Базовые правила при работе с инцидентами ИБ в Linux-средах от Angara Security

Tag : Angara Security,Linux,информационная безопасность

Руководитель отдела реагирования и цифровой криминалистики Angara Security Лада Антипова на юбилейном SOC Forum рассказала о нюансах расследования инцидентов на Linux-подобных операционных системах.

Эксперт сообщила базовые правила кибербезопасности по работе с инцидентами в Linux для всех, кому приходится иметь дело с «новой» операционной системой. С 2025 года на отечественные ОС на базе Linux перейдут крупные российские компании и госорганы. Linux станет альтернативой продуктам Microsoft и Apple, но потребует иного подхода к кибербезопасности.

Ряд экспертов уверены в большей защищённости Linux. К примеру, Astra Linux в некоторых версиях имеет сертификаты ФСТЭК и используется для защиты гостайны, информации для служебного пользования и другой конфиденциальной информации.

«Проблема в том, что операционные системы, основанные на Linux-ядре, хоть и разительно отличаются от более привычных использующихся сейчас продуктов, но тоже несут в себе риски, — обращает внимание Антипова. — Злоумышленники начали понимать, что большинство критичных и интересных для них систем, таких как базы данных или файловые хранилища, также работают на Linux-подобных системах, и расширяют возможности своего привычного набора инструментов».

По словам эксперта Angara Security, в среде киберспециалистов распространена ошибочная мысль, будто Linux-системы более безопасны по умолчанию. «Из-за этого они пренебрегают достаточно неплохими и гибкими возможностями в разрезе настроек безопасности», — объясняет специалист.

Антипова подчеркивает базовые правила при работе с инцидентами информационной безопасности в Linux:

Понимать, что является нормальной активностью системы, а что аномалией, требующей перепроверки и дополнительного изучения.
Ставить в приоритет журналирование. Помнить, что по умолчанию Linux-системы обладают достаточно скудным системным логированием. Иметь в виду, что подсистема аудита системных событий auditd после установки бывает не настроена, а ведь именно она предназначена для расширения возможностей логирования и мониторинга событий безопасности.
Вести централизованный сбор событий. Это позволяет не только увеличить глубину хранения событий (что в последующем может сыграть ключевую роль при расследовании инцидента), но и противодействовать отдельным методам контрфорензики.
Владеть навыками работы с командной строкой и знать отдельные нюансы: к примеру, возможности использования отдельных бинарных файлов для обхода локальных ограничений безопасности.
Своевременно реагировать на оповещения систем безопасности, в том числе встроенных.

«Набор инструментов в адаптации для Linux в направлении цифровой криминалистики местами чуть более ограничен, например, в части работы с оперативной памятью, — комментирует предстоящий переход на Linux эксперт Angara Security. — С одной стороны, это может несколько замедлить уже налаженные процессы, а с другой — дает большие возможности для роста».

О пресс-релизах коротко

Пресс-релиз – это лаконичная новость для СМИ. По существу – концентрированная новость, не разбавленная «красотами» и риторикой. В идеале такая новость подразумевает наличие высказываний экспертов или официальных лиц в виде прямой речи, информация в такой новости должна быть свежей, значимой для общественности или определенных кругов.

Мы готовы размещать Ваши пресс-релизы в любом количестве в соответствии с Вашим планом публикаций. Общее правило таково: по одной тематике, об одной компании - не чаще чем один раз в неделю.