Защита операционных систем на основе Linux

Уже более 10 лет в ИТ-сообществе ведутся острые дискуссии между сторонниками Windows и адептами Linux, какую операционную систему (ОС) выбирать. И, похоже, что больше всего копьев было сломано при обсуждении, какая ОС надежнее с точки зрения информационной безопасности (ИБ). Нет, однозначного ответа до сих пор нет. Сегодня, в разгар импортозамещения, когда для большого количества предприятий выбор сделан на уровне регулятора, мы представляем Вам мнения российских экспертов о том, есть ли отличия в подходах к защите ИС, если компания перешла с Windows на ОС на основе Linux, и готовы ли российские ИБ-вендоры защищать такие системы.

На вопросы ответили:

1. Алексей Смирнов, генеральный директор компании "Базальт СПО" (российский разработчик операционных систем (ОС) для госсектора, госкорпораций и крупного бизнеса).

2. Рустэм Хайретдинов, генеральный директор компании "Атак Киллер" (российский разработчик систем управления комплексной защитой веб-ресурсов).

3. Игорь Корчагин, Руководитель группы обеспечения безопасности информации, компания ИВК (российский производитель компьютерной техники, системообразующего ПО и средств защиты информации).

4. Андрей Конусов, генеральный директор компании Аванпост (российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия).

1. Есть ли отличия в подходах к защите ИС, если компания перешла с Windows на ОС на основе Linux?

Алексей Смирнов:

В целом подход к защите информации не изменяется, даже с официальной позиции требования регуляторов к ОС по безопасности едины. Есть различия в технической реализации, но это предмет отдельного рассказа.

В случае использования отечественных дистрибутивов Linux, появляется дополнительная возможность независимого аудита системы, включая сборку из исходников и проверки на идентичность любых компонентов. Изменяется обеспечение жизненного цикла продукта, появляется возможность оперативного выпуска обновлений, в том числе по безопасности. Не приходиться ждать, когда Microsoft очередным обновлением закроет уязвимость . Отечественный разработчик имеет возможность самостоятельно исправлять уязвимости, как действующие, так и потенциальные, и такие патчи действительно выпускаются. Появляется также возможность контролировать источник обновления системы, вплоть до того, что можно организовать у себя сервер обновлений, что позволяет самостоятельно дополнительно проверять обновления перед их публикацией.

Рустэм Хайретдинов:

Linux-системы менее популярны, поэтому и вирусов, и работающих эксплойтов для них на порядки меньше. К тому же, обнаружив уязвимость в Linux-системах, пользователи могут не дожидаться патча, а прересобрать систему самостоятельно - либо исправив уязвимость, либо временно отключив уязвимый функционал. Но общий подход, конечно, не меняется - безопасность информационных систем обычно обеспечивается по одним и тем же методикам. 

Игорь Корчагин:

Подходы к защите ИС определяются исходя из актуальной для данной ИС модели угроз, а также требований нормативной базы для классифицированных ИС, и никак не зависят от типа выбранного общесистемного программного обеспечения. Таким образом, для организаций, у которых сформировалась практика разработки и реализации различного рода мер защиты информации в ИС, построенных на ОС Windows, данная практика будет применима и при переходе на ОС на основе Linux. При этом, конечно же, организациям необходимо будет пересмотреть некоторые угрозы, а также технические решения их реализации, связанные с выбором иных наложенных средств защиты или выбором в пользу уже сертифицированных ОС.

Андрей Конусов:

Да, такие отличия есть. В первую очередь, это относится к вирусам, которые превратились в настоящий бич Windows, и которых почти нет для Linux. Сторонники Windows объясняют это малой распространенностью альтернативной ОС, поклонники же Linux утверждают, что при отсутствии явных ошибок в настройке системы, вирусы не могут ей повредить. Как бы то ни было, факт разного уровня угроз остается фактом.

В корпоративном секторе вирусная угроза имеет свои особенности. Так, здесь получили распространение «целевые вирусы», изначально рассчитанные на распространение внутри конкретных организаций и учитывающие особенности их информационных систем. Такие вирусы гораздо хуже выявляются универсальным антивирусным ПО, и точной информации о масштабах этого явления нет. Однако для конкретной организации или даже страны последствия применения этого типа вирусов могут быть тяжелыми (вспомним, печально известный вирус Stuxnet). Т.е. повышенная уязвимость Windows может иметь для определенных структур особо тяжелые последствия.

Кроме того, надо учитывать, что существуют сертифицированные версии ОС Linux, в которых реализованы дополнительные средства защиты, например, мандатный доступ и сквозная передача меток безопасности.

В конце прошлого года одна из российских компаний-разработчиков (компания Базальт СПО) объявила о создании для процессоров «Эльбрус» версии своей ОС Альт на основе Linux, ориентированной на госструктуры и крупные организации. Данная ОС поддерживает указанные процессоры нативно, а не в режиме эмуляции архитектуры x86. Это значит, что впервые появляется гарантированно свободная от «закладок» доверенная среда, охватывающая «железо», ОС и важнейшее инфраструктурное ПО, например, свободный аналог системы каталогов MS Active Directory.

Если учесть все эти моменты, становится ясно, что при переходе на Linux могут применяться иные принципы защиты информационных систем.

2. Насколько современные ИБ-продукты и решения совместимы с Linux ?

Алексей Смирнов:

Практически во всех категориях отечественные ИБ-продукты совместимы с Linux - это и антивирусы, и криптография, и системы мониторинга. Мы ведем систематическую работу с нашими партнерами по проверке совместимости различного прикладного ПО (в том числе и ИБ-продуктов) с нашими дистрибутивами. Постоянно обновляемая информация доступна тут: https://www.basealt.ru/sales/informacija-o-sovmestimosti/

Рустэм Хайретдинов:

Поскольку есть настойчивые требования заказчиков, которые переходят с Windows на различные сборки Linux, то ИБ-производители либо портируют свои разработки на Linux, либо сразу пишут новые версии для Linux - многие серверные ИБ-продукты изначально работают на популярных дистрибутивах Linux - Debian и CentOS.

Игорь Корчагин:

Современный рынок ИБ решений уже давно активно поддерживает ОС Linux, и не только в рамках защиты серверных решений, но и desktop-версий.

3. Планируете ли Вы (и российские ИБ-вендоры в целом) портировать свои продукты/решения на российские ОС?

Рустэм Хайретдинов:

Следуя требованиям регулятора, однозначно заявляющего необходимость работы средств защиты в доверенной среде, мы недавно портировали наши серверные решения на одну из российских ОС. Наши клиентские решения изначально поддерживают все ОС, которыми пользуются наши заказчики, в том числе и российские дистрибутивы Linux. Приблизительно такая же картина наблюдается у всех российских производителей.

Игорь Корчагин:

Многие наши решения уже довольно давно работают на ОС Linux, в том числе российских, и мы активно занимаемся расширением данного перечня. Не исключением являются большинство ИБ-вендоров, которые за последнее время не только выпустили версии своих средств защиты под Linux, но также осуществляют активное их развитие и модернизацию, например, в части решения вопросов привязки к версии ядра.

Андрей Конусов:

Безусловно! Некоторые из наших программных продуктов изначально работают как в Linux, так и в Windows. Кроме того, уже около года мы очень серьезно занимаемся портированием в Linux нашего флагманского продукта – системы централизованного управления доступом к информационным ресурсам предприятия. Но процесс сильно осложняется ограниченной функциональностью продукта MS .NET Core (по сравнению с полнофункциональной средой .NET для платформы Windows). Тем не менее, выполнив определенные изыскания и разработки, мы планируем, что очередная крупная версия нашей IDM-системы (6.0) уже будет полноценно поддерживать альтернативные ОС.

Алексей Смирнов:

Да, такая тенденция есть (портирование российских ИБ-продуктов на российские ОС), и большинство российских ИБ-вендоров либо уже сделали версии своих продуктов для Linux, либо готовят их. Особенно эта тенденция усилилась в последние 2-3 года. Сейчас, думаю, стоит уделять внимание уже не вопросу совместимости, а корректности встраивания ИБ-продуктов в ОС, поскольку в спешке не все это сделали достаточно аккуратно.

4. Предвидите ли Вы начало/увеличение хакерских атак на OpenSourse-инфраструктуры (российские ОС на основе Linux)? Готовы ли к этому российские разработчики ИБ-продуктов и решений?

Алексей Смирнов:

Практически весь Интернет построен на свободном ПО, и его инфраструктура, и ведущие сервисы, такие как Google, Яндекс, FaceBook, поэтому вряд ли стоит ожидать каких-то особых хакерских атак. Потому что происходит изменение прежде всего на российском рынке решений для госструктур и гос. корпораций, а не изменение всемирной инфраструктуры. В России также есть крупные внедрения на базе Linux, доступные из публичных сетей.

Рустэм Хайретдинов:

Атаки на инфраструктуру, а большинство веб-приложений построено как раз на Linux-системах, идут постоянно, и их количество только растёт. По мере увеличения количества установок российских ОС, особенно серверных, и построения на их базе критичных систем, мы увидим рост атак и на них.

Игорь Корчагин:

Ни для никого не секрет, что заинтересованность кебирпреступников определяется в первую очередь объемом возможных их финансовых доходов от своей деятельности, которая прямо связана с шириной сегмента их преступной деятельности, то есть популярностью той или иной системы, применяемой обычными пользователями. Таким образом, однозначно можно сказать, что увеличение числа инсталляций OpenSource-решений привлечет интерес киберпреступников к данным решениям. Но надо учесть, что Open Source в силу своей открытости находится под постоянным изучением мирового сообщества, и зачастую имеет хорошие показатели по скорости закрытия выявленных уязвимостей.

Андрей Конусов:

Сейчас, в эпоху кибервойн, я этого не исключаю. Опыт Stuxnet не мешает учитывать. Об уровне готовности рынка судить не берусь – слишком закрытой была и остается сфера ИБ. Однако хакерские атаки классического типа, когда злоумышленники атакуют периметр организации, думаю, очень большой опасности уже не представляют. По крайней мере, инструменты взаимодействия и методики противодействия уже есть. Риск может качественно возрасти, если злоумышленники смогут опираться на ресурсы крупных экономически развитых государств (например, в лице их спецслужб). Но это очень острый сценарий.

Обычные компьютерные преступники определенно будут пользоваться нехваткой квалифицированных администраторов Linux и типичными ошибками новичков, прошедших лишь краткий курс подготовки. Но это временная угроза.

На мой взгляд, гораздо большую реальную опасность, причем буквально для каждой организации, представляют преступления другого типа. Их общая черта состоит в том, что злоумышленник получает возможность входить в информационную систему от лица ее легитимного пользователя, имеющего нужные ему полномочия. В этот момент он становится невидимым для всех средств ИБ, какими бы изощренными они ни были. Единственная возможность эффективно бороться с этой угрозой связана с применением связки IDM + PKI + SSO (и Web SSO). Если такая связка есть, то даже если сами эти системы работают на Windows, они повышают безопасность обеих сегментов ИС, включая построенный на Linux. Конечно, если IDM связана модулями сопряжения  (коннекторами) с максимально широким набором прикладного ПО и инфраструктурных элементов ИС.