本文是《如何抵御勒索軟件攻擊》系列文章，本篇將探討如何保護傳統(tǒng) IT 安全。如需閱讀本系列的其他文章，請訪問：??如何抵御勒索軟件攻擊：簡介???

如何讓傳統(tǒng) IT 基礎(chǔ)設(shè)施免受勒索軟件攻擊？?

目前，很多公司已經(jīng)將工作負載轉(zhuǎn)移到容器和云原生應(yīng)用程序上，但大部分工作負載仍運行在傳統(tǒng) IT 環(huán)境中。因此，確保它們安全并保持最新版本是非常重要的。?

操作系統(tǒng) (OS) 層是關(guān)鍵，因為它提供了應(yīng)用程序使用的大多數(shù)庫。因此，使用不包含已知漏洞并且可靠的源非常重要。SUSE 可以在這方面提供支持。?

Linux 發(fā)行版有很多用于保護應(yīng)用程序安全的功能和工具，例如 SELinux、AppArmor 和 Netfilter。Kubernetes 等容器管理平臺也使用這些工具，SUSE 提供這些工具以及其他工具來確保傳統(tǒng) IT 基礎(chǔ)架構(gòu)上的系統(tǒng)安全性和可靠性；此外，SUSE 還與安全機構(gòu)合作，生成配置指南，對自身產(chǎn)品做認(rèn)證，幫助用戶加固他們的平臺。?

在SUSE 安全認(rèn)證列表中，需要重點關(guān)注 Common Criteria EAL4+，這是證實軟件供應(yīng)鏈安全的有力指標(biāo)。在撰寫本文時，SLES 15 是唯一獲得此認(rèn)證的通用 Linux 操作系統(tǒng)。?

如何使用 SELinux、AppArmor 和 Netfilter 來抵御勒索軟件？?

SELinux 和 AppArmor 可用于防止進程訪問它們不應(yīng)該訪問的文件和意外行為。在受保護的應(yīng)用程序中，如果系統(tǒng)被感染，或者攻擊者試圖攻擊漏洞，惡意軟件的傳播就會受限。?

Netfilter 是 Linux 內(nèi)核的防火墻，是通用且功能強大的工具，可以幫助應(yīng)用程序避免來自網(wǎng)絡(luò)的不必要訪問。?

這些安全工具本身非常復(fù)雜，值得專門寫一篇文章。如果配置正確，它們可用于抵御勒索軟件，阻止其傳播，提供多層防御，并允許在傳統(tǒng) IT 基礎(chǔ)設(shè)施中采用零信任安全方法。?

STIG 強化指南可以保護 Linux 服務(wù)器免受勒索軟件攻擊嗎？?

安全技術(shù)實施指南 (Security Technical Implementation Guide，STIG) 是一組用于保護信息系統(tǒng)和網(wǎng)絡(luò)的指南和程序。?

STIG 指南對于希望強化 Linux 服務(wù)器并免受攻擊的用戶非常有用，它提供了應(yīng)該在 Linux 服務(wù)器上實施的安全設(shè)置和配置選項，包括：?

• 使用強密碼和賬號鎖定策略?
• 僅允許授權(quán)用戶和主機訪問服務(wù)器?
• 配置防火墻來阻止不必要的傳入和傳出流量?
• 禁用不必要的服務(wù)和守護進程?
• 啟用系統(tǒng)事件的日志記錄和監(jiān)控?
• 啟用定期軟件更新?
• 其他?

實施這些準(zhǔn)則有助于減少 Linux 服務(wù)器的攻擊面，并使其不易受到常見的攻擊，包括勒索軟件攻擊。?

如何通過 openSCAP 和 SUSE Manager 將 STIG 配置文件應(yīng)用到所有服務(wù)器？?

在保護基礎(chǔ)設(shè)施時，我們面臨的另一個挑戰(zhàn)是如何大規(guī)模管理安全性。修補或配置數(shù)百甚至數(shù)千臺服務(wù)器非常耗時，手動操作很容易出錯，而且在此期間系統(tǒng)很容易受到攻擊。?

SUSE Manager (SUMA) 是 SUSE 的服務(wù)器管理解決方案，它通過 Web 界面或 API 調(diào)用為基于 Linux 的系統(tǒng)（包括在 SLES 上運行的系統(tǒng)）提供全面的系統(tǒng)管理功能。它讓 IT 管理員輕松管理和監(jiān)控物理和虛擬服務(wù)器、軟件包、補丁和配置。SUSE Manager 還對開源工具 openSCAP 提供支持，讓 IT 管理員能將安全配置文件應(yīng)用到服務(wù)器，確保符合 STIG 等安全標(biāo)準(zhǔn)，并生成系統(tǒng)策略合規(guī)的報告。?

借助 SUSE Manager 和 openSCAP，你可以將 STIG 配置文件同時應(yīng)用到多臺服務(wù)器上，節(jié)省更多時間和精力，而且能從單一管理平臺觀測所有受保護的服務(wù)器和需要關(guān)注的服務(wù)器。?

以下是通過 openSCAP 和 SUSE Manager 將 STIG 配置文件應(yīng)用到 Linux 服務(wù)器的步驟：?

1. 在服務(wù)器上安裝 openSCAP和 SUSE Manager。?
2. 從 DISA 網(wǎng)站下載要應(yīng)用的 STIG 配置文件。?
3. 將 STIG 配置文件導(dǎo)入 SUSE Manager。以上步驟只需要在首次操作時進行。?
4. 使用 SUSE Manager 將 STIG 配置文件應(yīng)用到服務(wù)器。?
5. 使用 openSCAP 掃描服務(wù)器，并根據(jù) STIG 配置文件進行評估。?
6. 查看 openSCAP 報告，了解合規(guī)和不合規(guī)的安全設(shè)置和配置。?
7. 使用 SUSE Manager 對服務(wù)器的安全設(shè)置和配置進行更改，使其符合 STIG 配置文件。?
8. 根據(jù)需要重復(fù)步驟 5-7，確保其符合 STIG 配置文件。?

請務(wù)必注意，應(yīng)用 STIG 不是一勞永逸的，需要持續(xù)執(zhí)行操作。你需要定期監(jiān)控系統(tǒng)來確保它們?nèi)匀环?STIG，如有需要則進行更改。?

有沒有其他工具可以構(gòu)建防勒索軟件策略？?

SUSE Linux Enterprise Server (SLES) 提供了更多工具，幫助用戶構(gòu)建抵御勒索軟件的保護策略。?

AIDE（Advanced Intrusion Detection Environment）可以檢測對 Linux 服務(wù)器進行的未經(jīng)授權(quán)的更改。它會創(chuàng)建服務(wù)器上所有選定文件的加密校驗和，并將其存儲在數(shù)據(jù)庫中。該數(shù)據(jù)庫后續(xù)將用作參考點，AIDE 可以定期掃描服務(wù)器，并將文件的當(dāng)前狀態(tài)與存儲在數(shù)據(jù)庫中的參考點進行比較。?

如果 AIDE 檢測到任何未經(jīng)授權(quán)的更改，它將提醒用戶并提供更改的詳細信息。這也有助于創(chuàng)建更改的審計線索跟蹤，使取證分析更加容易。?

請注意，AIDE 不能替代成熟的端點保護解決方案，它無法檢測所有類型的勒索軟件。對檢測新變體的工具和規(guī)則進行定期更新很重要。?

有關(guān) AIDE 的更多信息，請參閱 SLES 服務(wù)器上的 AIDE 配置文檔。?

ClamAV 是一個開源防病毒引擎，專為檢測木馬、病毒和其他惡意軟件而設(shè)計，可通過掃描桌面系統(tǒng)上共享文件夾中的文件來查找惡意內(nèi)容，減少勒索軟件在桌面系統(tǒng)（即使使用的是其他操作系統(tǒng)）上的傳播。?

它允許用戶使用 ClamSAP 之類的插件，該插件可用于掃描和保護 SAP 系統(tǒng)，讓其免受惡意軟件的攻擊。它專門用于與 SAP Netweaver 平臺集成，并掃描 SAP 應(yīng)用程序使用的文件和數(shù)據(jù)庫中的惡意軟件。?

ClamSAP 和 ClamAV 都與 SUSE Linux Enterprise Server for SAP 訂閱捆綁在一起，并且會定期更新。?

關(guān)于?

SUSE 是全球范圍內(nèi)創(chuàng)新且可靠的企業(yè)級開源解決方案領(lǐng)導(dǎo)者，財富 500 強中有 60% 以上的企業(yè)依靠 SUSE 為其關(guān)鍵任務(wù)的工作負載賦能。SUSE 專注于企業(yè)級 Linux、企業(yè)容器管理和邊緣解決方案，通過與合作伙伴和社區(qū)合作，幫助客戶隨時隨地在任意場景進行創(chuàng)新——無論是在數(shù)據(jù)中心、云端還是邊緣環(huán)境。?

SUSE 讓“開源”重新“開放”，使客戶能夠靈活地應(yīng)對當(dāng)今的創(chuàng)新挑戰(zhàn)，并能夠自由地在未來發(fā)展其 IT 戰(zhàn)略和解決方案。SUSE 在全球擁有2000 余名員工，2021 年在法蘭克福證券交易所的監(jiān)管市場（Prime Standard）上市。?