Преимущества и недостатки ОС на Linux глазами вендоров
Безусловно, политика импортозамещения и санкционные риски сегодня являются главными факторами, определяющими высокую конкурентоспособность операционных систем на базе Linux на российском рынке. Но в сравнении Windows и Linux существует технологическая составляющая, которую также не стоит игнорировать. Безопаснее ли Linux в плане архитектуры, особенностей разработки и поддержки, защиты от проникновений, наличия уязвимостей и других объективных параметров?
Руководитель направления перспективных исследований и инновационных проектов «Группы Астра» Роман Мылицын отмечает, что под ОС Linux написано в сотни раз меньше вирусов и шифровальщиков, чем под Windows. При этом средства защиты в Linux сейчас разрабатываются с учетом современных техник атак, что позволяет замедлить рост угроз для этой платформы.
«С точки зрения недостатков Linux-систем можно назвать наиболее очевидные из них, а именно: недостаточное развитие экосистемы корпоративного ПО для нее и интеграции его между собой. Именно задачу по расширению экосистемы как собственных продуктов, так и совместимого программного и аппаратного обеспечения уже много лет решает ПАО «Группа Астра». На данный момент в общей экосистеме ОС Astra Linux – более 2000 решений (софт и «железо»)» – сообщил эксперт.
Директор по продуктам компании «Базальт СПО» Владимир Чёрный перечисляет следующие преимущества систем на Linux.
Во-первых, архитектурно ОС на ядре Linux устроены как сетевые, а Windows – как однопользовательская. Этим обусловлено много отличий: в частности, отсутствие вирусов в Linux (в смысле вредоносного самовоспроизводимого кода). Каждый процесс в Linux ограничен правами того пользователя, которым он запущен.
«Во-вторых, все драйверы устройств самого компьютера (не периферии) находятся в ядре Linux (с избытком), что позволяет просто подобрать ядро, которое поддерживает данное оборудование. Процесс смены ядра прост и незатейлив, в отличие от Windows.
И в-третьих, ОС на ядре Linux построены на свободном ПО, что позволяет провести полный аудит кода и гарантировать защищенность и безопасность (при правильной эксплуатации)», – добавляет эксперт.
Начальник отдела информационной безопасности РЕД СОФТ Олег Шапошников так же считает открытый исходный код, над которым работают тысячи разработчиков со всего мира, одним из неоспоримых преимуществ ОС на Linux. «Открытость позволяет гарантировать отсутствие закладок и прочих неожиданностей. Надежность – ключевая особенность всех Linux-систем, в том числе и РЕД ОС. И это не пустое заявление: большинство серверов на нагруженных сервисах используют ядро Linux. Еще одно преимущество – непрерывный поиск ошибок и улучшение продукта. Мы вместе с сообществом разработчиков применяем современные методы поиска уязвимостей в коде, устраняем их, тестируем и делаем все, чтобы каждое приложение работало лучше с каждым днем», – поясняет он.
Преимущества и недостатки ОС на Linux с точки зрения специалистов ИБ
Директор по инновационным проектам ГК InfoWatch Андрей Арефьев обращает внимание на то, что в целом количество уязвимостей в проектах Open Source сильно зависит от того, насколько этот проект востребован. И если говорить о проектах с большим количеством контрибьюторов и пользователей, качество кода такого продукта может быть даже выше, чем у проприетарного решения.
«Крупные компании очень часто строят свою ИТ-инфраструктуру именно на линуксовом стеке. Это связано с удобством администрирования и масштабирования, со стоимостью этого стека. Такие компании, безусловно, интересны для хакеров, но уровня безопасности этих систем достаточно, чтобы противодействовать широкой аудитории злоумышленников, – уверен он. – В целом сложно выделить какое-то явное преимущество той или иной операционной системы. Ключевой вопрос состоит в том, успевают ли разработчики своевременно закрывать уязвимости, обнаруженные в ходе тестирования или в ходе взлома».
Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников самым главным недостатком любой операционной системы считает ее неправильную эксплуатацию людьми с низкой компетенцией. По его словам, и Linux, и Windows могут работать безопасно при условии правильной настройки ОС и постоянной поддержки мер безопасности.
«Однако в части постоянной эксплуатации семейство Linux уступает компании Microsoft на корпоративном уровне в удобстве и экосистеме. Для Windows всегда были продукты вроде линейки System Center, нативная интеграция MS Exchange с MS Active Directory, MS SharePoint и многое другое, что существенно упрощало эксплуатацию. Теперь при переходе на Linux придется использовать продукты от разных вендоров, что повысит вероятность человеческой ошибки или наличия уязвимостей. Во всем остальном Linux – это просто операционная система, которая в текущий момент времени стала намного дружелюбнее для пользователя, чем была 25 лет назад. Кстати, Linux или его самописные клоны вполне успешно функционируют в качестве ОС на межсетевых экранах, прокси-серверах, коммутаторах и даже в автомобильных системах», – замечает спикер.
ИТ-архитектор ГК «Солар» Илья Петров, так же рассуждая на тему компетенций, добавляет, что большой плюс Linux является и его наибольшим минусом: возможности настроить всё и, прежде всего, консольные и текстовые конфигурации, требуют от администраторов большей вовлеченности и понимания работы операционной системы.
«Недостатки Linux сводятся к лавированию между новыми возможностями и стабильностью работы. Ввиду того, что это не монолитная система, а большой набор компонентов, которые можно соединить разными способами, то собрать такой дистрибутив, который был бы и свежим по возможностям, и стабильным по работе, очень сложно. Поэтому обычно останавливаются на стабильности. Другой небольшой, но важный минус – некоторое привычное ПО есть исключительно на Windows. В таких случаях приходится подбирать альтернативу», – добавляет он.
Изменение ИБ-рынка в условиях миграции заказчиков на российские ОС
По мнению Андрея Арефьева (ГК InfoWatch), разные операционные системы обладают разными механизмами управления безопасностью. Например, при эксплуатации системы на базе Microsoft пользователю не приходится сильно беспокоиться о получении обновлений, потому что они автоматически доставляются на рабочую станцию или на сервер. В Linux механизмы обновления засвистят от многих факторов, какой именно дистрибутивы вы используете, какое прикладное ПО и наложенные средства безопасности используется так, часто ни засвистят от версии ядра и после обновления ядра могут прекратить работать. Поэтому, аудит используемых компонент на серверах и рабочих станций, работающих на Linux, особенно важен для обеспечения безопасности.
«Внимание стоит уделять вопросам совместимости ПО и систем информационной безопасности. За счет меньшей популярности Linux по сравнению с Microsoft функциональность тех же DLP-агентов здесь немного отличается от функциональности агентов на Windows. Соответственно, если вы переходите на Linux, то нужно этот фактор учитывать и принимать дополнительные меры – например, по ограничению тех или иных доступов для пользователей», – говорит спикер.
Дмитрий Овчинников («Газинформсервис») считает, что с точки зрения злоумышленников никакой разницы между Linux и Windows нет: обе являются объектами, на которых можно реализовать те или иные риски путем использования уязвимостей.
«Для Windows уже достаточно давно существует большая база знаний, и есть множество готовых специалистов по обслуживанию данной ОС. Linux был менее популярен, его доля на рынке была значительно ниже, а если говорить про рынок настольных ПК, то для Linux он был совсем мизерным. Все это и привело к формированию мифа о том, что Windows опасен, а Linux безопасно использовать. На самом деле, это не так. Но вернемся к рынку ИБ. В ближайшее время, по мере роста доли Linux на рынке ОС, количество взломов будет расти пропорционально. И первое время это будет происходить достаточно быстро и активно. Однако после того, как на рынке труда появятся обученные на своем опыте специалисты, когда знания по правильной защите и настройке ОС будут растиражированы по всем ресурсам, – тогда и только тогда произойдет снижение числа взломов», – уверен он.
Илья Петров (ГК «Солар») согласен с тем, что с точки зрения безопасности и Windows, и Linux можно настроить как хорошо, так и очень плохо: «Windows всегда ощущался более отзывчивой и популярной системой, на которой мог работать практически любой пользователь. Linux выбирали чаще всего программисты и любители (как различных технологий вообще, так и операционных систем в частности). Ввиду преимущественного распространения Windows-систем (~75% на 2021 год по миру) и небольшого Linux-систем (~3% за 2021 по миру) различается фокусировка и временные затраты злоумышленников на написание вредоносного ПО. Но в последнее время ввиду обоснованной необходимости все переходят на Linux более активно».
Эксперт сравнивает «правопреемственность» некоторых направлений атак при переходе с Windows на Linux:
- атаки на локальное повышение привилегий сохраняют актуальность, но пресекаются и решаются достаточно стабильными средствами;
- атаки на удаленное повышение привилегий проявляются в Linux в намного меньшей степени;
- обход шифрования – в обеих системах с этим хорошо;
- атаки шифровальщиков и майнеров – Linux с этими видами атак чуть лучше справляется;
- атаки на утечку документов – проблематика и решения очень похожи;
- отдельно отмечаются ошибки настройки: в спешке можно пропустить что-то важное в обеих системах.
Илья Петров делает вывод о том, что почти по всем направлениям ситуация на сравниваемых операционных системах очень похожая. Такие образом, если миграция на Linux будет проходить планово и продумано, то с ее информационной безопасностью проблем не будет.
Технологии безопасности российских ОС
Эксперты разработчиков системного ПО рассказывают о том, с помощью каких технологий и методологий они достигают необходимого уровня безопасности своих решений.
Роман Мылицын, «Группа Астра»:
«Мы используем все современные подходы к разработке безопасного программного обеспечения, включающие в себя практики SDLS, применение решений для статического и динамического анализа кода, фаззинга и поиска помеченных данных. Более того, ведутся работы по дедуктивной и динамической верификации запатентованной математической модели управления доступом МРОСЛ-ДП и верификации программного кода, написанного для его реализации. И главное – все разрабатываемые и поддерживаемые в ОС Astra Linux средства защиты информации интегрируются со всей остальной экосистемой решений ПАО «Группа Астра».
Владимир Чёрный, «Базальт СПО»:
«Базальт СПО» участвует в проверке двадцати пакетов, включающих языки программирования, библиотеки для построения виртуализованных систем и контейнеризации. Работа идет в содружестве с ИСП РАН, лабораторией «Фобос НТ» и коллегами-разработчиками из разных компаний. Для целей сертификации используется сборка пакетов под аудитом, а также инструменты ИСП РАН (svace и др.), фаззинг и статическое тестирование».
Олег Шапошников, РЕД СОФТ:
«Жизненный цикл производства наших ОС включает все необходимые виды тестирования: функциональное, нагрузочное, статический и динамический анализ кода. Мы непрерывно проводим самостоятельное тестирование на проникновение, в том числе с привлечением сторонних исследователей. Мы обладаем достаточным штатом экспертов-разработчиков для проведения анализа кода «вручную», а это очень важно в непростых геополитических условиях, в которых существует реальная угроза внедрения программных патчей от недобросовестных разработчиков».
Комментарий Андрея Арефьева, ГК InfoWatch:
«Для сравнения разработчиков ОС в качестве базового критерия я предлагаю следующий подход: проверить, как часто вендор выпускает обновление ядра. Потому что наиболее опасные уязвимости находятся в ядре, и если они обнаруживаются, то единственный способ предотвратить эксплуатацию этой уязвимости – это выпустить обновление. Мы просто смотрим, как часто вендоры обновляют ядра своих операционных систем, и делаем выводы. Второй критерий – это наличие собственного репозитория и ответственности за него. Это позволяет дать независимую оценку того, насколько вендор операционной системы беспокоится о реальной безопасности своего решения».
Правила безопасности при обращении с российскими ОС
Эксперты делятся рекомендациями по основам безопасности для пользователей российских операционных систем – рядовых сотрудников и системных администраторов. В целом они мало чем отличаются от стандартных рекомендаций. Для удобства мы свели все рекомендации в общие списки.
Рекомендации для обычных пользователей
«Если вы не используете кибериммунные решения (например, Kaspersky Thin Client на базе KasperskyOS), то правила для пользователей ОС на Linux будут такими же, как и для других ОС. Будьте внимательны к источнику, из которого вы устанавливаете приложения. Помните о том, что если вы не платите за программу, которая стоит денег, то, скорее всего, товар – это вы, а бесплатное приложение – это отмычка. Не забывайте об обновлениях операционной системы и приложений, которыми вы пользуетесь. Незакрытые уязвимости в приложениях – широко распахнутые двери для злоумышленников. Атака может быть не нацелена на вас напрямую, но вас может задеть веерная рассылка или сетевой червь. Отсюда третье правило – внимательно относитесь к подозрительным электронным письмам со ссылками или вложениями. Если есть сомнения в адресате, ссылке на сайт в тексте письма или вложенном файле – не открывайте их и не проходите по ним. Без вашего действия злоумышленнику во много раз сложнее получить доступ к вашему компьютеру. И, разумеется, используйте средства киберзащиты», – дает подробные указания руководитель группы по развитию бизнеса KasperskyOS «Лаборатории Касперского» Виктор Ивановский.
Для обычных пользователей эксперты советуют:
- не работать под ROOT;
- чаще обновлять систему;
- использовать надежные пароли, регулярно сменять их и не вешать на монитор;
- использовать KeePassXC или аналоги для хранения и генерации индивидуальных паролей.
Чек-лист для системных администраторов
- использовать централизованное управление и автоматическую установку;
- разобраться с правами доступа на файлы и сетевыми разрешениями;
- установить межсетевое экранирование;
- выполнять административные задачи под правами специализированного пользователя и не в графическом окружении;
- использовать только ПО из репозитория для данной ОС;
- использовать мандатный контроль целостности;
- отключить неиспользуемые сервисы ОС (часто по умолчанию устанавливается масса пакетов и приложений, которые не нужны для функционирования, но которые могут содержать уязвимости);
- регулярно устанавливать выпускаемые обновления системы и патчи безопасности;
- обновлять систему и ПО только через доверенные прокси-сервер (или зеркало пакетов);
- изучить рекомендации по настройке безопасной конфигурации;
- настроить аудит;
- Из SUDO повысить привилегии достаточно просто, соответственно, лучше это не использовать;
- все разделы (кроме EFI) должны быть зашифрованы;
- обязательно использовать менеджер паролей (желательно даже отключить автосохранение в браузерах).
«Безопасность начинается с централизованного каталога, который обычно предлагают вендоры операционных систем. Она предполагает также наличие правильного сетевого оборудования на периметре, которое предотвращает хакерские атаки. И как раз в этом направлении мы активно работаем, развивая свои решения по защите периметра организации, как промышленного периметра, так и периметра общего пользования», – добавляет Андрей Арефьев (ГК InfoWatch).
источник - https://ict-online.ru/analytics/Bezopas … kov-280644
PS - прошу прощения, что так много, но зато почти подробно
