Запустите антивирусное программное обеспечение на DNS-серверах Linux. Имеет ли это смысл?

Во время недавнего аудита нам было предложено установить антивирусное программное обеспечение на наших DNS-серверах, работающих под управлением Linux (bind9). Серверы не были скомпрометированы во время тестирования на проникновение, но это была одна из приведенных рекомендаций.

1. Обычно антивирусное программное обеспечение linux устанавливается для сканирования трафика, предназначенного для пользователей, так какова цель установки антивируса на DNS-сервер?

2. Каково ваше мнение о предложении?

3. Вы действительно запускаете антивирусное программное обеспечение на своих серверах Linux?

4. Если да, то какое антивирусное программное обеспечение вы бы порекомендовали или используете в настоящее время?

Одним из аспектов этого является то, что рекомендация «антивируса» быть на все - безопасная ставка для аудитора.

Аудиты безопасности не полностью касаются фактической технической безопасности. Часто они также касаются ограничения ответственности в случае судебного иска.

Допустим, ваша компания была взломана, и против вас был подан коллективный иск. Ваша конкретная ответственность может быть уменьшена в зависимости от того, насколько хорошо вы следовали отраслевым стандартам. Допустим, аудиторы не рекомендовали AV на этом сервере, поэтому вы не устанавливаете его.

Ваша защита в этом заключается в том, что вы следовали рекомендациям уважаемого одитора и, так сказать, несете ответственность. Кстати, это основная причина, по которой мы привлекаем сторонних аудиторов. Обратите внимание, что перенос ответственности часто записывается в договоре, который вы подписываете с аудиторами: если вы не будете следовать их рекомендациям, это все на вас.

Ну, тогда адвокаты будут расследовать аудитора как возможного обвиняемого. В нашей гипотетической ситуации тот факт, что они не рекомендовали AV на конкретном сервере, будет восприниматься как несущественный. Одно это нанесло бы им ущерб на переговорах, даже если бы оно не имело абсолютно никакого отношения к фактической атаке.

Единственная финансово ответственная вещь для аудиторской компании - это иметь стандартную рекомендацию для всех серверов независимо от фактической поверхности атаки. В этом случае AV на все . Другими словами, они рекомендуют кувалду, даже если скальпель технически лучше по юридическим причинам.

Имеет ли это технический смысл? Как правило, нет, поскольку это обычно увеличивает риск. Имеет ли это смысл для адвокатов, судьи или даже присяжных? Абсолютно, они не технически компетентны и не способны понять нюансы. Вот почему вам нужно соблюдать.

@ewwhite рекомендовал поговорить с аудитором об этом. Я думаю, что это неправильный путь. Вместо этого вы должны поговорить с адвокатом вашей компании , чтобы получить их мнение о не следующие запросы.

Иногда одиторы идиоты ...

Это необычный запрос, хотя. Я бы отказался от рекомендации аудиторов, обеспечив безопасность / ограничение доступа к серверам, добавив IDS или мониторинг целостности файлов или поддерживая безопасность в других местах вашей среды. Антивирус не имеет здесь никакой пользы.

Редактировать:

Как отмечено в комментариях ниже, я принимал участие в запуске очень громкого веб-сайта здесь, в США, и отвечал за разработку эталонной архитектуры Linux для соответствия требованиям HIPAA.

Когда обсуждался вопрос антивируса, мы порекомендовали ClamAV и брандмауэр приложения для обработки представлений от конечных пользователей, но нам удалось избежать использования AV на всех системах благодаря реализации компенсирующих элементов управления ( сторонние IDS , ведение журнала сеанса, Auditd, удаленный системный журнал, двухфакторная авторизация для VPN и серверов, мониторинг целостности файлов AIDE, стороннее шифрование БД, сумасшедшие структуры файловой системы и т. д.) . Они были признаны аудиторами приемлемыми, и все было одобрено.

Первое, что вам нужно понять об аудиторах, это то, что они могут ничего не знать о том, как технология используется в реальном мире.

Существует множество уязвимостей и проблем безопасности DNS, которые необходимо устранить в ходе аудита. Они никогда не дойдут до реальных проблем, если их отвлекать яркие блестящие объекты, такие как флажок «антивирус на DNS-сервере».

Типичное современное антивирусное программное обеспечение более точно пытается найти вредоносное ПО и не ограничивается только вирусами. В зависимости от фактической реализации сервера (выделенный блок для выделенного сервиса, контейнер в общем блоке, дополнительный сервис на «единственном сервере»), вероятно, неплохо иметь что-то вроде ClamAV или LMD (Linux Malware Detect) установить и выполнить дополнительное сканирование каждую ночь или около того.

Когда вас спросят в ходе аудита, пожалуйста, выберите точное требование и ознакомьтесь с сопроводительной информацией. Почему: слишком много аудиторов не читают полное требование, не знают контекста и руководящей информации.

Например, PCIDSS заявляет, что «развертывание антивирусного программного обеспечения на всех системах, на которые часто распространяется вредоносное программное обеспечение», является требованием.

В проницательной руководящей колонке PCIDSS конкретно говорится, что мэйнфреймы, компьютеры среднего уровня и аналогичные системы в настоящее время не могут быть целенаправленными или подвержены влиянию вредоносных программ, но следует следить за текущим фактическим уровнем угрозы, знать об обновлениях безопасности поставщика и принимать меры для устранения новых проблем безопасности. уязвимости (не ограничиваются вредоносными программами).

Поэтому, указав на список из примерно 50 вирусов Linux с http://en.wikipedia.org/wiki/Linux_malware в сравнении с миллионами известных вирусов для других операционных систем, легко утверждать, что сервер Linux не подвержен общему воздействию , «Самый основной набор правил» из https://wiki.ubuntu.com/BasicSecurity также является интересным указателем для большинства аудиторов, ориентированных на Windows.

А ваши apticron-оповещения об ожидающих обновлениях безопасности и запущенных средствах проверки целостности, таких как AIDE или Samhain, могут более точно реагировать на реальные риски, чем стандартный сканер вирусов. Это также может убедить аудитора в том, что он не представляет риск установки ненужного программного обеспечения (которое дает ограниченную выгоду, может создать угрозу безопасности или просто сломаться).

Если это не поможет: установка clamav в качестве ежедневного cronjob не повредит так же, как другие программы.

DNS-серверы стали популярными среди аудиторов PCI в этом году.

Важно признать, что хотя DNS-серверы не обрабатывают конфиденциальные данные, они поддерживают вашу среду, которая это делает. Таким образом, аудиторы начинают отмечать эти устройства как «поддерживающие PCI», аналогично серверам NTP. Аудиторы обычно применяют другой набор требований к средам, поддерживающим PCI, чем сами среды PCI.

Я хотел бы поговорить с аудиторами и попросить их уточнить разницу в их требованиях к поддержке PCI и PCI, просто чтобы убедиться, что это требование случайно не проникло. Нам нужно было убедиться, что наши DNS-серверы соответствуют рекомендациям по усилению защиты, аналогичным к средам PCI, но антивирус не был одним из требований, с которыми мы столкнулись.

Это могло бы быть реакцией коленного рефлекса на ударную волну, как было предложено в Интернете, на связывание можно повлиять.

РЕДАКТИРОВАТЬ: Не уверен, что это когда-либо было доказано или подтверждено.

Если ваши DNS-серверы попадают в область действия PCI DSS, вы можете быть вынуждены использовать на них AV (хотя в большинстве случаев это просто глупо). Мы используем ClamAV.

Если это для соответствия SOX, они говорят вам установить антивирус, скорее всего, потому что где-то у вас есть политика, которая говорит, что на всех серверах должен быть установлен антивирус. А этот нет.

Либо напишите исключение в политику для этого сервера, либо установите AV.

Существует два основных типа DNS-серверов: авторитетные и рекурсивные. Авторитетный сервер DNS сообщает мир , что IP - адрес должен использоваться для каждого хоста в домене. В последнее время стало возможным связывать другие данные с именем, например, политики фильтрации электронной почты (SPF) и криптографические сертификаты (DANE). Распознаватель или рекурсивный сервер DNS, ищет информацию , связанную с доменными именами, используя корневые сервера ( .) для поиска серверов в реестре ( .com), используя те , чтобы найти авторитетные сервера освобождающихся доменов ( serverfault.com), и , наконец , с помощью тех , чтобы найти имена хостов ( serverfault.com, meta.serverfault.com, так далее.).

Я не вижу, как «антивирус» подойдет для авторитетного сервера. Но практический «антивирус» для распознавателя будет включать блокировку поиска доменов, связанных с распространением или командованием и контролем вредоносных программ. Google dns block malwareили dns sinkholeпринес несколько результатов, которые могут помочь вам защитить вашу сеть, защищая ее решатели. Это не тот тип антивируса, который вы запускаете на клиентском компьютере / компьютере, но если вы предложите его стороне, ответственной за требование «антивирус», вы получите ответ, который поможет вам лучше понять природу требования «антивирус» ,

Похожие вопросы на других сайтах Stack Exchange:

• Как может кто-то провалиться в домены?

Лучше запустить Tripwire или AIDE