Крупная компания проводит обзор нашего программного обеспечения, прежде чем использовать веб-программное обеспечение, созданное нашей начинающей компанией. Мы используем Linux для хостинга, который должным образом защищен и укреплен.
Специалист по проверке безопасности постановил, что на всех компьютерах и серверах должна быть установлена антивирусная программа. Очевидно, сказать им, что Linux не может быть заражен вирусом, не сработает.
Есть ли сторонняя статья или ресурс по безопасности, которые могут помочь нам убедить их отказаться от этого требования, или нам нужно будет установить ClamAV и заставить его сжигать процессор один раз в день?
Да, это, безусловно, разумная просьба. День, когда вы отрицаете, что ваша инфраструктура уязвима для вирусных угроз, - это день, когда вы теряете большое доверие.
Вам нужно взвесить последствия (фактор раздражения, возможные проблемы с производительностью, накладные расходы на обслуживание) запуска AV со стоимостью этого контракта. Если одна компания перечисляет AV как требование, вполне вероятно, что другие сделают то же самое в будущем. Если вы уже управляете им, у вас будут хорошие возможности для того, чтобы выиграть их бизнес.
Вероятность заражения Linux-сервера вирусом очень мала, не нуль. Если это беспокоит вашего аудитора / клиента / кого бы то ни было, вы должны это понять и определить, важен ли их бизнес для вас. Если их бизнес стоит больше, чем циклы процессора и дисковые операции ввода-вывода, которые потребуются для сканирования, то вам следует установить AV. Если это не так, вам следует объяснить это своему клиенту и попросить его принести свой контракт в другое место.
Это небезосновательное утверждение, особенно если на этом сервере размещаются файлы для клиентов Windows. Устанавливая ClamAV (или что-то еще), вы защищаете тех клиентов Windows, которые подключены к вашему серверу.
Я считаю, что нам нужно поместить термин «вирус» в контекст.
Если вы говорите о самовоспроизводящихся двоичных файлах, которые перемещаются по сетям Windows, то, конечно, вероятность того, что Linux получит один из них, очень мала.
Если мы говорим о более широком предмете вредоносного программного обеспечения, то Linux не имеет иммунитета. Неустановленные и плохо настроенные серверы Linux постоянно эксплуатируются и превращаются в ботоводов или используются для других гнусных целей. Делать вид, что этих угроз не существует, - значит зарыть голову в песок.
Я никогда не запускал антивирусное программное обеспечение на сервере Linux, так как мне нравится думать, что регулярные исправления и разумная конфигурация защитят мои серверы от 99,99% угроз. Однако я бы определенно рассмотрел это в этом случае, при условии, что программное обеспечение действительно способно обнаруживать вид вредоносного программного обеспечения, которое поражает серверы Linux, а не просто перенос пакета Windows AV.
Установка антивирусного пакета не причинит никакого вреда, тем более что это может означать разницу между получением и потерей контракта.
Возможно, вам нужно рассмотреть не только антивирусный пакет, но и набор для обнаружения руткитов, а CRON - сканирование для регулярного запуска. Будьте готовы также к ложным срабатываниям - некоторые наборы более подвержены ложным срабатываниям, чем другие, и, пока вы не привыкнете к этим аномалиям, это может сбивать с толку.
Попросите их точно определите понятие «антивирус». Какие угрозы их беспокоят?
Если они не могут ответить (возможно, потому, что действительно понятия не имеют, о чем они говорят, и просто заполняют контрольный список), спросите их список одобренных антивирусных программ.
Если требование просто:
У вас должна быть установлена программа AV, и точка.
они, вероятно, понятия не имеют, о чем говорят. Просто спроси их что они ожидают от вас в точности.
Если требуется:
Вам следует регулярно проверять все установленные программы (двоичные файлы и сценарии) на наличие новых программ, измененных файлов или любых других признаков патологического содержимого файлов.
тогда это означает, что вам может не понадобиться пресловутый «AV», и что сценарий для проверки целостности сервера будет адекватным, более точным, более надежным: нет ложных срабатываний, если вы знаете, какие файлы были изменены, когда ваш сервер работает нормально , и если вы можете разъяснить требования согласованности измененных файлов.
Разработка скрипта для проверки целостности или даже настройка какого-либо существующего инструмента, чтобы он понимал специфику вашего сервера, потребует дополнительной работы (программы AV более купи-установи-потом-забудь, наверное, поэтому они так популярны). Но я думаю, что это сделает гораздо больше для безопасности вашего сервера.