Microsoft Defender ATP: la protezione dei sistemi Linux

Molte realtà aziendali dispongono di infrastrutture composte da sistemi operativi server eterogenei ed è nota la difficoltà nel dover adottare e gestire piattaforme di sicurezza differenti per garantire una protezione di tutto il parco macchine. Microsoft in questo ambito ha recentemente annunciato la disponibilità di Microsoft Defender Advanced Threat Protection (ATP), la piattaforma di sicurezza per gli endpoint aziendali progettata per prevenire, rilevare, investigare e rispondere alle minacce di sicurezza, anche per i sistemi Linux. In questo articolo viene riportato come proteggere le macchine Linux con questa soluzione e viene fornita una panoramica di come Microsoft Defender Security Center permette di monitorare e gestire la sicurezza dell’intero spettro di piattaforme client e server negli ambienti aziendali (Windows, Windows Server, macOS e Linux).

Negli ultimi anni Microsoft ha costantemente evoluto la piattaforma di sicurezza degli endpoint Microsoft Defender Advanced Threat Protection (ATP), al punto da essere stata riconosciuta come leader, ottenendo anche il posizionamento più alto nella capacità di esecuzione, nell’ultimo quadrante di Gartner “Endpoint Protection Platforms”.

Figura 1 – Gartner Magic Quadrant “Endpoint Protection Platforms” (2019)

La possibilità di proteggere anche i sistemi Linux la rende una soluzione ancora più completa, in grado di offrire:

  • Potenti funzionalità preventive. La soluzione fornisce una protezione real-time per le seguenti tipologie di file system: btrfs, ecryptfs, ext2, ext3, ext4, fuse, fuseblk, jfs, nfs, overlay, ramfs, reiserfs, tmpfs, udf, e vfat.
  • Un’esperienza completa da riga di comando per configurare e gestire l’agente, avviare scansioni e gestire le minacce.
  • Un’integrazione nel monitoraggio degli avvisi all’interno del Microsoft Defender Security Center.

Requisiti di sistema

Prima di procedere con il deployment della soluzione è opportuno verificare che siano rispettati tutti i requisiti richiesti da Microsoft Defender ATP in ambiente Linux.

Le distribuzioni Linux e le relative versioni attualmente supportate sono le seguenti:

  • Red Hat Enterprise Linux 7.2 o superiore
  • CentOS 7.2 o superiore
  • Ubuntu 16.04 LTS o superiore
  • Debian 9 o superiore
  • SUSE Linux Enterprise Server 12 o superiore
  • Oracle Linux 7.2 o superior

La versione minima del kernel supportata è la 3.10.0-327 e deve essere abilitata la funzionalità fanotify.  Fanotify è un sistema di notifica dell’accesso ai file integrato in molti kernel Linux che consente a Microsoft Defender ATP di effettuare la scansione dei file e, se necessario, di bloccare l’accesso alle minacce. L’utilizzo di questa funzionalità deve essere totalmente dedicato a Microsoft Defender ATP, in quanto l’utilizzo congiunto di questa funzionalità da parte di altre soluzioni di sicurezza, può portare a risultati imprevedibili, incluso il blocco del sistema operativo.

Requisiti di rete

Per un corretto funzionamento di Microsoft Defender ATP sui sistemi Linux è necessario consentire una corretta comunicazione di rete verso URL specifici. In questo foglio di calcolo vengono elencati da parte di Microsoft i servizi e gli URL associati a cui il sistema protetto deve essere in grado di connettersi. Per maggiori dettagli a riguardo è possibile consultare questo documento specifico di Microsoft.

Microsoft Defender ATP prevede l’utilizzo dei seguenti sistemi proxy:

  • Transparent Proxy
  • Configurazione manuale del proxy statico

Non sono invece supportati PAC file, WPAD e proxy autenticati. Si ricorda inoltre che non sono supportati nemmeno meccanismi di SSL inspection per ragioni di sicurezza.

Metodi di deployment

L’attivazione di Microsoft Defender ATP sui sistemi Linux può essere fatta manualmente oppure tramite strumenti di management di terze parti, tra cui Ansible e Puppet, per i quali Microsoft documenta nel dettaglio la procedura da seguire. Entrambi gli strumenti prevedono le seguenti fasi:

  • Download dell’onboarding package dal Microsoft Defender Security Center.
Figura 2 – Download dell’onboarding package dal portale Microsoft Defender Security Center
  • Creazione del manifest (Puppet) oppure del YAML file (Ansible).
  • Distribuzione che prevede l’enrollment dell’agent e delle relative configurazioni.

Al termine del processo di installazione sarà possibile gestire totalmente il componente Microsoft Defender ATP direttamente tramite bash.

Figura 3 – Esecuzione del comando mdadp da una macchina Linux con il componente installato

Completato il processo di onboarding sarà possibile gestire le macchine Linux dal portale Microsoft Defender Security Center, come avviene per gli altri sistemi operativi.

Figura 4 – Device Linux presenti nel portale Microsoft Defender Security Center

A fronte di rilevazioni malware gli avvisi vengono riportati all’interno del Microsoft Defender Security Center:

Figura 5 – Timeline di rilevazione con il file di test Eicar su macchina Linux

Aggiornamenti del software

Microsoft pubblica regolarmente aggiornamenti software per migliorare le prestazioni, la sicurezza e fornire nuove funzionalità per Microsoft Defender ATP per Linux. Un aspetto sul quale prestare attenzione è che ogni versione di Microsoft Defender ATP per Linux ha una data di scadenza, dopo la quale non continuerà più a proteggere il sistema, pertanto è necessario aggiornare il prodotto prima di quella data. Per la procedura di aggiornamento della soluzione è possibile consultare questo documento Microsoft.

Quando si aggiorna il sistema operativo Linux a una nuova major release, è necessario prima disinstallare Microsoft Defender ATP per Linux, installare l’aggiornamento e infine riconfigurare Microsoft Defender ATP sul sistema.

Configurazione della soluzione

Negli ambienti aziendali che dispongono di più sistemi, Microsoft Defender ATP per Linux può essere facilmente gestito tramite dei profili di configurazione. Il profilo di configurazione altro non è che un file con estensione “.json” composto da diverse voci, identificate da una chiave (che denota il nome della preferenza) e seguite da un valore. I valori possono essere semplici, come un valore numerico, oppure complessi, come un elenco nidificato di preferenze.

Questi profili è possibile distribuirli dallo strumento di gestione a disposizione, andando a gestire il tutto in modo centralizzato. Le preferenze distribuite avranno la precedenza su quelle impostate localmente sul sistema in modo da poter governare al meglio le differenti impostazioni. Per maggiori dettagli sulla struttura di questo profilo e sulle metodologie da utilizzare per la relativa distribuzione è possibile consultare questo articolo Microsoft.

Conclusioni

Nonostante ci sia chi afferma che per le macchine Linux non siano necessarie soluzioni di sicurezza, personalmente ritengo che anche sui sistemi Linux sia opportuno attivare una adeguata protezione come per qualsiasi altro sistema operativo. Microsoft Defender ATP per Linux è in continua espansione e sono previste nuove interessanti funzionalità nei prossimi mesi per arricchire la soluzione con nuove e avanzate funzionalità di protezione. L’aggiunta di Linux alle piattaforme supportate nativamente da Microsoft Defender ATP segna una svolta importante per tutti i clienti che hanno l’esigenza di includere anche questi sistemi in una strategia di protezione unificata. Microsoft Defender Security Center offre infatti una soluzione centralizzata per il monitor e la gestione della sicurezza dell’intero parco macchine server e client.