Tabla de contenido
2. ¿Cómo protegemos la infraestructura de TI tradicional?
3. ¿Cómo uso SELinux, AppArmor y Netfilter?
4. ¿Puede la guía de fortalecimiento de STIG ayudarme a proteger mi servidor Linux?
5. ¿Cómo puedo aplicar perfiles STIG a todos mis servidores?
6. ¿Existen otras herramientas que pueda aprovechar?
Introducción
En este artículo, la segunda parte de esta serie dedicada al ransomware, exploraré cómo podemos proteger la infraestructura de TI tradicional.
¿Cómo protegemos la infraestructura de TI tradicional de los ataques de ransomware?
Aunque hay muchas empresas que trasladan sus cargas de trabajo a contenedores y aplicaciones nativas en la nube, no podemos olvidar que la mayoría de las cargas de trabajo todavía se ejecutan en entornos de TI tradicionales . Por lo tanto, es muy importante asegurarse de que sea seguro y esté actualizado.
La capa del sistema operativo (SO) es clave aquí, ya que proporciona el uso de la mayoría de las aplicaciones de bibliotecas. En consecuencia, es muy importante que estos no contengan vulnerabilidades conocidas y provengan de fuentes confiables.
Aquí es donde SUSE puede ayudar. SUSE es líder en el suministro de soluciones de infraestructura de TI seguras, fiables y de alto rendimiento , incluido SUSE Linux Enterprise Server ( SLES ).
Las distribuciones de Linux tienen muchas funciones y herramientas de seguridad que se pueden usar para proteger su aplicación, como SELinux , AppArmor y Netfilter .
Estos también son utilizados por plataformas de administración de contenedores como Kubernetes , SUSE proporciona estas y otras herramientas para garantizar la seguridad y confiabilidad del sistema en la infraestructura de TI tradicional, y pone especial énfasis y pasión en trabajar con agencias de seguridad para producir guías de configuración y certificar sus productos para ayudar. usuarios para asegurar sus plataformas.
Aquí hay una lista de las certificaciones de seguridad de SUSE , entre ellas debemos destacar Common Criteria EAL4+, que es un fuerte indicador de que la cadena de suministro de software es segura. En el momento de escribir este artículo, SLES 15 es el único sistema operativo Linux de uso general que cuenta con esta certificación.
¿Cómo uso SELinux, AppArmor y Netfilter para protegerme contra el ransomware?
SELinux y AppArmor se pueden usar para proteger los procesos de acceder a archivos que no deberían y comportarse de forma inesperada. Esto limita la propagación de malware si el sistema está infectado o si los atacantes intentan aprovechar una vulnerabilidad en la aplicación protegida por ellos.
Netfilter es el cortafuegos del kernel de Linux, es una herramienta muy versátil y potente para proteger aplicaciones de accesos no deseados a través de redes.
Estas herramientas de seguridad son bastante complejas y merecen un artículo dedicado. Sin embargo, cuando se configuran correctamente, se pueden usar para proteger contra ransomware y/o detener su propagación, proporcionar una defensa de múltiples capas y permitir un enfoque de seguridad de confianza cero en la infraestructura de TI tradicional.
¿Puede la guía de refuerzo STIG ayudarme a proteger mi servidor Linux de un ataque de Ransomware?
Las Guías Técnicas de Implementación de Seguridad (STIG) son un conjunto de lineamientos y procedimientos para asegurar los sistemas y redes de información. Desarrollados por la Agencia de Sistemas de Información de Defensa de EE. UU. (DISA), describen los requisitos para los sistemas cuando se conectan a una red del Departamento de Defensa de EE. UU. En estrecha colaboración con DISA, SUSE ha desarrollado una guía de implementación para SLES 15.
No hace falta decir que las pautas de STIG son útiles para cualquiera que busque fortalecer un servidor Linux y hacerlo menos vulnerable a los ataques, incluido el ransomware.
Las STIG proporcionan una lista detallada de las configuraciones de seguridad y las opciones de configuración que deben implementarse en un servidor Linux, que incluyen:
Uso de contraseñas seguras y políticas de bloqueo de cuentas
Restringir el acceso al servidor solo a usuarios y hosts autorizados
Configuración del firewall para bloquear el tráfico entrante y saliente innecesario
Deshabilitar servicios y demonios innecesarios
Restringir el acceso al servidor solo a usuarios y hosts autorizados
Habilitación del registro y monitoreo de eventos del sistema
Habilitación de actualizaciones periódicas de software
Etc.
La implementación de estas pautas puede ayudar a reducir la superficie de ataque de un servidor Linux y hacerlo menos vulnerable a los vectores de ataque comunes, incluido el ransomware.
SUSE proporciona formas de aplicar parte de estas reglas automáticamente para obtener información más detallada. Recomiendo leer la publicación del blog de Marcus " Aplicación del endurecimiento DISA STIG a las instalaciones de SLES ".
¿Cómo puedo aplicar perfiles STIG a todos mis servidores con openSCAP y SUSE Manager?
Uno de los desafíos que enfrentamos al proteger nuestra infraestructura es cómo administrar la seguridad a escala. Aplicar parches o configurar cientos, o incluso miles, de servidores es una tarea que consume mucho tiempo y es propensa a errores si se realiza manualmente; durante este tiempo, nuestros sistemas pueden ser vulnerables a los atacantes.
SUSE Manager (SUMA) es una solución de administración de servidores de SUSE que brinda capacidades integrales de administración de sistemas para sistemas basados en Linux, incluidos los que se ejecutan en SUSE Linux Enterprise Server (SLES), todo a través de una interfaz basada en web o mediante llamadas API. Permite a los administradores de TI administrar y monitorear fácilmente sus servidores físicos y virtuales, así como sus paquetes de software, parches y configuraciones. SUMA también brinda soporte para openSCAP , una herramienta de código abierto que permite a los administradores de TI aplicar perfiles de seguridad a sus servidores para garantizar el cumplimiento de los estándares de seguridad como STIG y generar informes sobre el cumplimiento de las políticas del sistema.
Con SUSE Manager y openSCAP, podemos aplicar perfiles STIG a múltiples servidores al mismo tiempo, ahorrando tiempo y esfuerzos, además de permitirle observar desde un solo panel todos los servidores que están protegidos y aquellos que necesitan atención.
Podemos ver aquí los pasos generales para aplicar un perfil STIG a un servidor Linux usando openSCAP y SUSE Manager :
Instale openSCAP y SUSE Manager en el servidor.
Descarga el perfil STIG que deseas aplicar desde el sitio web de DISA .
Importe el perfil STIG en SUSE Manager.
Estos pasos solo deben realizarse la primera vez.
Utilice SUSE Manager para aplicar el perfil STIG al servidor.
Use openSCAP para escanear el servidor y evaluarlo contra el perfil STIG.
Revise el informe de openSCAP para ver qué ajustes y configuraciones de seguridad cumplen y cuáles no.
Utilice SUSE Manager para realizar los cambios necesarios en la configuración y la configuración de seguridad del servidor para que cumplan con el perfil STIG.
Repita los pasos 5 a 7 según sea necesario para mantener el cumplimiento con el perfil STIG.
Es importante tener en cuenta que la aplicación de STIG no es un evento de una sola vez, sino que es un proceso continuo. Es importante monitorear regularmente los sistemas para asegurarse de que aún cumplen con las STIG y, de lo contrario, realizar los cambios necesarios.
¿Existen otras herramientas que pueda aprovechar para desarrollar mi estrategia de protección contra ransomware?
SUSE Linux Enterprise Server (SLES) proporciona más herramientas que pueden ayudarlo a desarrollar su estrategia de protección contra el ransomware.
AIDE (Advanced Intrusion Detection Environment) es una herramienta que se puede utilizar para detectar cambios no autorizados en un servidor Linux. Funciona creando una suma de comprobación criptográfica de todos los archivos seleccionados en el servidor y almacenándolo en una base de datos. Esta base de datos se utiliza luego como punto de referencia, y AIDE puede escanear periódicamente el servidor para comparar el estado actual de los archivos con el punto de referencia almacenado en la base de datos.
Si AIDE detecta algún cambio no autorizado, alertará al usuario y le brindará información detallada sobre los cambios.
Esto también ayuda a crear un registro de auditoría de cambios que puede facilitar el proceso de análisis forense.
Es importante tener en cuenta que AIDE no es un reemplazo de una solución completa de protección de endpoints y no es capaz de detectar todos los tipos de ransomware. También es importante actualizar periódicamente la herramienta y las reglas para detectar nuevas variantes.
Para más información sobre AIDE aquí está la documentación para la configuración de AIDE en sus servidores SLES .
ClamAV , que es un motor antivirus de código abierto diseñado para detectar troyanos, virus y otro malware, se puede usar para escanear archivos en busca de contenido malicioso en una carpeta compartida que sirve a los sistemas de escritorio, de esta manera puede reducir la propagación de ransomware en los sistemas de escritorio. , incluso cuando utilizan otros sistemas operativos.
Permite complementos como ClamSAP, un complemento que se puede usar para escanear y proteger los sistemas SAP del malware. Está específicamente diseñado para integrarse con la plataforma SAP Netweaver y buscar malware en los archivos y bases de datos que utilizan las aplicaciones de SAP.
Tanto ClamSAP como ClamAV se incluyen con las suscripciones de SUSE Linux Enterprise Server para SAP y se actualizan periódicamente.
Resumen
Este artículo proporciona una descripción general de algunas de las herramientas y servicios disponibles de SUSE para proteger los servicios de TI de las organizaciones que se ejecutan en la infraestructura de TI tradicional del ransomware y otras formas de malware. Los productos de SUSE están diseñados para priorizar la seguridad . Nuestro equipo innova constantemente en el área de la seguridad. para garantizar que su negocio se mantenga estable y resistente.
Si desea obtener más información sobre SLES, no dude en descargar nuestra Guía del comprador .
Para más información sobre nuestros productos y servicios, por favor contáctenos .
Para otros artículos de esta serie, visite:
Ataques de Ransomware – Parte 1, Introducción
Ataques de ransomware: parte 3, seguridad de contenedores
Cómo proteger sus aplicaciones SAP de los ataques de Ransomware