Microsoft Defender para Linux está llegando. Esto es lo que necesitas saber


Las herramientas de seguridad de Microsoft se extienden más allá de las propias plataformas de la compañía. Si bien la ambición de Defender para Linux es amplia, la primera vista previa está dirigida solo a servidores y hace menos que en Windows.

Cuando Defensor llegó a macOS Además de Windows, Microsoft anunció que el nombre del software package estaba cambiando, de Windows Defender a Microsoft Defender. Oculto en la presentación había una pista sobre el futuro: una computadora portátil Linux con una pegatina de pingüino. Ahora Microsoft Defender ATP para Linux in está en versión preliminar pública para Red Hat Company Linux 7+, CentOS Linux 7+, Ubuntu 16 LTS o excellent, SLES 12+, Debian 9+ y Oracle Business Linux 7. ¿Pero de qué protege realmente esos sistemas operativos?

Microsoft ya tiene detección de malware de Linux en los agentes de Defender en Home windows y Mac, porque los archivos se mueven de un dispositivo a otro y desea atrapar malware donde sea que esté, idealmente antes de que llegue a un sistema vulnerable. Si está utilizando WSL, Defender ya lo protege contra amenazas como infectado paquetes npm que intentan instalar cryptominers.

Mac llegó primero porque ese es el orden que solicitaron los clientes empresariales de Microsoft, dice Rob Lefferts, vicepresidente corporativo de seguridad de Microsoft 365. «Estamos trabajando para abordar todos los puntos finales que son problemáticos para nuestros clientes, comenzando con Mac y pasando a Linux, particularmente Linux en el servidor, que es el enfoque en este momento, y luego pensando en iOS y Android y cómo protegemos esos puntos finales móviles «.

El resultado a largo plazo, dice Lefferts, es la seguridad integral del punto final: «Eso incluye protección de última generación, como antivirus y comportamiento (protección) además de EDR (detección y corrección de punto remaining). Todo lo que hacemos para Defender, queremos asegurarnos de que funcione en todas las plataformas en los lugares donde son más especialmente vulnerables «.

Para los teléfonos inteligentes, es probable que Microsoft se concentre en el phishing, y no solo en el correo electrónico, sino también en las aplicaciones de mensajería. «Tenemos una gran cantidad de activos muy amplios para detectar campañas y sitios maliciosos, y estamos aprovechando eso para ayudar en los dispositivos móviles», dice Lefferts.

El problema es que cuando mejora en la protección de un área como el correo electrónico, los atacantes se trasladan a otras áreas (es por eso que Office 365 ATP ahora cubre SharePoint).

«Hay muchos otros canales en un dispositivo móvil que se utilizan para la comunicación y la colaboración, porque es un lugar organic para ello. Esto encaja en cómo pensamos en la seguridad de manera más integral, que comienza con todos los puntos finales que le interesan, «dice Lefferts. «Pero luego pasemos por los puntos finales: hablemos de todo su patrimonio, todos sus usuarios y todos sus datos y todas sus herramientas de comunicación dentro de un entorno de protección contra amenazas».

Microsoft bromeó por primera vez con una versión de Linux de Defender en julio pasado.

«data-credit =» Imagen: Microsoft «rel =» noopener noreferrer nofollow «>microsoft-defender-linux-tease.jpg "src =" https://tr4.cbsistatic.com/hub/i/2020/03/24/7627f88c-256b-4d61-bab4-e3e1baaf9ae5/microsoft-defender-linux-tease .jpg

Microsoft bromeó por primera vez con una versión de Linux de Defender en julio pasado.

Imagen: Microsoft

Pensar en gráficos

Cuando Defender ATP esté generalmente disponible para Linux a fines de 2020, esa protección integral de punto remaining incluirá «una amplia gama de exactamente el mismo tipo de herramientas de detección que ves en Windows», dice Lefferts. «La versión inicial no incluye todas las capacidades de acción de remediación que tenemos en Windows, pero es algo que aspiramos agregarle con el tiempo».

El antivirus es un término complicado en estos días, señala Lefferts: en cambio, habla de «las medidas de protección en la caja que toman medidas de inmediato», porque hay muchas más amenazas que virus, especialmente secuencias de comandos y ataques sin archivos. «Lo imaginamos como parte de la oferta, pero está comenzando mucho más centrado en los objetos ejecutables».

La vista previa puede detectar y bloquear malware y &#39aplicaciones potencialmente no deseadas&#39 (PUA). No hay mucho adware para Linux, pero los buscadores de monedas pueden ser algo que instales o algo que te engañe para que instales, e incluso las herramientas legítimas de administración remota son un problema si un atacante las está instalando en el sistema. Igual de importante, envía esa información al Centro de seguridad del defensor.

Defender es realmente dos cosas. Existe el agente que se ejecuta en el punto last: escaneando archivos, rastreando lo que sucede en el sistema operativo, detectando malware en el dispositivo y bloqueándolo o eliminándolo (además de darle la opción de controlar qué aplicaciones pueden ejecutarse, pero también enviando señales al Defender State-of-the-art Danger Security servicio en la nube donde la información de múltiples sistemas está correlacionada.

Los atacantes no piensan en dispositivos y sistemas separados, ni siquiera en una lista de objetivos: piensan en cómo los sistemas están conectados entre sí y cómo pueden pasar de un dispositivo infectado a otros en el mismo entorno para tomar el management, extraer el máximo datos y evitar que el equipo de seguridad los eche. Una computadora portátil con un virus encendido, una docena de intentos fallidos de contraseña en un servidor y el acceso inusual a archivos en otro no son tres problemas separados: son un atacante que se mueve por la purple y obtiene acceso a más sistemas.

VER: Cómo construir una exitosa carrera de desarrollador (PDF gratis) (TechRepublic)

Los defensores necesitan ese mismo tipo de vista gráfica del sistema, y ​​cuantos más sistemas el Defensor ATP pueda obtener señales, más clara será la vista de los ataques. Esta es la notion detrás de Gráfico de seguridad de Microsoft, que puede agregar eventos como usuarios que hacen clic en un mensaje de phishing en Outlook en uno de sus dispositivos, o un enlace en un documento de Term que descarga una macro que a su vez descarga un cryptominer. Ahora los sistemas Linux pueden alimentar ese gráfico, explica Lefferts.

«Una de las razones principales para hacer esto es conectar esta protección a su sistema empresarial. Defender se trata de protección de extremo a extremo para dispositivos de punto ultimate en su entorno: está conectado a Defender ATP como un sistema EDR, las señales están mostrando en un panel de management coherente y detecta eventos y ataques, y brinda a los equipos de seguridad y analistas de SOC las herramientas que necesitan para comprender ese panorama más amplio «, dice.

«Al final del día, los atacantes persiguen los datos de los clientes de una forma u otra, ya sea para eliminar, cifrar, doxx, robar, lo que sea. Pero uno de los objetivos clave en ese camino es conseguir persistencia en el entorno de purple troncal del servidor en la empresa. Es un punto central desde el cual pueden simplemente aferrarse a todo lo demás y dejarse llevar porque los usuarios finales siempre vuelven a ellos. A veces es Energetic Listing, a veces es solo un servidor de aplicaciones, y desde allí ahora puedo ataque, willy-nilly a través de los usuarios finales en el entorno «.

microsoft-defender-linux-command-line.jpg "src =" https://tr2.cbsistatic.com/hub/i/2020/03/24/ca4f6b5e-abdd-4625-b81d-d4bf4a24b8f6/microsoft-defender-linux -command-line.jpg

Por ahora, Defender para Linux está completamente controlado por la línea de comando.

Imagen: Microsoft

Command de línea de comandos

Es por eso que Defender en Linux se enfoca inicialmente en servidores y DNS, dice Lefferts: «Las máquinas Linux, máquinas completas, se están utilizando como plataformas para aplicaciones». Eso incluye máquinas virtuales que se ejecutan en la nube, y dado que está dirigido a servidores, Defender no tiene una interfaz de usuario en Linux: todo se ejecuta desde la línea de comandos, funciona con las herramientas habituales de administración de Linux como Ansible, Chef y Puppet , y las opciones de configuración están en un archivo JSON. También debe asegurarse de tener funciones de vista previa activadas en el Centro de seguridad de Microsoft Defender para ver detalles de los sistemas Linux protegidos.

Mantener las herramientas de seguridad actualizadas es importante, pero al igual que con las distribuciones de WSL, Microsoft está evitando las actualizaciones automáticas a favor de permitir que los usuarios de Linux gestionar sus propios horarios de actualización para el agente defensor. Es probable que las empresas ya cuenten con procesos para eso, utilizando scripts, herramientas como Paisaje o la opción estándar de actualizaciones desatendidas. Sin embargo, las firmas y las definiciones de amenazas se enviarán al agente Defender automáticamente (en Home windows, eso ocurre varias veces al día).

No hay nada que le impida ejecutar Defender en una computadora portátil de desarrollador con Linux si desea protegerlo. «Todavía no estamos apuntando a Linux como una computadora de escritorio o punto ultimate de usuario, de nuevo, principalmente debido al problema de la GUI, aunque funciona. Por lo tanto, si habla de personas como codificadores, podrían sobrevivir en ese entorno pero no es algo que desataríamos en los usuarios habituales «, advierte Lefferts.

Si está utilizando Linux como plataforma de desarrollo y está creando sus propias aplicaciones personalizadas basadas en proyectos de código abierto, estas pueden tener vulnerabilidades, y las empresas desean un monitoreo que ayude a detectarlas. Las herramientas de desarrollo pueden ayudar con esto antes de que se implementen, pero Microsoft Defender ya detecta kits de herramientas de código abierto cuando son una amenaza, y lo mismo será cierto en los servidores. «No es solo que esos bits estén presentes en el disco, es que en realidad se están utilizando y cargando en la memoria», dice Lefferts.

El punto real de Defender para Linux es que todos los sistemas de su organización envían señales sobre posibles problemas de seguridad a la misma herramienta de monitoreo de amenazas.

«data-credit =» Imagen: Microsoft «rel =» noopener noreferrer nofollow «>microsoft-defender-security-center.jpg "src =" https://tr3.cbsistatic.com/hub/i/2020/03/24/44f01603-f15c-4cc2-a870-85b0f1b9c6f3/microsoft-defender-security-center .jpg

El punto genuine de Defender para Linux es que todos los sistemas de su organización envían señales sobre posibles problemas de seguridad a la misma herramienta de monitoreo de amenazas.

Imagen: Microsoft

Hay algunos sistemas Linux para los que Defender no es una buena opción en esta etapa. «Cuando se trata de las formas más amplias en que Linux se united states of america, incrustado en dispositivos IoT o teléfonos, o en todos los lugares donde podría terminar, definitivamente no estamos apuntando a esos escenarios en este momento», dice Lefferts. Centro de seguridad de Azure para IoT es una mejor opción para administrar la seguridad de IoT, por ejemplo.

La capacidad de examinar todos los puntos finales del usuario closing y la infraestructura del servidor en su entorno será un paso adelante para muchas empresas. Pero llevar Defender a Linux es parte de la estrategia de seguridad más amplia que consiste en pasar de detectar ataques a prevenirlos endureciendo el entorno y priorizando los problemas.

«Si los defensores van a tener más éxito, realmente necesitan poder ver el paisaje de la misma manera que lo hacen los atacantes, que es todo encadenado en una sola historia», señala Lefferts. «Eso incluye no solo atraer los servidores, sino también el correo electrónico y la reutilización de la identidad, y cómo esto se conecta a las aplicaciones en la nube, cortando todos esos dominios en un incidente consistente, que es el objeto que usamos para contar esa historia para los defensores «.

«Podemos usar esto no solo para decirle al equipo de SecOps cuándo ocurre un ataque, sino también para decirle a los administradores de seguridad y al equipo de TI más amplio sobre dónde residen las vulnerabilidades de preocupación, con la capacidad de reordenarlo dinámicamente en función de las amenazas en el paisaje «Esto ayudará a la organización a comprender cuáles son los mayores problemas de postura de seguridad que necesitan solucionar».

Si no está listo para ese tipo de panorama standard, Defender para Linux sigue siendo útil, insiste Lefferts. «Si, Dios no lo quiera, no estás usando nada para proteger tu patrimonio Linux hoy, puedes comenzar de inmediato con Defender cuando se trata de GA. O si estás usando una herramienta separada, ya no tienes que hacerlo: tú en realidad obtendrá una mejor protección al implementar algo que esté integrado con Defender ATP «.

Ver también



Enlace a la noticia first