當(dāng)衛(wèi)士來(lái)到MacOSAS和Windows時(shí)，微軟宣布軟件的名稱正在改變，從Windows衛(wèi)士到微軟衛(wèi)士。 演示中隱藏著一個(gè)關(guān)于未來(lái)的提示：一臺(tái)帶有企鵝貼紙的Linux筆記本電腦。 現(xiàn)在，Linuxin的Micros of tDefenderATP正在公開(kāi)預(yù)覽Red HatEnterpriseLinux7、CentOSLinux7、Ubuntu16LTS或更高版本、SLES12、Debian9和OracleEnterpriseLinux7。 但它究竟是什么保護(hù)了這些操作系統(tǒng)呢？

微軟已經(jīng)在Windows和Mac上的Defender代理中進(jìn)行了Linux惡意軟件檢測(cè)，因?yàn)槲募囊粋€(gè)設(shè)備移動(dòng)到另一個(gè)設(shè)備，您希望在任何地方都能捕獲惡意軟件-理想情況下，在它進(jìn)入脆弱系統(tǒng)之前。 如果您正在使用WSL，維護(hù)者已經(jīng)保護(hù)您免受威脅，如感染的NPM包，試圖安裝密碼。

微軟365安全公司副總裁羅伯·萊弗茨(RobLefferts)表示，Mac之所以名列第一，是因?yàn)檫@是微軟企業(yè)客戶要求的訂單。 “我們正在努力解決所有對(duì)我們的客戶有問(wèn)題的端點(diǎn)，從Mac開(kāi)始，轉(zhuǎn)到Linux，特別是服務(wù)器上的Linux，這是目前的重點(diǎn)，然后考慮iOS和Android，以及我們?nèi)绾伪Ｗo(hù)這些移動(dòng)端點(diǎn)?！?/p>

萊弗茨說(shuō)，長(zhǎng)期的結(jié)果是全面的端點(diǎn)安全：“這包括下一代保護(hù)，如防病毒和行為[保護(hù)]，以及EDR[端點(diǎn)檢測(cè)和補(bǔ)救]。 我們?yōu)檗q護(hù)人所做的一切，我們都希望確保這種做法在他們最脆弱的地方的所有平臺(tái)上都能奏效。

對(duì)于智能手機(jī)，微軟似乎很可能專注于網(wǎng)絡(luò)釣魚，而不僅僅是在電子郵件中，而且也可能在消息應(yīng)用程序中。 萊弗茨說(shuō)：“我們?cè)诎l(fā)現(xiàn)惡意活動(dòng)和網(wǎng)站方面擁有大量非常廣泛的資產(chǎn)，我們正在利用這些資產(chǎn)來(lái)幫助移動(dòng)?！?/p>

問(wèn)題是，當(dāng)你更好地保護(hù)像電子郵件這樣的區(qū)域時(shí)，攻擊者會(huì)移動(dòng)到其他區(qū)域(這就是為什么Office365ATP現(xiàn)在覆蓋了Share Point)。

“移動(dòng)設(shè)備上還有很多其他的通道被用于通信和協(xié)作，因?yàn)樗且粋€(gè)自然的地方。 這符合我們?nèi)绾胃娴乜紤]安全性，安全性從你關(guān)心的所有端點(diǎn)開(kāi)始。 “但是，讓我們走過(guò)終點(diǎn)——讓我們談?wù)勀愕恼麄€(gè)財(cái)產(chǎn)，你所有的用戶，你所有的數(shù)據(jù)和你在一個(gè)威脅保護(hù)環(huán)境中的所有通信工具。”

去年7月，微軟首次取笑Linux版本的Defender。

當(dāng)DefenderATP在2020年年底通?？捎糜贚inux時(shí)，這種全面的端點(diǎn)保護(hù)將包括“與Windows上看到的完全相同的多種檢測(cè)工具”，Lefferts說(shuō)。 “最初的版本并不包括我們?cè)赪indows中擁有的所有補(bǔ)救行動(dòng)能力，但隨著時(shí)間的推移，它是我們渴望增加的。

雷弗茨指出，現(xiàn)在反病毒是一個(gè)棘手的術(shù)語(yǔ)，他說(shuō)的是“即時(shí)采取行動(dòng)的保護(hù)措施”，因?yàn)楸炔《靖嗟耐{，特別是腳本和無(wú)文件攻擊。 “我們?cè)O(shè)想作為提供的一部分，但它開(kāi)始更多地關(guān)注可執(zhí)行對(duì)象?！?/p>

預(yù)覽可以發(fā)現(xiàn)和阻止惡意軟件和“可能不需要的應(yīng)用程序”(PUAS)。 Linux沒(méi)有太多的廣告軟件，但硬幣礦工可能是你安裝的東西，或者你被騙安裝的東西，甚至合法的遠(yuǎn)程管理工具也是一個(gè)問(wèn)題，如果是攻擊者把它們放在系統(tǒng)上。 同樣重要的是，它將這些信息發(fā)送給了辯護(hù)人安全中心。

辯護(hù)人真的是兩件事。 在端點(diǎn)上運(yùn)行的代理：掃描文件、跟蹤操作系統(tǒng)中發(fā)生的事情、檢測(cè)設(shè)備上的惡意軟件并阻止或刪除它（以及給您控制應(yīng)用程序可以運(yùn)行的選項(xiàng)），還可以向Defender高級(jí)威脅保護(hù)云服務(wù)發(fā)送信號(hào)，其中來(lái)自多個(gè)系統(tǒng)的信息是相關(guān)的。

攻擊者不考慮單獨(dú)的設(shè)備和系統(tǒng)，甚至不考慮目標(biāo)列表：他們考慮系統(tǒng)是如何相互連接的，以及如何在同一環(huán)境中從一個(gè)受感染的設(shè)備移動(dòng)到其他設(shè)備，以獲得控制，提取最多的數(shù)據(jù)，并阻止安全團(tuán)隊(duì)將。 一臺(tái)帶有病毒的筆記本電腦，一臺(tái)服務(wù)器上的十幾次密碼嘗試失敗，另一臺(tái)服務(wù)器上的異常文件訪問(wèn)不是三個(gè)單獨(dú)的問(wèn)題：它們是一個(gè)攻擊者，跨越網(wǎng)絡(luò)移動(dòng)，并獲得對(duì)更多系統(tǒng)的訪問(wèn)。

SEE：如何建立一個(gè)成功的開(kāi)發(fā)人員職業(yè)(免費(fèi)PD F)（技術(shù)共和國(guó)）

防御者需要相同類型的系統(tǒng)圖形視圖，而防御者ATP可以從更多的系統(tǒng)獲得信號(hào)，您將不得不攻擊的更清晰的視圖。 這是微軟安全圖背后的想法，它可以添加一些事件，比如用戶在Outlook中單擊一個(gè)設(shè)備上的釣魚消息，或者Word文檔中的一個(gè)鏈接，該鏈接下載一個(gè)宏，然后下載一個(gè)密碼器。 Lefferts解釋說(shuō)，現(xiàn)在Linux系統(tǒng)可以輸入該圖形。

“這樣做的主要原因之一是將這種保護(hù)連接到您的企業(yè)系統(tǒng)中。 他說(shuō)：“防御器是指對(duì)環(huán)境中的端點(diǎn)設(shè)備進(jìn)行端到端的保護(hù)——它作為一個(gè)EDR系統(tǒng)插入防御器ATP，信號(hào)顯示在一個(gè)一致的儀表板中，它檢測(cè)事件和攻擊，并為安全團(tuán)隊(duì)和SOC分析人員提供他們需要的工具來(lái)了解更大的情況。

“最后，攻擊者以一種或另一種形式跟蹤客戶的數(shù)據(jù)，不管是刪除、加密、doxx、偷竊等等。 但這條道路上的關(guān)鍵目標(biāo)之一是在公司的服務(wù)器骨干環(huán)境中獲得持久性。 這是一個(gè)中心點(diǎn)，他們可以抓住其他一切，并相處，因?yàn)樽罱K用戶總是回到這些。 有時(shí)這就是ActiveDirectory，有時(shí)這只是一個(gè)應(yīng)用服務(wù)器，從那里我現(xiàn)在可以攻擊環(huán)境中的終端用戶。

目前，Linux的Defender完全由命令行驅(qū)動(dòng)。

這就是為什么Linux上的維護(hù)者最初專注于服務(wù)器和DNS，Lefferts說(shuō)：“Linux機(jī)器，整個(gè)機(jī)器，正在被用作應(yīng)用程序的平臺(tái)”。 這包括在云中運(yùn)行的VM，而且由于它是針對(duì)服務(wù)器的，Defender在Linux上沒(méi)有用戶界面-它都是從命令行運(yùn)行的，它與通常的Linux管理工具一起工作，如Ansible、Chef和Puppet，配置選項(xiàng)都在JSON文件中。 您還需要確保在Micros of tDefender安全中心打開(kāi)預(yù)覽功能，以查看受保護(hù)的Linux系統(tǒng)的詳細(xì)信息。

保持安全工具的更新是重要的，但與WSL發(fā)行版一樣，微軟正在避免自動(dòng)更新，而是讓Linux用戶管理自己的維護(hù)者代理的更新計(jì)劃。 公司可能已經(jīng)有了這樣的流程，使用腳本，工具，如景觀或標(biāo)準(zhǔn)無(wú)人值守升級(jí)選項(xiàng)。 簽名和威脅定義將自動(dòng)推送給維護(hù)者代理(在Windows上，每天發(fā)生幾次)。

如果您想保護(hù)Linux，沒(méi)有什么可以阻止您在運(yùn)行Linux的開(kāi)發(fā)人員筆記本上運(yùn)行Defender。 “我們還沒(méi)有將Linux定位為桌面或用戶端點(diǎn)——這也是因?yàn)镚UI問(wèn)題，盡管它確實(shí)有效。 因此，如果你說(shuō)的是像編碼器這樣的人，他們可能能夠在這種環(huán)境中生存，但這不是我們會(huì)對(duì)普通用戶放松的東西，“萊弗茨警告說(shuō)。

如果您使用Linux作為開(kāi)發(fā)平臺(tái)，并基于開(kāi)源項(xiàng)目構(gòu)建自己的自定義應(yīng)用程序，那么這些應(yīng)用程序可能會(huì)帶來(lái)漏洞，企業(yè)希望有助于捕捉這些漏洞。 開(kāi)發(fā)工具在部署之前可能會(huì)對(duì)此有所幫助，但是當(dāng)它們受到威脅時(shí)，Micros of tDefender已經(jīng)檢測(cè)到開(kāi)源工具包，在服務(wù)器上也是如此。 萊弗茨說(shuō)：“這不僅僅是這些比特出現(xiàn)在磁盤上，而是它們實(shí)際上正在被使用并加載到內(nèi)存中?！?/p>

Linux的真正意義在于，組織中的所有系統(tǒng)都向同一個(gè)威脅監(jiān)測(cè)工具發(fā)送有關(guān)可能安全問(wèn)題的信號(hào)。

有一些Linux系統(tǒng)的維護(hù)者不適合在這個(gè)階段。 Lefferts說(shuō)：“當(dāng)涉及到Linux使用的更廣泛的方式，即嵌入到物聯(lián)網(wǎng)設(shè)備或手機(jī)中，或者它最終可能出現(xiàn)的所有地方時(shí)，我們現(xiàn)在絕對(duì)沒(méi)有針對(duì)這些場(chǎng)景?！?例如，IoT的Azure安全中心是管理IoT安全的更好選擇。 在您的環(huán)境中查看所有最終用戶端點(diǎn)和服務(wù)器基礎(chǔ)設(shè)施的能力將是許多企業(yè)向前邁出的一步。 但是，將Defender引入Linux是更大的安全策略的一部分，從檢測(cè)攻擊到通過(guò)強(qiáng)化環(huán)境來(lái)防止攻擊-以及優(yōu)先處理問(wèn)題。

萊弗茨指出：“如果防守者要想取得更大的成功，他們確實(shí)需要能夠像進(jìn)攻者那樣看到風(fēng)景，這就是所有的事情都在一個(gè)故事中聯(lián)系在一起?！?“這不僅包括拉入服務(wù)器，還包括拉入電子郵件和身份重用，以及這種方式如何連接到云應(yīng)用程序，將所有這些域切割成一個(gè)一致的事件，這是我們用來(lái)為維護(hù)者講述這一故事的對(duì)象?！?/p>

他說(shuō)：“我們不僅可以在攻擊發(fā)生時(shí)告訴證券交易委員會(huì)的行動(dòng)小組，還可以告訴安全管理員和更廣泛的信息技術(shù)小組關(guān)注的漏洞在哪里，并能夠根據(jù)環(huán)境中的威脅動(dòng)態(tài)重新排序。 這將幫助該組織了解他們需要解決的最大安全態(tài)勢(shì)問(wèn)題是什么。

如果你還沒(méi)有準(zhǔn)備好這種大圖，Linux的防御器仍然是有用的，Lefferts堅(jiān)持說(shuō)。 如果你今天沒(méi)有使用任何東西來(lái)保護(hù)你的Linux遺產(chǎn)，你可以在它是GA的時(shí)候立即從Defender開(kāi)始。或者如果你使用一個(gè)單獨(dú)的工具，你就不用再這樣做了：你實(shí)際上會(huì)通過(guò)部署與DefenderATP集成的東西來(lái)獲得更好的保護(hù)。