Запустіть антивірусне програмне забезпечення на серверах Linux DNS. Чи має сенс?

Під час недавнього аудиту нам було запропоновано встановити антивірусне програмне забезпечення на наші сервери DNS, на яких працює Linux (bind9). Під час тестування на проникнення сервери не піддавалися збиткові, але це була одна з наведених рекомендацій.

1. Зазвичай антивірусне програмне забезпечення Linux встановлюється для сканування трафіку, призначеного для користувачів, тож яка мета встановити антивірус на dns-сервері?

2. Яка ваша думка щодо пропозиції?

3. Ви справді запускаєте антивірусне програмне забезпечення на своїх Linux серверах?

4. Якщо так, то яке антивірусне програмне забезпечення ви б порекомендували або зараз використовуєте?

Одним з аспектів цього є те, що рекомендувати аудитору рекомендувати "антивірус" бути усім .

Аудити безпеки не стосуються фактично технічної безпеки. Часто вони також стосуються обмеження відповідальності у випадку позову.

Скажімо, вашу компанію зламали, і проти вас було порушено позов про позовні дії. Ваша конкретна відповідальність може бути пом’якшена, виходячи з того, наскільки добре ви дотримувались галузевих стандартів. Скажімо, аудитори не рекомендували AV на цьому сервері, тому ви не встановлюєте його.

Ваш захист у цьому полягає в тому, що ви дотримувались рекомендацій шановного аудитора і передавали долар так би мовити. До речі, це ОСНОВНА причина, по якій ми використовуємо сторонніх аудиторів. Зауважте, що перекладання відповідальності часто записується в контракт, який ви підписуєте з аудиторами: якщо ви не будете дотримуватися їхніх рекомендацій, все залежить від вас.

Ну а тоді адвокати розслідуватимуть аудитора як можливого співвідповідача. У нашій гіпотетичній ситуації той факт, що вони не рекомендували AV на певному сервері, вважатиметься не ретельним. Це одне зашкодило б їм у переговорах, навіть якщо б це абсолютно не стосувалося фактичної атаки.

Єдина фіскально відповідальна річ, яку повинна зробити аудиторська компанія, - це мати стандартну рекомендацію для всіх серверів незалежно від фактичної поверхні атаки. У цьому випадку AV на все . Іншими словами, вони рекомендують кувалду навіть у тому випадку, коли скальпель технічно перевершує через юридичні міркування.

Чи має це технічний сенс? Як правило, ні, як це зазвичай збільшує ризик. Чи має сенс адвокати, суддя чи навіть присяжні? Абсолютно, вони не є технічно компетентними та нездатними зрозуміти нюанси. Ось чому потрібно виконувати.

@ewwhite рекомендував поговорити з аудитором про це. Я думаю, що це неправильний шлях. Натомість вам слід поговорити з адвокатом вашої компанії, щоб отримати їх думку щодо невідповідності цих прохань.

Іноді аудитори - ідіоти ...

Це, однак, нечасте прохання. Я б протидіяв рекомендаціям аудиторів, забезпечуючи / обмежуючи доступ до серверів, додаючи IDS або моніторинг цілісності файлів або посилюючи безпеку в інших місцях вашого оточення. Антивірус тут не має ніякої користі.

Редагувати:

Як зазначалося в коментарях нижче, я брав участь у відкритті дуже гучного веб-сайту тут, у США, і відповідав за розробку довідкової архітектури Linux для відповідності HIPAA.

Коли питання щодо антивірусу вийшло на обговорення, ми рекомендували ClamAV та брандмауер додатків обробляти подання кінцевими користувачами, але нам вдалося уникнути наявності АВ у всіх системах, застосовуючи компенсуючі керування ( сторонні IDS , реєстрація сеансу, аудит, віддалений системний журнал, двофакторне аутентифікація до VPN та серверів, моніторинг цілісності файлів AIDE, стороннє шифрування БД, шалені структури файлової системи тощо) . Аудитори визнали їх прийнятними, і все було схвалено.

Перше, що вам потрібно зрозуміти про аудиторів, це те, що вони можуть нічого не знати про те, як застосовується технологія в реальному світі.

Існує велика кількість вразливих місць безпеки DNS та проблем, які слід вирішити під час аудиту. Вони ніколи не дійдуть до справжніх проблем, якщо відволікатимуться на яскраві блискучі об'єкти, такі як прапорець "антивірус на сервері DNS".

Типове сучасне антивірусне програмне забезпечення робить більш точну спробу пошуку зловмисного програмного забезпечення та не обмежується лише вірусами. Залежно від реальної реалізації сервера (виділене поле для спеціальної служби, контейнер на спільному вікні, додаткова послуга на "єдиному сервері"), мабуть, не погана ідея мати щось на кшталт ClamAV або LMD (Linux Malware Detect) встановити та виконувати додаткову перевірку щовечора або близько того.

На запит аудиту, будь ласка, виберіть точну вимогу та ознайомтесь із супровідною інформацією. Чому: занадто багато аудиторів не читають повну вимогу, не знають про контекст та інформацію щодо керівництва.

Наприклад, PCIDSS вказує на вимогу "розгортати антивірусне програмне забезпечення у всіх системах, на які зазвичай впливає шкідливе програмне забезпечення".

Проникливий стовпчик керівництва PCIDSS конкретно визначає основні рамки, комп'ютери середнього класу та подібні системи, на даний момент, можливо, не націлюються на них або впливають зловмисне програмне забезпечення, але слід контролювати поточний фактичний рівень загрози, бути в курсі оновлень безпеки постачальника та вживати заходів щодо вирішення нової безпеки вразливості (не обмежуються зловмисним програмним забезпеченням).

Тож після вказівки на список близько 50 вірусів Linux від http://en.wikipedia.org/wiki/Linux_malware порівняно з мільйонами відомих вірусів для інших операційних систем, легко аргументувати Linux-сервер, щоб не постраждати. . "Основний набір правил" від https://wiki.ubuntu.com/BasicSecurity також є цікавим покажчиком для більшості аудиторів, орієнтованих на Windows.

А ваші apticron-сповіщення про очікувані оновлення безпеки та запуску перевірок цілісності, такі як AIDE або Samhain, можуть більш точно вирішити фактичні ризики, ніж звичайний сканер вірусів. Це також може переконати аудитора у тому, що він не вводить ризик встановлення іншим чином непотрібного програмного забезпечення (яке надає обмежену вигоду, може спричинити загрозу безпеці або просто зламати).

Якщо це не допомагає: встановлення clamav як щоденного cronjob не шкодить так само, як інші програмні засоби.

Цього року сервери DNS стали популярними серед аудиторів PCI.

Важливо визнати, що хоча DNS-сервери не обробляють конфіденційні дані, вони підтримують ваше середовище. Таким чином, аудитори починають позначати ці пристрої як "PCI, що підтримуються", подібно до серверів NTP. Аудитори зазвичай застосовують інший набір вимог до середовищ, що підтримують PCI, ніж самі середовища PCI.

Я хотів би поговорити з аудиторами і попросити їх роз'яснити різницю в їхніх вимогах між підтримкою PCI та PCI, просто щоб переконатися, що ця вимога випадково не прокралась. Нам потрібно було переконатися, що наші сервери DNS відповідають правилам загартовування схожим до середовища PCI, але антивірус не був однією з вимог, з якими ми стикалися.

Це могло бути реакцією на коліна на вулкан, який вважає, що це може вплинути на зв'язок.

EDIT: Не впевнений, що це колись було доведено чи підтверджено.

Якщо ваші DNS-сервери потрапляють у сферу PCI DSS, можливо, ви змушені будете запускати AV на них (хоча в більшості випадків це абсолютно нерозумно). Ми використовуємо ClamAV.

Якщо це відповідність SOX, вони, швидше за все, говорять про встановлення антивірусу, оскільки десь у вас є політика, яка говорить про те, що на всіх серверах має бути встановлено антивірус. А цей ні.

Або напишіть виняток з політики цього сервера або встановіть AV.

Існує два основних види серверів DNS: авторитетний та рекурсивний. Авторитетний сервер DNS повідомляє світ , що IP - адреса має використовуватися для кожного хоста в домені. Останнім часом стало можливим асоціювати інші дані з іменем, наприклад, політику фільтрації електронної пошти (SPF) та криптографічні сертифікати (DANE). Розпізнавач або рекурсивний сервер DNS, шукає інформацію , пов'язану з доменними іменами, використовуючи кореневі сервери ( .) для пошуку серверів в реєстрі ( .com), використовуючи ті , щоб знайти авторитетні сервера вивільнюваних доменів ( serverfault.com), і , нарешті , з допомогою тих , щоб знайти імена хостів ( serverfault.com, meta.serverfault.com, тощо).

Я не бачу, як «антивірус» підходив би для авторитетного сервера. Але практичний «антивірус» для резолюції передбачає блокування пошуку доменів, пов’язаних з розповсюдженням, командою та керуванням шкідливим програмним забезпеченням. Google dns block malwareабо dns sinkholeприніс декілька результатів, які можуть допомогти вам захистити вашу мережу, захистивши її роздільники. Це не той самий антивірус, який ви запускали на клієнтському / настільному верстаті, але пропонування його стороні, відповідальній за вимогу "антивірус", може дати відповідь, яка допоможе вам краще зрозуміти природу вимоги "антивірус". .

Пов’язані запитання на інших сайтах Stack Exchange:

• Як хтось може занурити домени?

Краще запустити Tripwire або AIDE