Uruchom oprogramowanie antywirusowe na serwerach DNS z systemem Linux. Czy jest sens?

Podczas ostatniego audytu poproszono nas o zainstalowanie oprogramowania antywirusowego na naszych serwerach DNS z systemem Linux (bind9). Serwery nie zostały naruszone podczas testów penetracyjnych, ale była to jedna z podanych rekomendacji.

1. Zazwyczaj oprogramowanie antywirusowe Linux jest instalowane do skanowania ruchu przeznaczonego dla użytkowników, więc jaki jest cel instalacji programu antywirusowego na serwerze dns?

2. Jakie jest twoje zdanie na temat wniosku?

3. Czy faktycznie uruchamiasz oprogramowanie antywirusowe na swoich serwerach Linux?

4. Jeśli tak, jakie oprogramowanie antywirusowe poleciłbyś lub którego obecnie używasz?

Jednym z aspektów tego jest to, że rekomendowanie „antywirusa” do wszystkiego jest bezpiecznym wyborem dla audytora.

Audyty bezpieczeństwa nie dotyczą wyłącznie faktycznego bezpieczeństwa technicznego. Często dotyczą one również ograniczenia odpowiedzialności w przypadku procesu.

Powiedzmy, że twoja firma została zhakowana i wniesiono przeciwko tobie pozew zbiorowy. Twoja konkretna odpowiedzialność może zostać zmniejszona na podstawie tego, jak dobrze przestrzegałeś standardów branżowych. Powiedzmy, że audytorzy nie zalecili AV na tym serwerze, więc go nie instalujesz.

Twoja obrona polega na tym, że postępujesz zgodnie z zaleceniami szanowanego audytora i przekazujesz pieniądze, że tak powiem. Nawiasem mówiąc, jest to PODSTAWOWY powód, dla którego korzystamy z zewnętrznych audytorów. Pamiętaj, że przeniesienie odpowiedzialności jest często zapisywane w umowie, którą podpisujesz z audytorami: jeśli nie zastosujesz się do ich zaleceń, wszystko zależy od ciebie.

Cóż, prawnicy zbadają następnie audytora jako ewentualnego współoskarżonego. W naszej hipotetycznej sytuacji fakt, że nie zalecili AV na konkretnym serwerze, będzie postrzegany jako niedokładny. Już samo to skrzywdziłoby ich podczas negocjacji, nawet gdyby nie miało to absolutnie żadnego wpływu na faktyczny atak.

Jedyną odpowiedzialnością fiskalną firmy audytorskiej jest posiadanie standardowej rekomendacji dla wszystkich serwerów, niezależnie od faktycznej powierzchni ataku. W tym przypadku AV na wszystko . Innymi słowy, zalecają młot kowalski, nawet jeśli skalpel jest technicznie lepszy ze względów prawnych.

Czy to ma sens techniczny? Zasadniczo nie, ponieważ zwykle zwiększa ryzyko. Czy ma to sens dla prawników, sędziego czy nawet przysięgłych? Absolutnie nie są technicznie kompetentni i niezdolni do zrozumienia niuansów. Dlatego musisz się dostosować.

@ewwhite zalecił rozmowę na ten temat z audytorem. Myślę, że to zła ścieżka. Zamiast tego powinieneś porozmawiać z prawnikiem swojej firmy, aby uzyskać ich opinię na temat nieprzestrzegania tych próśb.

Czasami audytorzy są idiotami ...

Jest to jednak rzadka prośba. Odrzuciłbym zalecenie audytorów, zabezpieczając / ograniczając dostęp do serwerów, dodając IDS lub monitorowanie integralności plików lub wzmacniając bezpieczeństwo w innym miejscu w twoim środowisku. Antywirus nie ma tu żadnych zalet.

Edytować:

Jak zauważono w komentarzach poniżej, byłem zaangażowany w uruchomienie bardzo głośnej witryny tutaj w Stanach Zjednoczonych i byłem odpowiedzialny za zaprojektowanie referencyjnej architektury Linuksa pod kątem zgodności z HIPAA.

Kiedy kwestia antywirusa pojawiła się w dyskusji, zalecamy ClamAV i zaporę aplikacji do przetwarzania zgłoszeń od użytkowników końcowych, ale udało nam się uniknąć AV na wszystkich systemach poprzez wdrożenie kontroli kompensujących ( IDS innych firm , rejestrowanie sesji, audyt, zdalny syslog, uwierzytelnianie dwuskładnikowe do sieci VPN i serwerów, monitorowanie integralności plików AIDE, szyfrowanie DB innych firm, zwariowane struktury systemu plików itp . ) . Zostały one uznane przez audytorów za możliwe do zaakceptowania i wszystko zostało zatwierdzone.

Pierwszą rzeczą, którą musisz zrozumieć o audytorach, jest to, że mogą oni nic nie wiedzieć o tym, jak technologia ta jest wykorzystywana w prawdziwym świecie.

Istnieje wiele luk w zabezpieczeniach DNS i problemów, które należy rozwiązać podczas audytu. Nigdy nie dojdą do prawdziwych problemów, jeśli rozproszą ich jasne błyszczące obiekty, takie jak pole wyboru „program antywirusowy na serwerze DNS”.

Typowe współczesne oprogramowanie antywirusowe dokładniej próbuje znaleźć złośliwe oprogramowanie i nie ogranicza się tylko do wirusów. W zależności od faktycznej implementacji serwera (dedykowane urządzenie dedykowane do usługi, pojemnik we wspólnym urządzeniu, dodatkowa usługa na „jedynym serwerze”) prawdopodobnie nie jest złym pomysłem mieć coś takiego jak ClamAV lub LMD (Linux Malware Detect) zainstalowane i przeprowadzać dodatkowe skanowanie co noc.

Gdy zostaniesz zapytany podczas audytu, wybierz dokładnie wymaganie i zapoznaj się z dołączonymi informacjami. Dlaczego: zbyt wielu audytorów nie czyta pełnego wymogu, nie zna kontekstu i wskazówek.

Jako przykład, PCIDSS stwierdza jako „wymaganie, aby wdrożyć oprogramowanie antywirusowe na wszystkich systemach zwykle dotkniętych złośliwym oprogramowaniem”.

Wnikliwa kolumna ze wskazówkami PCIDSS wyraźnie stwierdza, że ​​komputery mainframe, komputery średniego zasięgu i podobne systemy nie są obecnie często atakowane lub narażone na szkodliwe oprogramowanie, ale należy monitorować aktualny poziom zagrożenia, być świadomym aktualizacji bezpieczeństwa dostawcy i wdrażać środki w celu rozwiązania problemu nowych zabezpieczeń podatności (nie tylko na złośliwe oprogramowanie).

Dlatego po wskazaniu listy około 50 wirusów systemu Linux z http://en.wikipedia.org/wiki/Linux_malware w porównaniu z milionami znanych wirusów dla innych systemów operacyjnych łatwo jest argumentować, że nie ma to wpływu na serwer Linux . „Najbardziej podstawowy zestaw reguł” z https://wiki.ubuntu.com/BasicSecurity jest również interesującym wskaźnikiem dla większości audytorów skupionych na Windowsie.

Alerty apticron o oczekujących aktualizacjach bezpieczeństwa i uruchamianiu sprawdzania integralności, takich jak AIDE lub Samhain, mogą dokładniej reagować na rzeczywiste ryzyko niż standardowy skaner antywirusowy. Może to również przekonać audytora, że ​​nie wprowadza ryzyka instalowania niepotrzebnego oprogramowania (co zapewnia ograniczoną korzyść, może stanowić ryzyko dla bezpieczeństwa lub po prostu ulec awarii).

Jeśli to nie pomoże: instalacja clamav jako codziennej pracy z cronjob nie zaszkodzi tak bardzo jak innym programom.

Serwery DNS stały się popularne w tym roku wśród audytorów PCI.

Ważną rzeczą do rozpoznania jest to, że chociaż serwery DNS nie obsługują poufnych danych, obsługują one środowiska, które to robią. W związku z tym audytorzy zaczynają oznaczać te urządzenia jako „obsługujące PCI”, podobnie jak serwery NTP. Audytorzy zwykle stosują inny zestaw wymagań w środowiskach obsługujących PCI niż w samych środowiskach PCI.

Chciałbym porozmawiać z audytorami i poprosić ich o wyjaśnienie różnicy w ich wymaganiach między obsługą PCI i obsługą PCI, aby upewnić się, że wymóg ten nie przypadkowo się wkradł. Musieliśmy się upewnić, że nasze serwery DNS spełniają wytyczne dotyczące hartowania podobne do środowisk PCI, ale program antywirusowy nie był jednym z wymagań, które musieliśmy spełnić.

Mogła to być reakcja gwałtownego uderzenia kolanem w wulgarne uderzenie wulgarne, sugerowano w Internecie, że może to mieć wpływ na wiązanie.

EDYCJA: Nie jestem pewien, czy kiedykolwiek zostało to udowodnione lub potwierdzone.

Jeśli twoje serwery DNS wchodzą w zakres PCI DSS, możesz zostać zmuszony do uruchomienia AV na nich (nawet jeśli w większości przypadków jest to po prostu głupie). Używamy ClamAV.

Jeśli chodzi o zgodność z SOX, mówią ci, aby zainstalować program antywirusowy, najprawdopodobniej, ponieważ gdzieś masz zasady, które mówią, że wszystkie serwery muszą mieć zainstalowany program antywirusowy. A ten nie.

Napisz wyjątek do zasad dla tego serwera lub zainstaluj AV.

Istnieją dwa główne rodzaje serwerów DNS: autorytatywne i rekurencyjne. Autorytatywny serwer DNS mówi światu, co adresy IP powinny być stosowane do każdego hosta w domenie. Ostatnio stało się możliwe powiązanie innych danych z nazwą, takich jak zasady filtrowania wiadomości e-mail (SPF) i certyfikaty kryptograficzne (DANE). Rezolwer lub rekurencyjne serwer DNS, wyszukuje informacje związane z nazwami domen, używając serwerów głównych ( .), aby znaleźć serwery rejestru ( .com), stosując te znaleźć serwerów autorytatywnych domen ( serverfault.com), a na końcu przy użyciu tych znaleźć nazwy hostów ( serverfault.com, meta.serverfault.com, itp.).

Nie widzę, jak „antywirus” byłby odpowiedni dla autorytatywnego serwera. Ale praktyczny „program antywirusowy” dla resolvera wymagałby blokowania wyszukiwania domen związanych z dystrybucją lub dowodzeniem i kontrolą złośliwego oprogramowania. Google dns block malwarelub dns sinkholeprzyniósł kilka wyników, które mogą pomóc Ci chronić swoją sieć, chroniąc jej przeliczniki. To nie jest ten sam rodzaj antywirusa, który byłby uruchamiany na komputerze klienckim / stacjonarnym, ale zaproponowanie go stronie odpowiedzialnej za wymóg „antywirusowy” może dać odpowiedź, która pomoże lepiej zrozumieć naturę wymagania „antywirusowego” .

Powiązane pytania na innych stronach Stack Exchange:

• Jak ktoś może domen typu sinkhole?

Lepiej uruchomić Tripwire lub AIDE