一個缺口。

4、“監(jiān)控軟件行為”可能有助于發(fā)現(xiàn)問題，但發(fā)現(xiàn)問題時，一個隱蔽的攻擊已經(jīng)溜走了，重大損失已經(jīng)發(fā)生，為時已晚。

5、“審查源代碼”只有在源代碼的變化被開發(fā)人員看到時才有效。雖然Linus定律斷言“只要有足夠的眼球，就可讓所有bug浮現(xiàn)”，但是現(xiàn)代工作負(fù)載服務(wù)器中的開源軟件和第三方代碼的數(shù)量超出了任何組織的能力，無法對其進(jìn)行正確分析。

三、基于移動目標(biāo)防御技術(shù)的Morphisec Knigt for Linux

Morphisec Knight for Linux使用MTD技術(shù)主動阻止基于文件的惡意軟件、無文件威脅、內(nèi)存中的高級持續(xù)威脅(APT)，以及0Day攻擊。 移動目標(biāo)防御使用一種簡單、有效且經(jīng)過驗(yàn)證的洞察力來防止網(wǎng)絡(luò)攻擊：移動目標(biāo)比靜止目標(biāo)更難命中。 MTD采取預(yù)防為主的方法，不斷轉(zhuǎn)移和隱藏入口點(diǎn)，以防止罪犯進(jìn)入。此外，它還設(shè)置了一個陷阱來捕捉他們的行動，以進(jìn)一步保護(hù)他們免受未來的攻擊。移動目標(biāo)防御補(bǔ)充了反應(yīng)性防御，它可以避免更復(fù)雜的0Day威脅。
大多數(shù)攻擊都是按照規(guī)定的路線圖來達(dá)到他們的預(yù)期目標(biāo)。因此，如果攻擊者不能找到他們期望的東西——如進(jìn)入一個組織的門或窗——他們就會失敗。 保持動態(tài)的入口點(diǎn)，而不是靜止的入口點(diǎn) ，在本質(zhì)上是不可預(yù)測的和未知的，明顯更安全。通過移動目標(biāo)防御，攻擊者必須找到他們的前進(jìn)道路，并奮力通過。鑒于持續(xù)進(jìn)行這些攻擊的努力和成本大大增加，大多數(shù)攻擊者會轉(zhuǎn)向更容易的目標(biāo)。MTD在不破壞當(dāng)前NGAV、EPP或EDR功能的情況下，向威脅者隱藏漏洞、弱點(diǎn)和關(guān)鍵資產(chǎn)。這確保了0Day、勒索軟件和其他高級攻擊在造成損害之前就被阻止。

Morphisec Knight for Linux創(chuàng)建了一個“骨架”或虛假前端來捕獲高級規(guī)避惡意軟件，使合法應(yīng)用程序能夠繼續(xù)暢通無阻地運(yùn)行。Morphisec Knight采用MTD來確保系統(tǒng)之間的差異性——即使是一個系統(tǒng)也會隨著時間的推移而不斷變化。從專利技術(shù)的角度來看，這意味著我們改變（隨機(jī)化）一些Linux內(nèi)核API，為可信應(yīng)用程序提供修改后的運(yùn)行時界面。其結(jié)果是一個動態(tài)的攻擊面，威脅參與者無法穿透，導(dǎo)致他們放棄攻擊，轉(zhuǎn)移到更容易的目標(biāo)。

Knight在內(nèi)存和預(yù)執(zhí)行中使用可執(zhí)行修改。這確保了對試圖利用受信任但易受攻擊的應(yīng)用程序的攻擊者進(jìn)行“專門處理”。這些執(zhí)行前的內(nèi)存修改使得對手不可能在一個地方進(jìn)行訓(xùn)練，然后在不同的機(jī)器、時間等上重用該方法。在主機(jī)上安裝代理使Morphisec能夠在不犧牲性能或增加成本和復(fù)雜性的情況下進(jìn)行實(shí)時、確定的預(yù)防。Knight for Linux在這種保護(hù)Linux設(shè)備的方法上有所不同。因?yàn)樗恍枰?，所以它利用命令?yàn)證過程-類似于CPU操作碼（操作）——來確定一個操作是否應(yīng)該被信任。它在資源負(fù)載上是輕量級的，并且與后端系統(tǒng)隔離。

審核編輯 黃宇