Во время недавнего аудита нас попросили установить антивирусное программное обеспечение на наши DNS-серверы, на которых работает Linux (bind9). Серверы не были скомпрометированы во время тестирования на проникновение, но это была одна из рекомендаций.
Обычно антивирусное программное обеспечение Linux устанавливается для сканирования трафика, предназначенного для пользователей, так какова цель установки антивируса на DNS-сервер?
Что вы думаете о предложении?
Вы действительно запускаете антивирусное программное обеспечение на своих серверах Linux?
Если да, то какое антивирусное программное обеспечение вы бы порекомендовали или используете в настоящее время?
Однако это необычный запрос. Я бы воспротивился рекомендации аудиторов, обеспечив / ограничив доступ к серверам, добавив IDS или мониторинг целостности файлов или усилив безопасность где-либо еще в вашей среде. Антивирус здесь не приносит никакой пользы.
Редактировать:
Как указано в комментариях ниже, я участвовал в запуске очень громкий сайт здесь, в США, и отвечал за разработку эталонной архитектуры Linux в соответствии с HIPAA.
Когда вопрос об антивирусе стал предметом обсуждения, мы рекомендовали ClamAV и брандмауэр приложений для обработки представлений от конечных пользователей, но нам удалось избежать наличия антивирусного ПО во всех системах, реализовав компенсирующие меры (Сторонняя IDS, ведение журнала сеанса, auditd, удаленный системный журнал, двухфакторная аутентификация к VPN и серверам, мониторинг целостности файлов AIDE, стороннее шифрование БД, сумасшедшие структуры файловой системы, и т.д.). Аудиторы сочли их приемлемыми, и все они были одобрены.
Первое, что вам нужно понять об аудиторах, это то, что они могут ничего не знать о том, как рассматриваемая технология используется в реальном мире.
Существует множество уязвимостей и проблем безопасности DNS, которые следует устранить при аудите. Они никогда не дойдут до настоящих проблем, если их будут отвлекать яркие блестящие объекты вроде флажка «антивирус на DNS-сервере».
Одним из аспектов этого является то, что рекомендация "антивируса" быть на все это беспроигрышный вариант для аудитора.
Аудиты безопасности не сводятся исключительно к реальной технической безопасности. Часто речь идет также об ограничении ответственности в случае судебного иска.
Допустим, ваша компания была взломана и против вас был подан коллективный иск. Ваша конкретная ответственность может быть уменьшена в зависимости от того, насколько хорошо вы следовали отраслевым стандартам. Допустим, аудиторы сделали не рекомендовать AV на этом сервере, поэтому вы не устанавливаете его.
Ваша защита в этом состоит в том, что вы следовали рекомендациям уважаемого аудитора и, так сказать, перекладывали ответственность. Кстати, это ОСНОВНАЯ причина, по которой мы пользуемся услугами сторонних аудиторов. Обратите внимание, что перенос ответственности часто прописывается в контракте, который вы подписываете с аудиторами: если вы не следуете их рекомендациям, все зависит от вас.
Что ж, адвокаты затем исследуют аудитора как возможного сообвиняемого. В нашей гипотетической ситуации тот факт, что они не рекомендовали AV на определенном сервере, будет рассматриваться как недостаточный. Одно это навредило бы им на переговорах, даже если бы не имело абсолютно никакого отношения к фактическому нападению.
Единственное, что должна сделать аудиторская компания с финансовой точки зрения, - это иметь стандартные рекомендации для всех серверов, независимо от фактической поверхности атаки. В этом случае AV на все. Другими словами, они рекомендуют кувалду, даже если скальпель технически лучше по юридическим причинам.
Имеет ли это технический смысл? Как правило, нет, так как это обычно увеличивает риск. Имеет ли смысл для адвокатов, судьи или даже присяжных? Абсолютно технически некомпетентны и не способны разбираться в нюансах. Вот почему вам нужно подчиняться.
@ewwhite рекомендовал вам поговорить об этом с аудитором. Я думаю, это неправильный путь. Вместо этого вам следует поговорить с юристом вашей компании, чтобы узнать их мнение о не следуя этим запросам.
Типичное современное антивирусное программное обеспечение более точно пытается найти вредоносное ПО и не ограничивается только вирусами. В зависимости от фактической реализации сервера (выделенный ящик для выделенной службы, контейнер на общем сервере, дополнительная служба на «единственном сервере»), вероятно, неплохо иметь что-то вроде ClamAV или LMD (Linux Malware Detect). установлен и выполнять дополнительное сканирование каждую ночь или около того.
Когда вас спросят в ходе аудита, выберите точное требование и ознакомьтесь с сопроводительной информацией. Почему: слишком многие аудиторы не читают полное требование, не осведомлены о контексте и инструктивной информации.
Например, PCIDSS заявляет как требование «развернуть антивирусное программное обеспечение на всех системах, обычно подверженных вредоносному ПО».
В проницательной колонке с рекомендациями PCIDSS конкретно указано, что мэйнфреймы, компьютеры среднего класса и аналогичные системы в настоящее время могут не подвергаться атакам вредоносных программ или не пострадать от них, но следует отслеживать текущий фактический уровень угрозы, быть в курсе обновлений безопасности поставщика и принимать меры для решения новой проблемы уязвимости (не только вредоносные программы).
Итак, указав на список из примерно 50 Linux-вирусов из http://en.wikipedia.org/wiki/Linux_malware по сравнению с миллионами известных вирусов для других операционных систем, легко аргументировать, что сервер Linux не обычно затрагиваются. «Самый простой набор правил» от https://wiki.ubuntu.com/BasicSecurity также являются интересным указателем для большинства аудиторов, ориентированных на Windows.
А ваши оповещения apticron об ожидающих обновлениях безопасности и запущенных программах проверки целостности, таких как AIDE или Samhain, могут более точно устранять реальные риски, чем стандартный антивирусный сканер. Это также может убедить вашего аудитора не подвергать риску установку ненужного программного обеспечения (которое дает ограниченные преимущества, может представлять риск для безопасности или просто нарушать работу).
Если это не поможет: установка clamav в качестве ежедневного задания cron не повредит так сильно, как другие программы.
В этом году DNS-серверы стали популярными среди аудиторов PCI.
Важно понимать, что хотя DNS-серверы не ручка конфиденциальные данные, они служба поддержки ваши среды, которые делают. Таким образом, аудиторы начинают отмечать эти устройства как «поддерживающие PCI», как и серверы NTP. Аудиторы обычно предъявляют к средам, поддерживающим PCI, другой набор требований, чем к самим средам PCI.
Я хотел бы поговорить с аудиторами и попросить их разъяснить разницу в их требованиях между поддержкой PCI и PCI, просто чтобы убедиться, что это требование случайно не проскользнет. Нам действительно нужно было убедиться, что наши DNS-серверы соответствуют руководящим принципам повышения безопасности, аналогичным к средам PCI, но антивирус не был одним из требований, с которыми мы столкнулись.
Это могло быть реакцией коленного рефлекса на уязвимость shellshock bash, в сети было высказано предположение, что это может повлиять на привязку.
РЕДАКТИРОВАТЬ: Не уверен, что это когда-либо было доказано или подтверждено.
Если ваши DNS-серверы подпадают под действие стандарта PCI DSS, вы можете быть вынуждены запустить на них AV (хотя в большинстве случаев это совершенно глупо). Мы используем ClamAV.
Если это для соответствия SOX, они говорят вам установить антивирус, скорее всего, потому, что где-то у вас есть политика, которая гласит, что на всех серверах должен быть установлен антивирус. А этот - нет.
Либо напишите исключение в политике для этого сервера, либо установите AV.
Есть два основных типа DNS-серверов: авторитетные и рекурсивные. An авторитетный DNS-сервер сообщает миру, какие IP-адреса следует использовать для каждого имени хоста в домене. В последнее время стало возможным связывать с именем другие данные, например, политики фильтрации электронной почты (SPF) и криптографические сертификаты (DANE). А решатель, или рекурсивный DNS-сервер, ищет информацию, связанную с доменными именами, используя корневые серверы (.) для поиска серверов реестра (.com), используя их для поиска авторитетных серверов доменов (serverfault.com) и, наконец, используя их для поиска имен хостов (serverfault.com, meta.serverfault.com, и т.д.).
Я не понимаю, насколько «антивирус» подходит для авторитетного сервера. Но практический «антивирус» для распознавателя будет включать блокировку поиска доменов, связанных с распространением или управлением вредоносным ПО. Google dns block malware или dns sinkhole принес несколько результатов, которые могут помочь вам защитить вашу сеть, защитив ее преобразователи. Это не тот антивирус, который вы бы использовали на клиентском / настольном компьютере, но предложение его стороне, ответственной за требование «антивирус», может дать ответ, который поможет вам лучше понять природу требования «антивирус». .
Связанные вопросы на других сайтах Stack Exchange:
Лучше запустить Tripwire или AIDE