編譯自: https://www.computerworld.com/article/3252823/linux/why-linux-is-better-than-windows-or-macos-for-security.html
譯者: 付崢
多年前做出的操作系統選型終將影響到如今的企業安全。在三大主流操作系統當中,有一個能被稱作最安全的。
企業投入了大量時間、精力和金錢來保障系統的安全性。最強的安全意識可能就是有一個安全運行中心(SOC),肯定用上了防火牆以及反病毒軟件,或許還花費了大量時間去監控他們的網絡,以尋找可能表明違規的異常信號,用那些 IDS、SIEM 和 NGFW 之類的東西,他們部署了一個名副其實的防禦陣列。
然而又有多少人想過數字化操作的基礎之一——部署在員工的個人電腦上的操作系統呢?當選擇桌面操作系統時,安全性是一個考慮的因素嗎?
這就產生了一個 IT 人士都應該能回答的問題:一般部署哪種操作系統最安全呢?
我們問了一些專家他們對於以下三種選擇的看法:Windows,最複雜的平臺也是最受歡迎的桌面操作系統;macOS X,基於 FreeBSD 的 Unix 操作系統,驅動著蘋果的 Macintosh 系統運行;還有 Linux,這裡我們指的是所有的 Linux 發行版以及與基於 Unix 的操作系統相關的系統。
怎麼會這樣
企業可能沒有評估他們部署給工作人員的操作系統的安全性的一個原因是,他們多年前就已經做出了選擇。退一步講,所有操作系統都還算安全,因為侵入它們、竊取數據或安裝惡意軟件的牟利方式還處於起步階段。而且一旦選擇了操作系統,就很難再改變。很少有 IT 組織想要面對將全球分散的員工隊伍轉移到全新的操作系統上的痛苦。唉,他們已經受夠了把用戶搬到一個現有的操作系統的新版本時的負面反響。
還有,重新考慮操作系統是高明的嗎?這三款領先的桌面操作系統在安全方面的差異是否足以值得我們去做出改變呢?
當然商業系統面臨的威脅近幾年已經改變了。攻擊變得成熟多了。曾經支配了公眾想象力的單槍匹馬的青少年黑客已經被組織良好的犯罪分子網絡以及具有龐大計算資源的政府資助組織的網絡所取代。
像你們許多人一樣,我有過很多那時的親身經歷:我曾經在許多 Windows 電腦上被惡意軟件和病毒感染,我甚至被宏病毒感染了 Mac 上的文件。最近,一個廣泛傳播的自動黑客攻擊繞開了網站的保護程序並用惡意軟件感染了它。這種惡意軟件的影響一開始是隱形的,甚至有些東西你沒注意,直到惡意軟件最終深深地植入系統以至於它的性能開始變差。一件有關病毒蔓延的震驚之事是不法之徒從來沒有特定針對過我;當今世界,用殭屍網絡攻擊 100,000 臺電腦容易得就像一次攻擊幾臺電腦一樣。
操作系統真的很重要嗎?
給你的用戶部署的哪個操作系統確實對你的安全態勢產生了影響,但那並不是一個可靠的安全措施。首先,現在的攻擊很可能會發生,因為攻擊者探測的是你的用戶,而不是你的系統。一項對參加了 DEFCON 會議的黑客的 調查 表明,“84% 的人使用社交工程作為攻擊策略的一部分。”部署安全的操作系統只是一個重要的起點,但如果沒有用戶培訓、強大的防火牆和持續的警惕性,即使是最安全的網絡也會受到入侵。當然,用戶下載的軟件、擴展程序、實用程序、插件和其他看起來還好的軟件總是有風險的,成為了惡意軟件出現在系統上的一種途徑。
無論你選擇哪種平臺,保持你係統安全最好的方法之一就是確保立即應用了軟件更新。一旦補丁正式發佈,黑客就可以對其進行反向工程並找到一種新的漏洞,以便在下一波攻擊中使用。
因為底線是您對系統做出的每一個決定都會影響您的安全性,即使您的用戶工作使用的操作系統也是如此。
Windows,流行之選
若你是一個安全管理人員,很可能文章中提出的問題就會變成這樣:是否我們遠離微軟的 Windows 會更安全呢?說 Windows 主導企業市場都是低估事實了。 NetMarketShare 估計互聯網上 88% 的電腦令人震驚地運行著 Windows 的某個版本。
如果你的系統在這 88% 之中,你可能知道微軟會繼續加強 Windows 系統的安全性。這些改進被不斷重寫,或者重新改寫了其代碼庫,增加了它的反病毒軟件系統,改進了防火牆以及實現了沙箱架構,這樣在沙箱裡的程序就不能訪問系統的內存空間或者其他應用程序。
但可能 Windows 的流行本身就是個問題,操作系統的安全性可能很大程度上依賴於裝機用戶量的規模。對於惡意軟件作者來說,Windows 提供了大的施展平臺。專注其中可以讓他們的努力發揮最大作用。
就像 Troy Wilkinson,Axiom Cyber Solutions 的 CEO 解釋的那樣,“Windows 總是因為很多原因而導致安全性保障來的最晚,主要是因為消費者的採用率。由於市場上大量基於 Windows 的個人電腦,黑客歷來最有針對性地將這些系統作為目標。”
可以肯定地說,從梅麗莎病毒到 WannaCry 或者更強的,許多世界上已知的惡意軟件早已對準了 Windows 系統.
macOS X 以及通過隱匿實現的安全
如果最流行的操作系統總是成為大目標,那麼用一個不流行的操作系統能確保安全嗎?這個主意是老法新用——而且是完全不可信的概念——“通過隱匿實現的安全”,這秉承了“讓軟件內部運作保持專有,從而不為人知是抵禦攻擊的最好方法”的理念。
Wilkinson 坦言,macOS X “比 Windows 更安全”,但他馬上補充說,“macOS 曾被認為是一個安全漏洞很小的完全安全的操作系統,但近年來,我們看到黑客製造了攻擊蘋果系統的額外漏洞。”
換句話說,攻擊者會擴大活動範圍而不會無視 Mac 領域。
Comparitech 的安全研究員 Lee Muson 說,在選擇更安全的操作系統時,“macOS 很可能是被選中的目標”,但他提醒說,這一想法並不令人費解。它的優勢在於“它仍然受益於通過隱匿實現的安全感和微軟提供的操作系統是個更大的攻擊目標。”
Wolf Solutions 公司的 Joe Moore 給予了蘋果更多的信任,稱“現成的 macOS X 在安全方面有著良好的記錄,部分原因是它不像 Windows 那麼廣泛,而且部分原因是蘋果公司在安全問題上乾的不錯。”
最終勝者是 ……
你可能一開始就知道它:專家們的明確共識是 Linux 是最安全的操作系統。然而,儘管它是服務器的首選操作系統,而將其部署在桌面上的企業很少。
如果你確定 Linux 是要選擇的系統,你仍然需要決定選擇哪種 Linux 系統,並且事情會變得更加複雜。 用戶需要一個看起來很熟悉的用戶界面,而你需要最安全的操作系統。
像 Moore 解釋的那樣,“Linux 有可能是最安全的,但要求用戶是資深用戶。”所以,它不是針對所有人的。
將安全性作為主要功能的 Linux 發行版包括 Parrot Linux ,這是一個基於 Debian 的發行版,Moore 說,它提供了許多與安全相關開箱即用的工具。
當然,一個重要的區別是 Linux 是開源的。Simplex Solutions 的 CISO Igor Bidenko 說,編碼人員可以閱讀和審查彼此工作的現實看起來像是一場安全噩夢,但這確實是讓 Linux 如此安全的重要原因。 “Linux 是最安全的操作系統,因為它的源代碼是開放的。任何人都可以查看它,並確保沒有錯誤或後門。”
Wilkinson 闡述說:“Linux 和基於 Unix 的操作系統具有較少的在信息安全領域已知的、可利用的安全缺陷。技術社區對 Linux 代碼進行了審查,該代碼有助於提高安全性:通過進行這麼多的監督,易受攻擊之處、漏洞和威脅就會減少。”
這是一個微妙而違反直覺的解釋,但是通過讓數十人(有時甚至數百人)通讀操作系統中的每一行代碼,代碼實際上更加健壯,並且發佈漏洞錯誤的機會減少了。這與 《PC World》 為何出來說 Linux 更安全有很大關係。正如 Katherine Noyes 解釋 的那樣,“微軟可能吹捧它的大型的付費開發者團隊,但團隊不太可能與基於全球的 Linux 用戶開發者進行比較。 安全只能通過所有額外的關注獲益。”
另一個被 《PC World》舉例的原因是 Linux 更好的用戶特權模式:Noye 的文章講到,Windows 用戶“一般被默認授予管理員權限,那意味著他們幾乎可以訪問系統中的一切”。Linux,反而很好地限制了“root”權限。
Noyes 還指出,Linux 環境下的多樣性可能比典型的 Windows 單一文化更好地對抗攻擊:Linux 有很多不同的發行版。其中一些以其特別的安全關注點而差異化。Comparitech 的安全研究員 Lee Muson 為 Linux 發行版提供了這樣的建議:“ Qubes OS 對於 Linux 來說是一個很好的出發點,現在你可以發現, 愛德華·斯諾登的認可 極大地超過了其謙遜的宣傳。”其他安全性專家指出了專門的安全 Linux 發行版,如 Tails Linux ,它旨在直接從 USB 閃存驅動器或類似的外部設備安全地匿名運行。
構建安全趨勢
慣性是一股強大的力量。雖然人們有明確的共識,認為 Linux 是桌面系統的最安全選擇,但並沒有出現對 Windows 和 Mac 機器壓倒性的傾向。儘管如此,Linux 採用率的小幅增長卻可能會產生對所有人都更加安全的計算,因為市場份額的喪失是確定能獲得微軟和蘋果公司關注的一個方式。換句話說,如果有足夠的用戶在桌面上切換到 Linux,Windows 和 Mac PC 很可能成為更安全的平臺。
via: https://www.computerworld.com/article/3252823/linux/why-linux-is-better-than-windows-or-macos-for-security.html
閱讀更多 Linux技術 的文章