文章速覽：

• Linux難逃高級網(wǎng)絡攻擊
• 原因分析
  Linux自身原因
  軟件供應鏈的入口
  其他防御機制
• 基于移動目標防御技術的Morphisec Knigt for Linux

在數(shù)字化時代，網(wǎng)絡安全已成為企業(yè)不可忽視的重要議題。尤其是對于依賴Linux服務器的組織，面對日益復雜的網(wǎng)絡攻擊，傳統(tǒng)安全措施已顯不足。Linux服務器面臨著哪些新型網(wǎng)絡威脅，有哪些有效的防御策略呢？

一、Linux難逃高級網(wǎng)絡攻擊

CISO和IT管理員最怕的就是勒索軟件和其他惡意軟件。我們來看看每年增加了多少新的Linux惡意軟件家族。這表明威脅者正在轉(zhuǎn)移優(yōu)先級，表明威脅參與者正在將重點轉(zhuǎn)移到Linux漏洞上，而不是傳統(tǒng)目標。

2010-2020年間每年發(fā)現(xiàn)的新Linux惡意軟件系列(來源：Intezer)

再看看Linux惡意軟件與Windows惡意軟件增長的比較，Linux惡意軟件的更新現(xiàn)在接近基于Windows的惡意軟件。

來源：IBM X-Force Threat Intelligence Index 2022, originator Intezer

二、原因分析

（一）Linux自身原因

1、Linux的開源性質(zhì)使其具有滲透性，惡意共計軟件能夠輕易繞過Linux的防御工具，然而長期以來人們并不重視安全防御，最后造成的局面是，網(wǎng)絡服務器、數(shù)據(jù)庫、網(wǎng)絡文件共享、ERP系統(tǒng)、應用網(wǎng)關等后端系統(tǒng)無法防范安全黑洞。

2、傳統(tǒng)的基于簽名的防病毒程序和基于機器學習的下一代防病毒(NGAV)應用程序已經(jīng)無法保護組織免受高級網(wǎng)絡攻擊。這些攻擊的復雜性、數(shù)量和影響都在不斷增加，網(wǎng)絡犯罪分子繞過保護措施，造成了大量的數(shù)據(jù)泄露和勒索軟件攻擊。

3、終端檢測和響應(EDR)工具是被動的，其中許多解決方案沒有針對云或服務器工作負載進行優(yōu)化。

4、云工作負載保護平臺(CWPP)和服務器工作負載保護(SWP)安全解決方案價格昂貴，難以實施、操作和維護。

5、與物聯(lián)網(wǎng)、大數(shù)據(jù)、分析、區(qū)塊鏈和其他B2B應用相關的現(xiàn)代應用也同樣缺乏傳統(tǒng)的解決方案。它們依賴于昂貴的尖端計算資源，這些資源容易受到伴隨傳統(tǒng)安全工具的風險的影響。

（二）軟件供應鏈的入口

軟件供應鏈已經(jīng)成為企業(yè)的重要資源。用這樣的供應鏈代替自己開發(fā)軟件，可以在降低成本的同時提高生產(chǎn)力和效率。但也有一個缺點：軟件供應鏈是網(wǎng)絡攻擊的主要目標。Linux是開放源碼，因此在本質(zhì)上容易受到供應鏈的攻擊。安全團隊必須了解遭受攻擊的原因，并探索解決方案。
（三）其他防御機制

1、傳統(tǒng)的保護方法是以工作站—終端—為重點，這是與服務器攻擊不同的威脅策略和技術。攻擊方法已經(jīng)演變成新的惡意軟件且能逃避檢測，最終逃過了以檢測為中心的解決方案。

2、在軟件依賴性不斷變化的開源世界中，很難實現(xiàn)“只安裝已簽名的版本”。因此，在某些情況下，代碼來源和完整性的是不安全的，甚至，即使是從可信來源簽名或接收的軟件也是不安全的。

3、“將軟件更新到最新的版本”只能給予極少的保護，因為更新后的軟件并沒有對隱藏的或未知的顛覆性弱點進行加固。在許多關鍵任務系統(tǒng)中，打補丁和重啟是不可能的，只能定期地以協(xié)調(diào)的方式進行，而這將始終是一個缺口。

4、“監(jiān)控軟件行為”可能有助于發(fā)現(xiàn)問題，但發(fā)現(xiàn)問題時，一個隱蔽的攻擊已經(jīng)溜走了，重大損失已經(jīng)發(fā)生，為時已晚。

5、“審查源代碼”只有在源代碼的變化被開發(fā)人員看到時才有效。雖然Linus定律斷言“只要有足夠的眼球，就可讓所有bug浮現(xiàn)”，但是現(xiàn)代工作負載服務器中的開源軟件和第三方代碼的數(shù)量超出了任何組織的能力，無法對其進行正確分析。

三、基于移動目標防御技術的Morphisec Knigt for Linux

Morphisec Knight for Linux使用MTD技術主動阻止基于文件的惡意軟件、無文件威脅、內(nèi)存中的高級持續(xù)威脅(APT)，以及0Day攻擊。 移動目標防御使用一種簡單、有效且經(jīng)過驗證的洞察力來防止網(wǎng)絡攻擊：移動目標比靜止目標更難命中。 MTD采取預防為主的方法，不斷轉(zhuǎn)移和隱藏入口點，以防止罪犯進入。此外，它還設置了一個陷阱來捕捉他們的行動，以進一步保護他們免受未來的攻擊。移動目標防御補充了反應性防御，它可以避免更復雜的0Day威脅。
大多數(shù)攻擊都是按照規(guī)定的路線圖來達到他們的預期目標。因此，如果攻擊者不能找到他們期望的東西——如進入一個組織的門或窗——他們就會失敗。 保持動態(tài)的入口點，而不是靜止的入口點 ，在本質(zhì)上是不可預測的和未知的，明顯更安全。通過移動目標防御，攻擊者必須找到他們的前進道路，并奮力通過。鑒于持續(xù)進行這些攻擊的努力和成本大大增加，大多數(shù)攻擊者會轉(zhuǎn)向更容易的目標。MTD在不破壞當前NGAV、EPP或EDR功能的情況下，向威脅者隱藏漏洞、弱點和關鍵資產(chǎn)。這確保了0Day、勒索軟件和其他高級攻擊在造成損害之前就被阻止。

Morphisec Knight for Linux創(chuàng)建了一個“骨架”或虛假前端來捕獲高級規(guī)避惡意軟件，使合法應用程序能夠繼續(xù)暢通無阻地運行。Morphisec Knight采用MTD來確保系統(tǒng)之間的差異性——即使是一個系統(tǒng)也會隨著時間的推移而不斷變化。從專利技術的角度來看，這意味著我們改變（隨機化）一些Linux內(nèi)核API，為可信應用程序提供修改后的運行時界面。其結(jié)果是一個動態(tài)的攻擊面，威脅參與者無法穿透，導致他們放棄攻擊，轉(zhuǎn)移到更容易的目標。

Knight在內(nèi)存和預執(zhí)行中使用可執(zhí)行修改。這確保了對試圖利用受信任但易受攻擊的應用程序的攻擊者進行“專門處理”。這些執(zhí)行前的內(nèi)存修改使得對手不可能在一個地方進行訓練，然后在不同的機器、時間等上重用該方法。在主機上安裝代理使Morphisec能夠在不犧牲性能或增加成本和復雜性的情況下進行實時、確定的預防。Knight for Linux在這種保護Linux設備的方法上有所不同。因為它不需要更新，所以它利用命令驗證過程-類似于CPU操作碼（操作）——來確定一個操作是否應該被信任。它在資源負載上是輕量級的，并且與后端系統(tǒng)隔離。

審核編輯 黃宇