Linux y antivirus, esa es la cuestión

Artículo basado en una nota de Florencio Cano – Medium.com

Entornos IT

Uno de los aspectos claves en la gestión de infraestructura IT, es implementar, mantener, controlar y gestionar la ciberseguridad 👀.

Como ya hemos explicado es un universo que jamás puede ser disociado de la red, van de la mano; debe ser observada en cada aspecto, cada definición cada nodo, servidor y terminal que sean parte de nuestra red.

Esta vez nos enfocaremos en un aspecto puntual que muchas veces genera discusiones y puede haber diferentes puntos de vista.

¿Hay que usar antivirus en Linux? 🐥

Primero aclaremos algo. Somos fervientes creyentes en que la seguridad incluye miles de aspectos y uno muy importante, es mezclar entornos.

👉 La diversidad de entornos ayuda a implantar barreras naturales de seguridad.

Para nosotros y más allá de lo que vendan las grandes marcas desarrolladoras, que tienden a que pertenezcamos a un “ecosistema X ó… M 😉”, la realidad indica que hay que analizar lo que necesitamos y emplear diversos sistemas seleccionando lo que mejor se adapte a las necesidades de cada empresa. Linux, con sus diferentes variantes, a nivel servidores o terminales es parte del menú de opciones y merece que tomemos ventaja de las facilidades que nos brinda.

¿Existen los virus en Linux?

🔶 Existen, pero en términos de probabilidad de ocurrencia e impacto es mucho menor que en otros entornos. Hablemos de Linux, dejemos en este análisis a Android de lado, que si bien es Linux (más Java), hay muchos otros aspectos que considerar, por sus apps.

Esta afirmación no pretende imponer que Linux es más seguro, es simplemente porque por un lado, quienes se dedican a generar malware se esfuerzan menos en atacar a Linux posiblemente por sus raíces y por tratarse de un sistema de propósito general y por otro lado hay muchas configuraciones por defecto y características operativas propias, que hacen más difícil contaminar un Linux que un Windows®.

🔶 Otra característica real y concreta es que es prácticamente inexistente que alguien haga un doble click en en un adjunto en un correo y este se ejecute en Linux; usualmente habría que bajar el binario, darle permisos de ejecución y luego ejecutarlo. Son barreras naturales.

🔶 Otro aspecto son los permisos que por defecto reducen la posibilidad de daño. En Linux, los usuarios trabajan generalmente con un usuario personal, nunca con el root, por lo que aunque llegaran a ejecutar el malware, este sólo afectaría a sus procesos y ficheros.

🔶 Además, en Linux no existen las mismas relaciones de confianza ó al menos no es habitual que existan, como sí existen en Windows® estas relaciones con otros equipos y con los controladores de dominio. Estas relaciones lamentablemente son clave para que los virus se propaguen en Windows®. Es claro entonces que los virus no se presentan como la mayor amenaza para Linux.

En Linux existen otros controles de seguridad que deberíamos tener bien implementados y monitoreados antes de pensar en antivirus. En seguridad, debemos implementar medidas de una en una y en orden: las primeras deben ser aquellas que reduzcan o eliminen los mayores riesgos o más cantidad, con un esfuerzo y coste controlado y asumible. Si dedicamos tiempo a otras medidas que no son las prioritarias, estaremos empeorando la seguridad 🎯

Cualquier auditor con experiencia estará de acuerdo en que una combinación de estas medidas cubren, compensan y mejoran el no tener antivirus:

✔️ Tener proceso de instalación de actualizaciones de seguridad.

✔️ Tener SELinux activado.

✔️ Centralizar logs clave.

✔️ Crear alarmas sobre estos logs y que alguien reciba y procese esas alarmas.

✔️ Usar usuarios no root por defecto y usar sudo para escalar, cuando es necesario y solo por las personas que necesiten hacerlo.

✔️ Usar repositorios de paquetes oficiales. Cuando no es posible, comprobar la integridad de los ficheros descargados.

✔️ Usar comprobadores de integridad para ficheros y directorios clave.

✔️ Cambiar las contraseñas por defecto y usar contraseñas seguras.

✔️ Usar virtualización y contenedores para segregar procesos (siendo conscientes de los beneficios y limitaciones de cada uno).

Lógicamente, todo lo expresado puede combinarse con otras herramientas de seguridad y ni hablar, ser parte de una visión integral que cubra cada aspecto, cada frontera y cada definición; diseñar e implementar adecuadamente las estrategias de seguridad para una empresa en particular es el objetivo.

Conclusiones📌

En conclusión, no es lógico implementar controles solo porque lo dice una norma o porque en forma muy liviana se pretende afirmar que “es bueno para la seguridad”.

👉 Los controles de seguridad no solo deben ser buenos, sino que deben ser óptimos, ya que cada medida de seguridad que implementemos tiene un costo en dinero y en esfuerzo.

Destacaríamos además que este esfuerzo se multiplica en grandes empresas y sería una pena no dedicar esfuerzos a otras medidas de seguridad que podrían aportar más en lugar de seguir lineamientos generales de dudosa efectividad en los hechos concretos.

En el caso de los virus en Linux, no es que no existan, sí que existen, pero para reducir su probabilidad e impacto es mejor enfocarse en otros controles de seguridad primero, antes de estar pensando simplemente en un antivirus 🚩

La Ciberseguridad es parte de la Gestión, en NetQual somos expertos en servicios gestionados de Infraestructura IT.

  • Monitoreo integral y gestión remota de la infraestructura IT
  • Soporte técnico especializado
  • Ciberseguridad
  • Mejora Continua

http://www.netqual.com.ar/netqual/contacto/

http://www.netqual.biz

 

Deje un comentario