Эксперт Angara Security озвучила базовые правила при работе с инцидентами информационной безопасности в Linux-средах

08.11.2024

Руководитель отдела реагирования и цифровой криминалистики Angara Security Лада Антипова на юбилейном SOC Forum рассказала о нюансах расследования инцидентов на Linux-подобных операционных системах. Эксперт озвучила базовые правила кибербезопасности по работе с инцидентами в Linux для всех, кому приходится иметь дело с «новой» операционной системой. С 2025 года на отечественные ОС на базе Linux перейдут крупные российские компании и госорганы. Linux станет альтернативой продуктам Microsoft и Apple, но потребует иного подхода к кибербезопасности.

Ряд экспертов уверены в большей защищенности Linux. К примеру, Astra Linux в некоторых версиях имеет сертификаты ФСТЭК и используется для защиты гостайны, информации для служебного пользования и другой конфиденциальной информации.

«Проблема в том, что операционные системы, основанные на Linux-ядре, хоть и разительно отличаются от более привычных использующихся сейчас продуктов, но тоже несут в себе риски, — обращает внимание Лада Антипова. — Злоумышленники начали понимать, что большинство критичных и интересных для них систем, таких как базы данных или файловые хранилища, также работают на Linux-подобных системах, и расширяют возможности своего привычного набора инструментов».

По словам эксперта Angara Security, в среде киберспециалистов распространена ошибочная мысль, будто Linux-системы более безопасны по умолчанию. «Из-за этого они пренебрегают достаточно неплохими и гибкими возможностями в разрезе настроек безопасности», — объясняет специалист.

Лада Антипова подчеркивает базовые правила при работе с инцидентами информационной безопасности в Linux:

Понимать, что является нормальной активностью системы, а что аномалией, требующей перепроверки и дополнительного изучения.
Ставить в приоритет журналирование. Помнить, что по умолчанию Linux-системы обладают достаточно скудным системным логированием. Иметь в виду, что подсистема аудита системных событий auditd после установки бывает ненастроена, а ведь именно она предназначена для расширения возможностей логирования и мониторинга событий безопасности.
Вести централизованный сбор событий. Это позволяет не только увеличить глубину хранения событий (что в последующем может сыграть ключевую роль при расследовании инцидента), но и противодействовать отдельным методам контрфорензики.
Владеть навыками работы с командной строкой и знать отдельные нюансы: к примеру, возможности использования отдельных бинарных файлов для обхода локальных ограничений безопасности.
Своевременно реагировать на оповещения систем безопасности, в том числе встроенных.

«Набор инструментов в адаптации для Linux в направлении цифровой криминалистики местами чуть более ограничен, например, в части работы с оперативной памятью, — комментирует предстоящий переход на Linux эксперт Angara Security. — С одной стороны, это может несколько замедлить уже налаженные процессы, а с другой — дает большие возможности для роста».

Более детально о полезных артефактах при расследовании таких инцидентов Лада Антипова рассказала участникам юбилейного SOC Forum в докладе «Еще немного про расследования инцидентов в GNU/Linux».

Компания Angara Security выступает стратегическим партнером SOC Forum 2024. В этом году форум расширил рамки своей традиционной тематики Security Operations Center и посвятил часть мероприятий комплексной кибербезопасности — Security Opportunities and Challenges.

похожие материалы

Украинские телефонные мошенники переключились с россиян на жителей Европы

Украинские колл-центры, занимавшиеся телефонным мошенничеством, начали смещать фокус с граждан России на жителей стран Европы и СНГ.

подробнее

Мошенники начали подделывать голоса следователей с помощью ИИ

Следственное управление в Калининградской области предупредило о новой схеме дистанционных мошенничеств, в которой злоумышленники используют технологии искусственного интеллекта для подделки голосов и изображений публичных сотрудников Следственного комитета.

подробнее