“No existen amenazas para los servidores Linux. ¿No están creados para ser seguros?”
“Los servidores Linux son muy seguros y están reforzados, ¿por qué necesitamos controles adicionales de seguridad?”
“Sé que hay amenazas allá afuera pero no tengo conocimiento de ningún ataque importante a los servidores Linux”
Si usted está de acuerdo con las afirmaciones anteriores, no es el único. Se cree que los servidores Linux son más seguros y menos vulnerables que los servidores Windows. Si bien usted no está totalmente equivocado, tampoco tiene toda la razón, y tomar decisiones (o no) a partir de esta creencia podría poner en riesgo a su empresa.
Uso generalizado y creciente
Hubo un tiempo, no hace mucho, cuando Linux era un sistema operativo “geek”, el dominio de la gestión de línea de comandos y limitado uso empresarial. Esos días definitivamente se han ido, claramente ilustrado por Gartner, vinculando el crecimiento global de OS para Linux en 13,5% [1], así como el dominio de Linux en el entorno de la nube pública, la cual lo demuestra el hecho de que aproximadamente el 90% de las cargas de trabajo en AWS EC2 se están ejecutando en alguna variante de Linux. Con un uso tan extendido para aplicaciones empresariales críticas, no es de extrañar que haya un foco creciente en atacar servidores Linux, como se evidencia en el reciente ataque de ransomware en Corea del Sur que utilizó un ataque de ransomware dirigido a Linux llamado Erebus, el cual impactó los sitios web, bases de datos y archivos multimedia de 3,400 empresas.
Seguro, pero aún vulnerable.
Cada vez más servidores están moviéndose más allá de la protección de perímetro empresarial y migrando hacia la nube, es por estas razones que cobra cada vez mayor importancia contar con protección a nivel del host y la red, pues las cargas de trabajo necesitan protegerse por sí mismas al no tener ya un perímetro a su alrededor. Y recuerde, las cargas de trabajo incluyen aplicaciones que se ejecutan sobre Linux… hoy se trata de algo más que solo el sistema operativo.
Contar con un Sistema de Prevención de Intrusiones (IPS) basado en host ayudará a brindar protección contra las vulnerabilidades en el sistema operativo principal así como a las aplicaciones que se ejecutan sobre él. Los ejemplos de vulnerabilidades a las que se tiene acceso a través de la red y que han tenido un gran impacto incluyen al reciente problema con Apache Struts-2, así como a los ataques de Hearbleed y Shellsock, pero existen muchos más. Y solo porque una vulnerabilidad, como Heartbleed, ha estado presente durante más de dos años no significa que las aplicaciones y los servidores no sigan siendo vulnerables. Una encuesta reciente de Shodan mostró que Hearbleed seguía siendo una vulnerabilidad que afecta a más de 180,000 servidores en todo el mundo, y que la mayoría de ellos se encontraba en Estados Unidos.
[1] Gartner, “Market Share Analysis: Server Operating Systems, Worldwide, 2016”, ID#G00318388, Mayo 26, 2017
[image url=”http://blog.trendmicro.com/wp-content/uploads/2017/04/blog-5-640×410.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”15″ margin_bottom=”15″ width=”640″ height=”410″]
Si usted opera un servidor web con Linux (de acuerdo con W3Techs, al menos el 37 por ciento de los servidores web lo hacen), necesita protección contra las vulnerabilidades que los aquejan, incluyendo a Apache, Nginx, etcétera.
[image url=”/wp-content/uploads/2017/06/Tabla.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”647″ height=”352″]
Tabla 1: Vulnerabilidades que Deep Security Protege
Es muy importante no confundir las vulnerabilidades con las amenazas. Si bien puede haber menos amenazas conocidas para Linux, si usted revisa la Base de Datos Nacional de Vulnerabilidades se dará cuenta de que hay un número similar de vulnerabilidades reportadas para los sistemas operativos Linux y Windows.
Malware diseñado para Linux
Contrario a la creencia popular, hay una gran cantidad de software malicioso para la plataforma Linux. Si bien los números no son tan altos en comparación con Microsoft Windows, existen decenas de miles de piezas de malware diseñadas para Linux incluyendo el ransomware Erebus.
Implementar ÚNICAMENTE antimalware no es suficiente para proteger los servidores. Sin embargo, la mayoría de los ataques a los centros de datos que se derivan de una brecha de seguridad involucran la instalación de software malicioso como parte de la cadena de ataques. Es por esto que los marcos de cumplimiento y seguridad como PCI-DSS (Sección #3), SANS CIS Critical Security Controls (Sección #8) y NIST Cybersecurity Framework (Sección DE.CM-4), siguen recomendando el uso del antimalware como una mejor práctica.
Seguridad en capas para servidores Linux
Cada vez es más evidente que no hay una fórmula mágica cuando se trata de brindar seguridad a los servidores, y que las empresas deberían estar usando la seguridad en capas para proteger las cargas de trabajo Linux vulnerables. Más allá del antimalware y el IPS, existen varios controles que ayudarán a establecer una robusta estrategia de seguridad para Linux:
- Control de Aplicaciones: ayuda a ‘cerrar’ el host de Linux para evitar que se ejecute un proceso o script desconocido. Esto evita que el malware se ejecute o que los atacantes aprovechan las puertas traseras (backdoors) que abrieron en el servidor.
- Monitoreo de la Integridad: es probable que una nueva amenaza realice cambios en el sistema (puertos, archivos, cambios en los protocolos), por lo que es importante estar al pendiente de ellos. El monitoreo de la integridad ayuda a vigilar el sistema para identificar los cambios que se salgan del rango, los cuales tienden a ser pocos en sus servidores de producción típicos.
- Inspección de Logs: analiza los archivos de registro y ofrece un proceso de monitoreo continuo para ayudar a identificar las amenazas en una fase inicial del ciclo. Los ataques como SQL Injection, la inyección de comandos y los ataques contra APIs pueden observarse en los registros y después tomar las medidas necesarias.
La lección que aprendimos hoy aquí es que si bien Linux es un sistema operativo más seguro y confiable, no es la panacea cuando se trata de la seguridad. Como cualquier otro sistema operativo, se requiere cierta preparación y mantenimiento, y su responsabilidad es adoptar una estrategia de seguridad de múltiples capas que incluya la gestión regular de actualizaciones y agregar controles adicionales de seguridad para proteger los servidores y las aplicaciones que en ellos residen. Para consultar más información sobre las vulnerabilidades de Linux y cómo protegerlas usando Trend Micro Deep Security, descargue aquí nuestra investigación.
Leave a Reply