「Linux 伺服器沒有惡意程式威脅,它不就是為了安全而打造的嗎?」
「Linux 伺服器既安全又可靠,為何我們還需要什麼資安防護?」
「我不曉得網路上有什麼威脅,但我沒聽說過任何有關 Linux 伺服器遭受攻擊的重大事件。」
若您也同意上述的看法,那麼您跟很多人一樣。人們普遍認為 Linux 伺服器的安全性比 Windows 伺服器更好,漏洞也更少。儘管這樣的看法並非全然錯誤,但也不是完全正確。不過,若您真的相信這樣的說法,那您的企業可能就危險了。
安全不代表沒有漏洞
隨著越來越多企業伺服器開始移轉到雲端上,主機端的網路防護就顯得更加重要,因為雲端工作負載必須在自身周圍築起一道防線來防衛自己。而且別忘了,工作負載還包括 Linux 上執行的應用程式,因此不能只考慮到作業系統就好。
採用一套主機式入侵防護 (IPS) 可有效防止核心作業系統「以及」應用程式的漏洞遭到攻擊。最近 Apache Struts-2 出現的問題就是一個可從網路發動攻擊的漏洞最佳範例,此外還有之前的 Heartbleed、Shellshock 等等。不僅如此,就算是多年前的舊漏洞 (如 Heartbleed),也可能因為應用程式和伺服器仍尚未修補而造成危險。根據 Shodan 最近所做的一項調查,全球目前仍有 18 萬台以上的伺服器含有Heartbleed 漏洞!
若您的網站伺服器使用的正是 Linux 作業系統 (根據 W3Techs 的調查至少有 37% 的網站伺服器是使用 Linux),那麼您需要一套漏洞防護來防範 Apache、Nginx 等等的漏洞。
| 2014 年 (含) 之後的漏洞 (大約) | 2014 年之前的漏洞 (大約) | 總數 | |
| 非 Windows 作業系統與核心服務 | 80 | 230 | 310 |
| 網站伺服器 | 114 | 472 | 586 |
| 應用程式伺服器 | 255 | 319 | 574 |
| 網站主控台 / 管理介面 | 113 | 453 | 566 |
| 資料庫伺服器 | 10 | 218 | 228 |
| DHCP、FTP、DNS 伺服器 | 9 | 82 | 91 |
表 1:Deep Security 可防範的漏洞。
很重要的一點是,千萬別將漏洞和惡意程式威脅混為一談。雖然 Linux 較少有惡意程式威脅,但您若上網查詢一下美國國家漏洞資料庫 (National Vulnerability Database) 就會發現事實上 Linux 和 Windows 作業系統的漏洞數量差不了多少。
針對 Linux 設計的惡意程式
有別於一般普遍的看法,Linux 平台其實也有很多惡意程式。其數量雖然不像 Microsoft Windows 那麼多,但也有數萬個左右。
雖然,光安裝惡意程式防護並不足以保護伺服器,但絕大多數導致資料中心發生資料外洩的攻擊都會在過程當中安裝惡意程式。這正是為何一些資安法規和規範如 PCI-DSS (第三條)、SANS CIS Critical Security Controls (第八條) 以及 NIST Cybersecurity Framework (條目:DE.CM-4) 仍一再建議最好安裝惡意程式防護。
針對 Linux 工作負載的層層防護
大家已經越來越明白伺服器防護並無所謂的萬靈丹,因此,企業必須架設多層式的防禦來保護可能遭到攻擊的 Linux 系統。除了惡意程式防護和入侵防護之外,您還可建置一些其他資安措施來確保 Linux 系統的安全:
| · 應用程式控管:可防止主機執行一些不明的應用程式或腳本。如此可讓惡意程式完全沒有機會執行,也可防範駭客可能在伺服器上植入的後門程式。
· 一致性監控:新出現的威脅很可能會對系統進行一些變更,因此監控這類變更就顯得相當重要。一致性監控可防止任何非計畫性變更,而且營運用的伺服器通常很少會進行一些臨時的變更。 · 記錄檔檢查:掃瞄系統上的記錄檔並且持續加以監控,有助於及早發掘威脅。像 SQL 隱碼攻擊、指令隱碼攻擊、API 攻擊等等,都可以從記錄檔當中看出端倪,進而採取行動。 |
|
此處給我們的啟示是,儘管 Linux 系統較為安全、也較穩定,但絕非解決資安問題的萬靈丹。如同任何其他平台一樣,它們還是需要整理和維護,而且您有責任採用一套多層式防護策略並定期更新系統來確保其安全,包括系統上執行的應用程式在內。如需有關 Linux 漏洞的進一步資訊,以及趨勢科技 Deep Security 如何防範這些漏洞,請參閱這份研究報告。