Yakın zamana kadar BT topluluğunun büyük bir bölümü, sistem mimarisinin doğası gereği neredeyse yenilmez olduğu, saldırganların ilgisini çekmediği ve açık kaynak kod ideolojisinin beklenmedik, ciddi güvenlik açıklarının ortaya çıkmasına karşı bir tür olarak güvence olduğu düşüncesiyle Linux makinelerinin korumaya ihtiyacı olmadığına ikna edildi. Ancak son yıllarda, sabit fikirli bilgi güvenliği çalışanları bile bu ifadelerin temelinin oldukça zayıf olduğunun farkına vardılar.
Linux sunuculara yönelik tehditler
Siber suçlar yalnızca son kullanıcıların harcamalarından para kazanmaya odaklıyken Linux sunucuları gerçekten de görece olarak güvenliydi. Ancak günümüz siber suçluları, uzun zaman önce çok daha büyük kazançlar elde edebilecekleri, daha yüksek potansiyele sahip iş dünyasına odaklandılar. Farklı Linux yapılarının ciddi bir şekilde incelendiği yer işte tam da burası. Sonuç olarak bir sunucu, casusluk, sabotaj veya sıradan fidye yazılımı dağıtımı, amacı her ne olursa olsun her saldırgan için stratejik bir öneme sahiptir. Bu konudaki örnekler için çok da uzaklara bakmanıza gerek yok.
- Geçen Kasım ayında uzmanlarımız, RansomEXX Truva Atında, Linux makinelerindeki verileri şifreleyebilecek bir değişiklik yapıldığını tespit ettiler. Belirli kuruluşlara yönelik hedefli saldırılarda kullanılmak üzere (kod ve fidye notu her yeni hedef için özelleştirilir) uyarlanmış Truva atı keşfedildiğinde zaten kullanılıyordu.
- Bu yaz tespit edilen ve ve bulaştığı makinelerdeki tüm Docker kapsayıcılarını durdurabilen DarkRadiation fidye yazılımı, Red Hat/CentOS ve Debian Linux’a yönelik saldırılar için özel olarak oluşturulmuş. Kötü amaçlı yazılım tamamen bir Bash komut dosyasına yazılmış ve C&C sunucularıyla iletişim kurmak için bir Telegram messenger API’si kullanıyor.
- Günümüzdeki hemen hemen her APT grubunun Linux için arka kapıları, rootkit’leri veya yetkisiz erişim sağlamaya yönelik kodu bulunuyor. Küresel Araştırma ve Analiz Ekibimiz (GReAT), Linux makinelerini hedef alan en yeni APT araçlarıyla ilgili bir çalışma yayınladılar.
Her ne kadar açık kaynak topluluğu dağıtımları dikkatle incelese, ortaklaşa bir şekilde güvenlik açıklarını değerlendirse ve sorumlu bir şekilde davranarak bunlarla ilgili bilgileri (çoğu zaman) yayınlasa da sistem yöneticileri her zaman Linux sunucularını güncellemiyor. Birçoğu hala “çalışıyorsa dokunma” diye düşünüyor.
Bazı güvenlik açıklarının oldukça ciddi olmasına rağmen yöneticiler arasında bu yaklaşım hala oldukça yaygın. Örneğin, siber suçlular yetki yükseltimi için polkit sistem hizmetinde (birçok Linux dağıtımında varsayılan olarak yüklenir) bulunan ve Haziran 2021’de yayınlanan CVE-2021-3560‘ı kullanabilir. Güvenlik açığı, CVSS v3 ölçeğinde 10 üzerinden 7.8 olarak puanlandı.
Linux sunucuları nasıl güvenli hale getirilir?
Her ne kadar Kaspersky Endpoint Security for Linux, kullanıcıları bu tür sorunlardan uzun süredir koruyor olsa da Linux üzerinde çalışan sunuculara yönelik saldırıların artmasıyla birlikte çözümümüzü bir dizi yeni teknolojiyle güncellemeye karar verdik.
İlk olarak, çözümümüz artık tam Uygulama Denetimi (yalnızca güvenilenler listesindeki uygulamaları çalıştırmaya veya güvenilmeyenler listesindekileri engellemeye yönelik bir teknoloji) içeriyor. Kullanıcıların bu modülü yapılandırmasına yardımcı olmak adına yürütülebilir programlar envanterine yeni özellikler ekledik ve özel kategoriler tanımladık. Bu, çok çeşitli tehditlere karşı son derece etkili koruma sağlıyor. İkincisi, artık sistemin fidye yazılımına karşı koruma özelliğinin (bu tür kötü amaçlı yazılımlar artık davranış şekilleriyle tespit ediliyor) güçlendirilmesinin zamanı gelmişti.
Linux makinelerinin önemli bir bölümünün artık müşterilerin ofislerinde çalışan fiziksel makineler değil, bulut sunucuları olduğunun da farkındayız. Ayrıca kapsayıcılaştırma (containerization) teknolojilerinin gelişimi sayesinde artık uygulamaları, yöneticilerin ölçeklenebilirlik sorunlarını çözmesine, uygulama kararlılığını artırmasına ve bilgi işlem kaynaklarının verimliliğini artırmasına olanak tanıyan kapsayıcılarda çalıştırmak da mümkün. Bu nedenle, çözümümüzü herkese açık bulutlarda dağıtmaya ve kapsayıcılaştırma platformlarını (Docker, Podman, Cri-O ve Runc) korumaya yönelik senaryolara odaklandık. Bunlar, hem teknisyenlerin tehditleri içeren belirli kapsayıcıları tanımlamasına ve kötü amaçlı dosyalara giden yolları (çalışma zamanı-runtime ortamında) belirlemesine olanak tanıyan, çalıştırılan kapsayıcılara yönelik tehdit algılama modu için hem de isteğe bağlı şekilde kapsayıcı görüntülerini (hem yerel hem de depolarda bulunan) kontrol etmeye yönelik sunulan hizmet için geçerlidir. İkinci senaryoda, bir Docker kapsayıcısında Kaspersky Endpoint Security for Linux’u çalıştırmak ve bunu, örneğin CI/CD hattındaki kapsayıcı görüntülerini tarama görevlerini otomatikleştirmeye yarayan RESTful API’yi kullanarak diğer kapsayıcıları tehditlere karşı taramak için kullanmak mümkündür.
Kullanıcılar artık Microsoft Azure, AWS, Google Cloud ve Yandex Cloud gibi herkese açık bulutlardaki sunuculara ve kapsayıcı yüklerine ait korumanın yönetimi konusunda birden fazla seçeneğe sahip. Birinci seçenek, şirket içi bir veri merkezinde veya herkese açık bir buluttaki konsol aracılığıyla yönetim. İkinci seçenek ise, bizim tarafımızdan dağıtılan ve desteklenen Kaspersky Security Center Bulut Konsolu aracılığıyla yönetimdir ve bu seçenek yöneticiye, kendi altyapısının korunmasının yönetimi konusuna odaklanmasını sağlar.
Kaspersky Endpoint Security for Linux, Kaspersky Hybrid Cloud çözüm paketinin bir parçasıdır. Özellikle otomatik engelleri aşabilen tehlikeli siber tehditlere yönelik Kaspersky Managed Detection and Response hizmetiyle entegre olur.