Em fevereiro último, a Open Source Security Foundation (OpenSSF), lançou a Open Source Project Security Baseline (OSPS Baseline) com o objetivo de estabelecer requisitos mínimos de segurança para software de código aberto (OSS).
Ela oferece um conjunto estruturado de requisitos de segurança alinhados a frameworks, padrões e regulamentações internacionais de cibersegurança, que vai “reforçar a postura de segurança dos projetos de código aberto”, sendo práticas e impactantes em todos os projetos de código aberto.
O projeto resolverá um problema significativo para desenvolvedores de código aberto: a dificuldade de navegar por todos os padrões de segurança existentes. Ela enfatiza que a baseline vai simplificar o processo e dar confiança aos mantenedores sem adicionar estresse extra.
Metas Ambiciosas e Desafios
A OSPS Baseline detalha tarefas, processos, artefatos e configurações que melhoram a segurança do desenvolvimento e consumo de software, podendo ajudar desenvolvedores a estabelecer uma base para a conformidade com regulamentações globais de cibersegurança.
Como conselhos de segurança são vagos ou impraticáveis, a baseline fornece fornece orientação acionável e prática para ajudar os desenvolvedores a alcançar níveis de segurança apropriados para seus projetos.
Num mundo digital, onde as ameaças cibernéticas evoluem continuamente, torna-se fundamental garantir a segurança dos sistemas. No caso do pinguim, a “Security Baseline” desempenha um papel vital no ecossistema open source.
Uma Security Baseline no Linux são as configurações, práticas e diretrizes de segurança que definem o “nível mínimo aceitável” de segurança para um sistema ou ambiente Linux. É a “lista de verificação” de como um sistema Linux deve ser configurado e mantido, protegendo-o contra vulnerabilidades.
Uma security baseline não é apenas um documento estático. É um processo contínuo que envolve estabelecer as configurações de segurança ideais, aplicar essas configurações nos sistemas, verificar continuamente se os sistemas estão em conformidade com a baseline e ajustá-la conforme surjam novas ameaças e a evolução tecnológica.
Por que uma Security Baseline é importante?
A implementação de uma security baseline no Linux oferece diversos benefícios. Removendo serviços desnecessários, fechar portas não utilizadas e configurar permissões adequadas, você diminui as oportunidades para ataques. Isso garante que todos os sistemas Linux em uma organização sigam os mesmos padrões de segurança, facilitando a gestão e auditoria.
Também ajuda a atender a requisitos regulatórios e padrões da indústria (como GDPR, LGPD, HIPAA, PCI DSS, etc.). identifica rapidamente um sistema se desvia da configuração de segurança ideal, indicando possíveis comprometimentos ou erros de configuração. Fortalece o sistema contra ataques, tornando-o mais resistente a tentativas de intrusão e exploração. Facilita a identificação e a contenção de incidentes de segurança.
Principais Elementos de uma Security Baseline no Linux
Resumidamente esquematizamos abaixo as diretrizes para uma boa Security Baseline:
- Políticas de senhas fortes (complexidade, tamanho mínimo, expiração).
- Bloqueio de contas após múltiplas tentativas de login falhas.
- Remoção ou desativação de contas de usuário não utilizadas.
- Uso de “sudo” em vez de login direto como root.
- Remoção de softwares e pacotes desnecessários.
- Configuração de permissões de arquivo e diretório rigorosas (princípio do menor privilégio).
- Desativação de serviços não utilizados.
- Configuração de firewall que permite apenas o tráfego essencial.
- Configuração segura do SSH.
- Monitoramento de portas abertas.
- Uso de VPNs para acesso remoto.
- Política de atualização regular do sistema operacional e softwares.
- Configuração de logs de sistema (com ferramentas como
rsyslogoujournalctl). - Implementação de um sistema de detecção de intrusões (IDS/IPS).
- Monitoramento de integridade de arquivos (com ferramentas como AIDE).
- Uso de ferramentas para mitigar ataques de força bruta.
- Utilização de SELinux ou AppArmor para controle de acesso obrigatório (MAC).
- Criptografia de discos e partições (por exemplo, com LUKS).
- Uso de criptografia para comunicação de dados (HTTPS, SCP, SFTP).
- Estratégias de backup e recuperação de dados caso de falha ou ataque.
Concluindo
Qualquer usuário pode e deve estabelecer uma Security Baseline para seu desktop e também na rede doméstica ou do trabalho, em qualquer sistema operacional. Sua implementação é um pilar fundamental para uma postura de segurança robusta, ajudando a proteger seus sistemas e dados em um cenário de ameaças em constante mudança.
Você já tem alguma security baseline definida para seus sistemas Linux?