Esegui software antivirus su server DNS Linux. Ha senso?

40

Durante un recente audit ci è stato chiesto di installare software antivirus sui nostri server DNS che eseguono Linux (bind9). I server non sono stati compromessi durante i test di penetrazione, ma questa è stata una delle raccomandazioni fornite.

  1. Di solito viene installato un software antivirus Linux per scansionare il traffico destinato agli utenti, quindi qual è l'obiettivo di installare l'antivirus su un server DNS?

  2. Qual è la tua opinione sulla proposta?

  3. Esegui effettivamente software antivirus sui tuoi server linux?

  4. In tal caso, quale software antivirus consiglieresti o stai attualmente utilizzando?

linux  domain-name-system  bind  anti-virus  pci-dss 
John Dimitriou
fonte
10
ho installato solo antivirus su server di posta linux, per la scansione di virus negli allegati di posta, non vedo alcun senso installare antivirus su server DNS.
c4f4t0r
11
Sì, questo non ha alcun senso. Chiedere alla società di chiarire tale raccomandazione.
Michael Hampton
Quale software antivirus vogliono che tu installi?
Matt,
Sono tentato di chiamare "basato principalmente sull'opinione", perché ritengo che un caso legittimo possa essere sollevato al contrario delle risposte popolari finora. :)
Ryan Ries,
1
Ci siamo trovati in questa posizione - non specificamente con DNS ma i server Linux in generale - e sebbene siamo d'accordo con l'argomento contro, alla fine è stato solo un esercizio di box ticking che ci siamo stancati di combattere. Quindi eseguiamo ESET Antivirus gestito centralmente su tutti i server.
HTTP500,

Risposte:

11

Un aspetto di questo è che raccomandare "antivirus" di essere su tutto è una scommessa sicura, per il revisore.

Gli audit di sicurezza non riguardano interamente la sicurezza tecnica effettiva. Spesso si tratta anche di limitare la responsabilità in caso di causa.

Supponiamo che la tua azienda sia stata hackerata e che sia stata intentata una causa legale contro di te. La tua responsabilità specifica può essere mitigata in base al modo in cui hai seguito gli standard del settore. Supponiamo che i revisori non abbiano raccomandato AV su questo server, quindi non lo si installa.

La tua difesa in questo è che hai seguito le raccomandazioni di un revisore dei conti rispettato e passare il dollaro per così dire. Per inciso, questa è la ragione principale per cui utilizziamo revisori di terze parti. Nota che il trasferimento di responsabilità è spesso scritto nel contratto che firmi con i revisori: se non segui le loro raccomandazioni, dipende solo da te.

Bene, gli avvocati esamineranno quindi il revisore come possibile co-imputato. Nella nostra ipotetica situazione, il fatto che non abbiano raccomandato AV su un determinato server sarà visto come non accurato. Solo questo li ferirebbe nei negoziati, anche se non aveva assolutamente alcuna attinenza con l'attacco reale.

L'unica cosa fiscalmente responsabile che una società di revisione deve fare è avere una raccomandazione standard per tutti i server indipendentemente dall'effettiva superficie di attacco. In questo caso, AV su tutto . In altre parole, raccomandano una mazza anche quando un bisturi è tecnicamente superiore a causa del ragionamento legale.

Ha un senso tecnico? Generalmente no, poiché di solito aumenta il rischio. Ha senso per gli avvocati, un giudice o persino una giuria? Assolutamente, non sono tecnicamente competenti e incapaci di comprendere le sfumature. Ecco perché è necessario rispettare.

@ewwhite ti ha raccomandato di parlarne con il revisore. Penso che sia la strada sbagliata. Invece dovresti parlare con il procuratore della tua azienda per ottenere la loro opinione sul non seguire queste richieste.

Non me
fonte
2
Ecco perché siamo trattenuti. A / working / AV è poca difesa per un server Linux nella maggior parte dei casi in quanto difende davvero solo il caso di qualcuno che lo utilizza per distribuire malware.
joshudson,
5
Se sei su una macchina rinforzata, un AV sarà probabilmente l'unico software installato sul server che ha una backdoor integrata, ovvero autoupdater. Inoltre, se si riesce a rendere di sola lettura tutti gli archivi pertinenti, l'AV sarà l'unico software che richiede l'accesso in scrittura per aggiornare la propria firma.
Lie Ryan,
1
Non posso essere d'accordo con il punto di non parlare con i revisori. I revisori commettono errori più spesso di quanto non voglia ammettere. Non c'è nulla di sbagliato nel raggiungere una comprensione reciproca del fatto che il revisore abbia commesso un errore - assicurati solo che il riconoscimento sia inequivocabile.
Andrew B,
1
@AndrewB: Non credo di dire MAI di parlare con gli auditor. Piuttosto, una discussione con i vostri rappresentanti legali PRIMA di quello sarebbe il modo migliore per procedere. La società deve comprendere appieno il rischio di negoziare con i revisori prima di provare a seguire questa strada.
NotMe
31

A volte i revisori sono idioti ...

Questa è una richiesta non comune, però. Contrasterei la raccomandazione dei revisori proteggendo / limitando l'accesso ai server, aggiungendo un IDS o il monitoraggio dell'integrità dei file o rafforzando la sicurezza altrove nel proprio ambiente. L'antivirus non ha alcun vantaggio qui.

Modificare:

Come notato nei commenti qui sotto, sono stato coinvolto nel lancio di un molto sito Web di alto profilo qui negli Stati Uniti, ed ero responsabile della progettazione dell'architettura di riferimento Linux per la conformità HIPAA.

Quando è stata discussa la questione dell'antivirus, abbiamo raccomandato ClamAV e un firewall dell'applicazione per elaborare gli invii degli utenti finali, ma siamo riusciti a evitare di avere AV su tutti i sistemi implementando controlli compensativi ( ID di terze parti , registrazione delle sessioni, auditd, syslog remoto, autenticazione a due fattori per VPN e server, monitoraggio dell'integrità dei file AIDE, crittografia DB di terze parti, strutture di filesystem pazze , ecc . ) . Questi sono stati ritenuti accettabili dai revisori e tutto è stato approvato.

ewwhite
fonte
2
+1. Ci sono molte cose in cui puoi spendere risorse: tempo, denaro ed energia che forniscono ritorno alla tua azienda. Forse uno dei revisori ha letto sull'avvelenamento da DNS e pensa che questa sia una cura. Il ritorno su questo è trascurabile.
jim mcnamara,
Tutti questi sono già in atto: meccanismi di monitoraggio delle prestazioni, IPS, firewall di rete e ovviamente iptables sul server.
John Dimitriou,
@JohnDimitriou Allora sei in ottima forma. La raccomandazione Antivirus è un po 'strana. Chiedere ai revisori di chiarire.
ewwhite,
1
@ChrisLively Ciò è avvenuto durante la progettazione di un po ' di alto profilo ambientale su cui stavo lavorando scorso anno. Abbiamo finito con ClamAV sui sistemi in cui accettavamo i dati inviati dagli utenti. Tuttavia, abbiamo evitato l'AV su altri sistemi Linux delineando i nostri controlli compensativi e giungendo a un accordo con i revisori.
ewwhite,
Direi che fintanto che hai dimostrato di aver "sufficientemente mitigato il rischio" e che i revisori stanno effettivamente firmando l'accettazione, la responsabilità legale è probabilmente soddisfatta. Certo, sono sicuro che i contratti e le altre leggi che circondano quel particolare ambiente potrebbero renderlo un po 'unico.
NotMe
17

La prima cosa che devi capire sui revisori è che potrebbero non sapere nulla su come viene utilizzata la tecnologia nell'ambito nel mondo reale.

Esistono molte vulnerabilità e problemi di sicurezza DNS che devono essere affrontati in un controllo. Non potranno mai affrontare i veri problemi se sono distratti da oggetti luminosi e lucenti come la casella di controllo "antivirus su un server DNS".

Greg Askew
fonte
10

Il tipico software antivirus moderno tenta in modo più accurato di trovare malware e non si limita ai virus. A seconda dell'implementazione effettiva di un server (box dedicato per un servizio dedicato, container su box condiviso, servizio aggiuntivo su "l'unico server"), probabilmente non è una cattiva idea avere qualcosa come ClamAV o LMD (Linux Malware Detect) installato ed esegui qualche scansione extra ogni notte o giù di lì.

Quando viene richiesto in un controllo, selezionare l'esatto requisito e dare un'occhiata alle informazioni di accompagnamento. Perché: troppi revisori non leggono l'intero requisito, non sono a conoscenza del contesto e delle informazioni di orientamento.

Ad esempio, PCIDSS afferma come requisito "distribuire software antivirus su tutti i sistemi comunemente colpiti da software dannoso".

L'intuitiva colonna guida PCIDSS afferma in particolare che mainframe, computer di fascia media e sistemi simili potrebbero attualmente non essere comunemente colpiti o interessati da malware, ma si dovrebbe monitorare l'attuale livello di minaccia attuale, essere consapevoli degli aggiornamenti di sicurezza del fornitore e implementare misure per affrontare la nuova sicurezza vulnerabilità (non limitate al malware).

Quindi, dopo aver indicato l'elenco di circa 50 virus Linux da http://en.wikipedia.org/wiki/Linux_malware rispetto ai milioni di virus noti per altri sistemi operativi, è facile argomentare che un server Linux non sia interessato . Il "set di regole più basilare" da https://wiki.ubuntu.com/BasicSecurity è anche un puntatore interessante per la maggior parte dei revisori basati su Windows.

E i tuoi avvisi apticron sugli aggiornamenti di sicurezza in sospeso e l'esecuzione di controlli di integrità come AIDE o Samhain possono affrontare in modo più accurato i rischi effettivi rispetto a uno scanner antivirus standard. Ciò può anche convincere il revisore dei conti a non introdurre il rischio di installare un software altrimenti non necessario (che offre un vantaggio limitato, può comportare un rischio per la sicurezza o semplicemente rompersi).

Se ciò non aiuta: l'installazione di clamav come cronjob quotidiano non fa molto male come altri software.

knoepfchendruecker
fonte
7

I server DNS sono diventati popolari tra i revisori PCI quest'anno.

La cosa importante da riconoscere è che mentre i server DNS non gestiscono dati sensibili, supportano i tuoi ambienti che lo fanno. Pertanto, i revisori stanno iniziando a contrassegnare questi dispositivi come "PCI supporting", simile ai server NTP. I revisori in genere applicano una serie diversa di requisiti agli ambienti di supporto PCI rispetto agli ambienti PCI stessi.

Vorrei parlare con i revisori e chiedere loro di chiarire la differenza nei loro requisiti tra il supporto PCI e PCI, solo per assicurarsi che questo requisito non si sia intrufolato accidentalmente. Avevamo bisogno di assicurarci che i nostri server DNS soddisfacessero simili linee guida agli ambienti PCI, ma l'antivirus non era uno dei requisiti che abbiamo dovuto affrontare.

Andrew B
fonte
2

Questa potrebbe essere stata una reazione istintiva alla cacca della conchiglia, è stato suggerito online che il legame potrebbe essere influenzato.

EDIT: Non sono sicuro che sia mai stato provato o confermato.

D Whyte
fonte
11
Per il quale, stranamente, il software antivirus non sarebbe di alcun aiuto.
Bert,
@Bert non è in grado di rilevare l'antivirus bash vulnerabile?
Basilevs,
shellshock era già stato patchato e i server hanno superato con successo i test
John Dimitriou,
Ehi ... non sto dicendo che sarà di aiuto, sto solo dicendo che probabilmente è quello che hanno considerato utile.
D Whyte,
2

Se i tuoi server DNS rientrano nell'ambito PCI DSS, potresti essere costretto a eseguire AV su di essi (anche se nella maggior parte dei casi è assolutamente stupido). Usiamo ClamAV.

Brian Knoblauch
fonte
1

Se questo è per la conformità SOX, ti stanno dicendo di installare l'antivirus, molto probabilmente, perché da qualche parte hai una politica che dice che tutti i server devono avere installato l'antivirus. E questo no.

Scrivi un'eccezione alla politica per questo server o installa AV.

conigliera
fonte
1

Esistono due tipi principali di server DNS: autorevole e ricorsivo. Un server DNS autorevole dice al mondo quali indirizzi IP dovrebbero essere usati per ciascun nome host all'interno di un dominio. Ultimamente è diventato possibile associare altri dati a un nome, come i criteri di filtro della posta elettronica (SPF) e i certificati crittografici (DANE). Un server DNS risolutore o ricorsivo cerca informazioni associate ai nomi di dominio, utilizzando i server radice ( .) per trovare i server di registro ( .com), usando quelli per trovare i server autorevoli dei domini ( serverfault.com) e infine usando quelli per trovare i nomi host ( serverfault.com,meta.serverfault.com , eccetera.).

Non riesco a vedere come "antivirus" sarebbe adatto per un server autorevole. Ma un "antivirus" pratico per un risolutore implicherebbe il blocco della ricerca di domini associati alla distribuzione o al comando e controllo del malware. Google dns block malwareo ha dns sinkholeportato alcuni risultati che potrebbero aiutarti a proteggere la tua rete proteggendo i suoi resolver. Questo non è lo stesso tipo di antivirus che avresti eseguito su una macchina client / desktop, ma proponendolo alla parte responsabile del requisito "antivirus" potrebbe produrre una risposta che ti aiuti a capire meglio la natura del requisito "antivirus" .

Domande correlate su altri siti Stack Exchange:

Damian Yerrick
fonte
Come sta descrivendo un antivirus? Sembra un incrocio tra un filtro antispam e un firewall. Per me, è come dire che iptables è un software antivirus.
Patrick M,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.