文章速覽：

• Linux難逃高級(jí)網(wǎng)絡(luò)攻擊
• 原因分析
  Linux自身原因
  軟件供應(yīng)鏈的入口
  其他防御機(jī)制
• 基于移動(dòng)目標(biāo)防御技術(shù)的Morphisec Knigt for Linux

在數(shù)字化時(shí)代，網(wǎng)絡(luò)安全已成為企業(yè)不可忽視的重要議題。尤其是對(duì)于依賴(lài)Linux服務(wù)器的組織，面對(duì)日益復(fù)雜的網(wǎng)絡(luò)攻擊，傳統(tǒng)安全措施已顯不足。Linux服務(wù)器面臨著哪些新型網(wǎng)絡(luò)威脅，有哪些有效的防御策略呢？

一、Linux難逃高級(jí)網(wǎng)絡(luò)攻擊

CISO和IT管理員最怕的就是勒索軟件和其他惡意軟件。我們來(lái)看看每年增加了多少新的Linux惡意軟件家族。這表明威脅者正在轉(zhuǎn)移優(yōu)先級(jí)，表明威脅參與者正在將重點(diǎn)轉(zhuǎn)移到Linux漏洞上，而不是傳統(tǒng)目標(biāo)。

2010-2020年間每年發(fā)現(xiàn)的新Linux惡意軟件系列(來(lái)源：Intezer)

再看看Linux惡意軟件與Windows惡意軟件增長(zhǎng)的比較，Linux惡意軟件的更新現(xiàn)在接近基于Windows的惡意軟件。

來(lái)源：IBM X-Force Threat Intelligence Index 2022, originator Intezer

二、原因分析

（一）Linux自身原因

1、Linux的開(kāi)源性質(zhì)使其具有滲透性，惡意共計(jì)軟件能夠輕易繞過(guò)Linux的防御工具，然而長(zhǎng)期以來(lái)人們并不重視安全防御，最后造成的局面是，網(wǎng)絡(luò)服務(wù)器、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)文件共享、ERP系統(tǒng)、應(yīng)用網(wǎng)關(guān)等后端系統(tǒng)無(wú)法防范安全黑洞。

2、傳統(tǒng)的基于簽名的防病毒程序和基于機(jī)器學(xué)習(xí)的下一代防病毒(NGAV)應(yīng)用程序已經(jīng)無(wú)法保護(hù)組織免受高級(jí)網(wǎng)絡(luò)攻擊。這些攻擊的復(fù)雜性、數(shù)量和影響都在不斷增加，網(wǎng)絡(luò)犯罪分子繞過(guò)保護(hù)措施，造成了大量的數(shù)據(jù)泄露和勒索軟件攻擊。

3、終端檢測(cè)和響應(yīng)(EDR)工具是被動(dòng)的，其中許多解決方案沒(méi)有針對(duì)云或服務(wù)器工作負(fù)載進(jìn)行優(yōu)化。

4、云工作負(fù)載保護(hù)平臺(tái)(CWPP)和服務(wù)器工作負(fù)載保護(hù)(SWP)安全解決方案價(jià)格昂貴，難以實(shí)施、操作和維護(hù)。

5、與物聯(lián)網(wǎng)、大數(shù)據(jù)、分析、區(qū)塊鏈和其他B2B應(yīng)用相關(guān)的現(xiàn)代應(yīng)用也同樣缺乏傳統(tǒng)的解決方案。它們依賴(lài)于昂貴的尖端計(jì)算資源，這些資源容易受到伴隨傳統(tǒng)安全工具的風(fēng)險(xiǎn)的影響。

（二）軟件供應(yīng)鏈的入口

軟件供應(yīng)鏈已經(jīng)成為企業(yè)的重要資源。用這樣的供應(yīng)鏈代替自己開(kāi)發(fā)軟件，可以在降低成本的同時(shí)提高生產(chǎn)力和效率。但也有一個(gè)缺點(diǎn)：軟件供應(yīng)鏈?zhǔn)蔷W(wǎng)絡(luò)攻擊的主要目標(biāo)。Linux是開(kāi)放源碼，因此在本質(zhì)上容易受到供應(yīng)鏈的攻擊。安全團(tuán)隊(duì)必須了解遭受攻擊的原因，并探索解決方案。
（三）其他防御機(jī)制

1、傳統(tǒng)的保護(hù)方法是以工作站—終端—為重點(diǎn)，這是與服務(wù)器攻擊不同的威脅策略和技術(shù)。攻擊方法已經(jīng)演變成新的惡意軟件且能逃避檢測(cè)，最終逃過(guò)了以檢測(cè)為中心的解決方案。

2、在軟件依賴(lài)性不斷變化的開(kāi)源世界中，很難實(shí)現(xiàn)“只安裝已簽名的版本”。因此，在某些情況下，代碼來(lái)源和完整性的是不安全的，甚至，即使是從可信來(lái)源簽名或接收的軟件也是不安全的。

3、“將軟件更新到最新的版本”只能給予極少的保護(hù)，因?yàn)楦潞蟮能浖](méi)有對(duì)隱藏的或未知的顛覆性弱點(diǎn)進(jìn)行加固。在許多關(guān)鍵任務(wù)系統(tǒng)中，打補(bǔ)丁和重啟是不可能的，只能定期地以協(xié)調(diào)的方式進(jìn)行，而這將始終是一個(gè)缺口。

4、“監(jiān)控軟件行為”可能有助于發(fā)現(xiàn)問(wèn)題，但發(fā)現(xiàn)問(wèn)題時(shí)，一個(gè)隱蔽的攻擊已經(jīng)溜走了，重大損失已經(jīng)發(fā)生，為時(shí)已晚。

5、“審查源代碼”只有在源代碼的變化被開(kāi)發(fā)人員看到時(shí)才有效。雖然Linus定律斷言“只要有足夠的眼球，就可讓所有bug浮現(xiàn)”，但是現(xiàn)代工作負(fù)載服務(wù)器中的開(kāi)源軟件和第三方代碼的數(shù)量超出了任何組織的能力，無(wú)法對(duì)其進(jìn)行正確分析。

三、基于移動(dòng)目標(biāo)防御技術(shù)的Morphisec Knigt for Linux

Morphisec Knight for Linux使用MTD技術(shù)主動(dòng)阻止基于文件的惡意軟件、無(wú)文件威脅、內(nèi)存中的高級(jí)持續(xù)威脅(APT)，以及0Day攻擊。 移動(dòng)目標(biāo)防御使用一種簡(jiǎn)單、有效且經(jīng)過(guò)驗(yàn)證的洞察力來(lái)防止網(wǎng)絡(luò)攻擊：移動(dòng)目標(biāo)比靜止目標(biāo)更難命中。 MTD采取預(yù)防為主的方法，不斷轉(zhuǎn)移和隱藏入口點(diǎn)，以防止罪犯進(jìn)入。此外，它還設(shè)置了一個(gè)陷阱來(lái)捕捉他們的行動(dòng)，以進(jìn)一步保護(hù)他們免受未來(lái)的攻擊。移動(dòng)目標(biāo)防御補(bǔ)充了反應(yīng)性防御，它可以避免更復(fù)雜的0Day威脅。
大多數(shù)攻擊都是按照規(guī)定的路線圖來(lái)達(dá)到他們的預(yù)期目標(biāo)。因此，如果攻擊者不能找到他們期望的東西——如進(jìn)入一個(gè)組織的門(mén)或窗——他們就會(huì)失敗。 保持動(dòng)態(tài)的入口點(diǎn)，而不是靜止的入口點(diǎn) ，在本質(zhì)上是不可預(yù)測(cè)的和未知的，明顯更安全。通過(guò)移動(dòng)目標(biāo)防御，攻擊者必須找到他們的前進(jìn)道路，并奮力通過(guò)。鑒于持續(xù)進(jìn)行這些攻擊的努力和成本大大增加，大多數(shù)攻擊者會(huì)轉(zhuǎn)向更容易的目標(biāo)。MTD在不破壞當(dāng)前NGAV、EPP或EDR功能的情況下，向威脅者隱藏漏洞、弱點(diǎn)和關(guān)鍵資產(chǎn)。這確保了0Day、勒索軟件和其他高級(jí)攻擊在造成損害之前就被阻止。

Morphisec Knight for Linux創(chuàng)建了一個(gè)“骨架”或虛假前端來(lái)捕獲高級(jí)規(guī)避惡意軟件，使合法應(yīng)用程序能夠繼續(xù)暢通無(wú)阻地運(yùn)行。Morphisec Knight采用MTD來(lái)確保系統(tǒng)之間的差異性——即使是一個(gè)系統(tǒng)也會(huì)隨著時(shí)間的推移而不斷變化。從專(zhuān)利技術(shù)的角度來(lái)看，這意味著我們改變（隨機(jī)化）一些Linux內(nèi)核API，為可信應(yīng)用程序提供修改后的運(yùn)行時(shí)界面。其結(jié)果是一個(gè)動(dòng)態(tài)的攻擊面，威脅參與者無(wú)法穿透，導(dǎo)致他們放棄攻擊，轉(zhuǎn)移到更容易的目標(biāo)。

Knight在內(nèi)存和預(yù)執(zhí)行中使用可執(zhí)行修改。這確保了對(duì)試圖利用受信任但易受攻擊的應(yīng)用程序的攻擊者進(jìn)行“專(zhuān)門(mén)處理”。這些執(zhí)行前的內(nèi)存修改使得對(duì)手不可能在一個(gè)地方進(jìn)行訓(xùn)練，然后在不同的機(jī)器、時(shí)間等上重用該方法。在主機(jī)上安裝代理使Morphisec能夠在不犧牲性能或增加成本和復(fù)雜性的情況下進(jìn)行實(shí)時(shí)、確定的預(yù)防。Knight for Linux在這種保護(hù)Linux設(shè)備的方法上有所不同。因?yàn)樗恍枰?，所以它利用命令?yàn)證過(guò)程-類(lèi)似于CPU操作碼（操作）——來(lái)確定一個(gè)操作是否應(yīng)該被信任。它在資源負(fù)載上是輕量級(jí)的，并且與后端系統(tǒng)隔離。

審核編輯 黃宇