Эксперт Angara Security озвучила базовые правила при работе с инцидентами информационной безопасности в Linux-средах
Руководитель отдела реагирования и цифровой криминалистики Angara Security Лада Антипова на юбилейном SOC Forum рассказала о нюансах расследования инцидентов на Linux-подобных операционных системах.
Эксперт озвучила базовые правила кибербезопасности в работе с инцидентами в Linux для всех, кому приходится иметь дело с «новой» операционной системой. С 2025 года на отечественные ОС на базе Linux перейдут крупные российские компании и госорганы. Linux станет альтернативой продуктам Microsoft и Apple, но потребует иного подхода к кибербезопасности.
Ряд экспертов уверены в большей защищенности Linux. К примеру, Astra Linux в некоторых версиях имеет сертификаты ФСТЭК и используется для защиты гостайны, информации для служебного пользования и другой конфиденциальной информации.
«Проблема в том, что операционные системы, основанные на Linux-ядре, хоть и разительно отличаются от более привычных использующихся сейчас продуктов, но тоже несут в себе риски, — обращает внимание Лада Антипова. — Злоумышленники начали понимать, что большинство критичных и интересных для них систем, таких как базы данных или файловые хранилища, также работают на Linux-подобных системах, и расширяют возможности своего привычного набора инструментов».
По словам эксперта Angara Security, в среде киберспециалистов распространена ошибочная мысль, будто Linux-системы более безопасны по умолчанию. «Из-за этого они пренебрегают достаточно неплохими и гибкими возможностями в разрезе настроек безопасности», — объясняет специалист.
Лада Антипова подчеркивает базовые правила при работе с инцидентами информационной безопасности в Linux:
- Понимать, что является нормальной активностью системы, а что аномалией, требующей перепроверки и дополнительного изучения.
- Ставить в приоритет журналирование. Помнить, что по умолчанию Linux-системы обладают достаточно скудным системным логированием. Иметь в виду, что подсистема аудита системных событий auditd после установки бывает ненастроена, а ведь именно она предназначена для расширения возможностей логирования и мониторинга событий безопасности.
- Вести централизованный сбор событий. Это позволяет не только увеличить глубину хранения событий (что в последующем может сыграть ключевую роль при расследовании инцидента), но и противодействовать отдельным методам контрфорензики.
- Владеть навыками работы с командной строкой и знать отдельные нюансы: к примеру, возможности использования отдельных бинарных файлов для обхода локальных ограничений безопасности.
- Своевременно реагировать на оповещения систем безопасности, в том числе встроенных.
«Набор инструментов в адаптации для Linux в направлении цифровой криминалистики местами чуть более ограничен, например, в части работы с оперативной памятью, — комментирует предстоящий переход на Linux эксперт Angara Security. — С одной стороны, это может несколько замедлить уже налаженные процессы, а с другой — дает большие возможности для роста».
Более детально о полезных артефактах при расследовании таких инцидентов Лада Антипова рассказала участникам юбилейного SOC Forum в докладе «Еще немного про расследования инцидентов в GNU/Linux».
Компания Angara Security выступает стратегическим партнером SOC Forum 2024. В этом году форум расширил рамки своей традиционной тематики Security Operations Center и посвятил часть мероприятий комплексной кибербезопасности — Security Opportunities and Challenges.
