Execute o software antivírus nos servidores DNS linux. Isso faz sentido?

Durante uma auditoria recente, fomos solicitados a instalar software antivírus em nossos servidores DNS que executam o Linux (bind9). Os servidores não foram comprometidos durante o teste de penetração, mas essa foi uma das recomendações fornecidas.

1. Normalmente, o software antivírus linux é instalado para verificar o tráfego destinado aos usuários, então qual é o objetivo de instalar o antivírus em um servidor DNS?

2. Qual a sua opinião sobre a proposta?

3. Você realmente executa software antivírus em seus servidores Linux?

4. Em caso afirmativo, qual software antivírus você recomendaria ou está usando atualmente?

Um aspecto disso é que recomendar o "antivírus" para tudo é uma aposta segura para o auditor.

As auditorias de segurança não são inteiramente sobre segurança técnica real. Muitas vezes, eles também limitam a responsabilidade no caso de uma ação judicial.

Digamos que sua empresa foi invadida e uma ação coletiva foi movida contra você. Sua responsabilidade específica pode ser mitigada com base em quão bem você seguiu os padrões do setor. Digamos que os auditores não recomendaram o AV neste servidor, portanto você não o instala.

Sua defesa é que você seguiu as recomendações de um auditor respeitado e passou o dinheiro por assim dizer. Aliás, essa é a principal razão pela qual usamos auditores de terceiros. Observe que a transferência de responsabilidade geralmente está escrita no contrato que você assina com os auditores: se você não seguir as recomendações deles, tudo depende de você.

Bem, os advogados investigarão o auditor como um possível co-réu. Em nossa situação hipotética, o fato de eles não terem recomendado o AV em um servidor específico será visto como não sendo completo. Isso por si só os machucaria nas negociações, mesmo que não tivesse absolutamente nenhuma influência no ataque real.

A única coisa fiscalmente responsável por uma empresa de auditoria é ter uma recomendação padrão para todos os servidores, independentemente da superfície de ataque real. Neste caso, AV em tudo . Em outras palavras, eles recomendam uma marreta, mesmo quando um bisturi é tecnicamente superior devido a razões legais.

Faz sentido técnico? Geralmente não, pois geralmente aumenta o risco. Faz sentido para advogados, um juiz ou mesmo um júri? Absolutamente, eles não são tecnicamente competentes e incapazes de entender as nuances. É por isso que você precisa cumprir.

A @ewwhite recomendou que você conversasse com o auditor sobre isso. Eu acho que esse é o caminho errado. Em vez disso, você deve conversar com o advogado da sua empresa para obter sua opinião sobre o não cumprimento dessas solicitações.

Às vezes, os auditores são idiotas ...

Esta é uma solicitação incomum, no entanto. Eu contrariaria a recomendação dos auditores, protegendo / limitando o acesso aos servidores, adicionando um IDS ou monitoramento de integridade de arquivos ou reforçando a segurança em outras partes do seu ambiente. O antivírus não tem nenhum benefício aqui.

Editar:

Conforme observado nos comentários abaixo, eu participei do lançamento de um site de alto nível aqui nos EUA e fui responsável por projetar a arquitetura de referência Linux para conformidade com HIPAA.

Quando o assunto do Antivírus foi discutido, recomendamos o ClamAV e um firewall de aplicativo para processar envios de usuários finais, mas conseguimos evitar o AV em todos os sistemas implementando controles de compensação ( IDS de terceiros , registro de sessão, auditoria, syslog remoto, autenticação de dois fatores para a VPN e servidores, monitoramento de integridade de arquivos AIDE, criptografia de banco de dados de terceiros, estruturas malucas de sistema de arquivos , etc.) . Estes foram considerados aceitáveis ​​pelos auditores e tudo foi aprovado.

A primeira coisa que você precisa entender sobre os auditores é que eles podem não saber nada sobre como a tecnologia no escopo é usada no mundo real.

Há muitas vulnerabilidades e problemas de segurança do DNS que devem ser abordados em uma auditoria. Eles nunca chegarão aos problemas reais se forem distraídos por objetos brilhantes como a caixa de seleção "antivírus em um servidor DNS".

O típico software antivírus moderno tenta encontrar com mais precisão o malware e não se limita apenas aos vírus. Dependendo da implementação real de um servidor (caixa dedicada para um serviço dedicado, contêiner em uma caixa compartilhada, serviço adicional no "único servidor"), provavelmente não é uma má idéia ter algo como ClamAV ou LMD (Linux Malware Detect) instalado e faça uma verificação extra a cada noite ou mais.

Quando solicitado em uma auditoria, escolha o requisito exato e dê uma olhada nas informações que o acompanham. Motivo: muitos auditores não leem todos os requisitos, não conhecem o contexto e as informações de orientação.

Como exemplo, o PCIDSS declara "implantar software antivírus em todos os sistemas comumente afetados pelo software malicioso" como requisito.

A perspicaz coluna de orientação do PCIDSS especifica especificamente mainframes, computadores de médio porte e sistemas similares atualmente não podem ser comumente afetados ou afetados por malware, mas deve-se monitorar o atual nível de ameaça atual, estar ciente das atualizações de segurança do fornecedor e implementar medidas para lidar com a nova segurança vulnerabilidades (não limitadas a malware).

Portanto, depois de apontar para a lista de cerca de 50 vírus Linux em http://en.wikipedia.org/wiki/Linux_malware em comparação com os milhões de vírus conhecidos para outros sistemas operacionais, é fácil argumentar que um servidor Linux não seja afetado normalmente . O "conjunto mais básico de regras" de https://wiki.ubuntu.com/BasicSecurity também é um indicador interessante para a maioria dos auditores focados no Windows.

E seus alertas apticron sobre atualizações de segurança pendentes e execução de verificadores de integridade como AIDE ou Samhain podem abordar com mais precisão os riscos reais do que um antivírus padrão. Isso também pode convencer seu auditor a não apresentar o risco de instalar um software desnecessário (que fornece um benefício limitado, pode impor um risco à segurança ou simplesmente quebrar).

Se isso não ajudar: a instalação do clamav como cronograma diário não é tão prejudicial quanto outros softwares.

Os servidores DNS tornaram-se populares entre os auditores PCI este ano.

O importante a reconhecer é que, embora os servidores DNS não tratem dados confidenciais, eles suportam seus ambientes. Dessa forma, os auditores estão começando a sinalizar esses dispositivos como "suporte a PCI", semelhante aos servidores NTP. Os auditores geralmente aplicam um conjunto diferente de requisitos aos ambientes de suporte PCI do que os próprios ambientes PCI.

Eu falava com os auditores e pedia que eles esclarecessem a diferença em seus requisitos entre o suporte ao PCI e ao PCI, apenas para garantir que esse requisito não ocorra acidentalmente. Precisávamos garantir que nossos servidores DNS cumprissem diretrizes de proteção similares para os ambientes PCI, mas o antivírus não era um dos requisitos que enfrentamos.

Isso poderia ter sido uma reação instintiva ao vuln bash do shellshock, foi sugerido online que o vínculo poderia ser afetado.

EDIT: Não tenho certeza se alguma vez foi provado ou confirmado.

Se seus servidores DNS estiverem no escopo do PCI DSS, você poderá ser forçado a executar o AV neles (mesmo que na maioria dos casos seja totalmente bobo). Nós usamos o ClamAV.

Se isso é para conformidade com SOX, eles estão pedindo para você instalar antivírus, provavelmente porque em algum lugar você tem uma política que diz que todos os servidores devem ter antivírus instalado. E este não.

Escreva uma exceção para a política deste servidor ou instale o AV.

Existem dois tipos principais de servidores DNS: autoritativos e recursivos. Um servidor DNS autoritário diz ao mundo quais endereços IP devem ser usados ​​para cada nome de host em um domínio. Ultimamente, tornou-se possível associar outros dados a um nome, como políticas de filtragem de email (SPF) e certificados criptográficos (DANE). Um resolvedor , ou recursiva servidor DNS, olha para cima informação associada com nomes de domínio, usando os servidores raiz ( .) para encontrar servidores de registro ( .com), usando aqueles para encontrar servidores autoritários domínios ( serverfault.com), e, finalmente, usar aqueles para encontrar nomes de host ( serverfault.com, meta.serverfault.com, etc.)

Não vejo como o "antivírus" seria adequado para um servidor autorizado. Mas "antivírus" prático para um resolvedor envolveria o bloqueio da pesquisa de domínios associados à distribuição ou ao comando e controle de malware. Google dns block malwareou dns sinkholetrouxe alguns resultados que podem ajudá-lo a proteger sua rede, protegendo seus resolvedores. Esse não é o mesmo tipo de antivírus que você executaria em uma máquina cliente / desktop, mas propor isso à parte responsável pelo requisito "antivírus" pode produzir uma resposta que ajuda a entender melhor a natureza do requisito "antivírus" .

Perguntas relacionadas em outros sites do Stack Exchange:

• Como alguém pode cavar domínios?

Melhor executar o Tripwire ou o AIDE