Chạy phần mềm chống vi-rút trên máy chủ DNS linux. Liệu nó có ý nghĩa?

Trong một cuộc kiểm toán gần đây, chúng tôi đã được yêu cầu cài đặt phần mềm chống vi-rút trên các máy chủ DNS đang chạy linux (bind9). Các máy chủ không bị xâm phạm trong quá trình kiểm tra thâm nhập nhưng đây là một trong những khuyến nghị được đưa ra.

1. Thông thường phần mềm chống vi-rút linux được cài đặt để quét lưu lượng truy cập đến người dùng, vậy mục tiêu để cài đặt phần mềm chống vi-rút trên máy chủ dns là gì?

2. Ý kiến ​​của bạn về đề xuất này là gì?

3. Bạn có thực sự chạy phần mềm chống vi-rút trên máy chủ linux của bạn?

4. Nếu vậy, phần mềm chống vi-rút nào bạn muốn giới thiệu hoặc bạn hiện đang sử dụng?

Một khía cạnh của điều này là khuyến nghị "chống vi-rút" trên mọi thứ là đặt cược an toàn, cho kiểm toán viên.

Kiểm toán an ninh không hoàn toàn về an toàn kỹ thuật thực tế. Thông thường họ cũng về việc giới hạn trách nhiệm trong trường hợp vụ kiện.

Giả sử công ty của bạn đã bị hack và một vụ kiện tập thể đã được đệ trình chống lại bạn. Trách nhiệm cụ thể của bạn có thể được giảm nhẹ dựa trên mức độ bạn tuân theo các tiêu chuẩn ngành. Giả sử các kiểm toán viên không khuyến nghị AV trên máy chủ này, vì vậy bạn không cài đặt nó.

Bảo vệ của bạn trong việc này là bạn đã làm theo các khuyến nghị của một kiểm toán viên được kính trọng và vượt qua mọi thứ để nói. Ngẫu nhiên, đó là lý do CHÍNH HÃNG chúng tôi sử dụng kiểm toán viên bên thứ ba. Lưu ý rằng việc chuyển trách nhiệm thường được ghi vào hợp đồng mà bạn ký với kiểm toán viên: nếu bạn không làm theo khuyến nghị của họ, tất cả là do bạn.

Vâng, luật sư sau đó sẽ điều tra kiểm toán viên như là một đồng phạm có thể. Trong tình huống giả định của chúng tôi, việc họ không khuyến nghị AV trên một máy chủ cụ thể sẽ bị coi là không kỹ lưỡng. Điều đó một mình sẽ làm tổn thương họ trong các cuộc đàm phán ngay cả khi nó hoàn toàn không có liên quan đến cuộc tấn công thực tế.

Điều duy nhất chịu trách nhiệm về tài chính đối với một công ty kiểm toán phải làm là có một khuyến nghị tiêu chuẩn cho tất cả các máy chủ bất kể bề mặt tấn công thực tế. Trong trường hợp này, AV trên tất cả mọi thứ . Nói cách khác, họ khuyên dùng búa tạ ngay cả khi dao mổ vượt trội về mặt kỹ thuật do lý do pháp lý.

Liệu nó có ý nghĩa kỹ thuật? Nói chung là không vì nó thường làm tăng rủi ro. Liệu nó có ý nghĩa với luật sư, thẩm phán hoặc thậm chí là bồi thẩm đoàn? Tuyệt đối, họ không đủ năng lực kỹ thuật và không có khả năng hiểu được các sắc thái. Đó là lý do tại sao bạn cần phải tuân thủ.

@ewwhite khuyên bạn nên nói chuyện với kiểm toán viên về việc này. Tôi nghĩ đó là con đường sai. Thay vào đó, bạn nên nói chuyện với luật sư của công ty bạn để có ý kiến ​​của họ về việc không tuân theo các yêu cầu này.

Đôi khi kiểm toán viên là những kẻ ngốc ...

Đây là yêu cầu không phổ biến, mặc dù. Tôi sẽ chống lại khuyến nghị của kiểm toán viên bằng cách bảo mật / giới hạn quyền truy cập vào máy chủ, thêm IDS hoặc giám sát toàn vẹn tệp hoặc tăng cường bảo mật ở những nơi khác trong môi trường của bạn. Antivirus không có bất kỳ lợi ích ở đây.

Biên tập:

Như đã lưu ý trong các bình luận bên dưới, tôi đã tham gia vào việc ra mắt một trang web rất cao ở Mỹ và chịu trách nhiệm thiết kế kiến ​​trúc tham chiếu Linux cho tuân thủ HIPAA.

Khi vấn đề về Antivirus được đưa ra để thảo luận, chúng tôi đã đề xuất ClamAV và tường lửa ứng dụng để xử lý đệ trình từ người dùng cuối, nhưng đã tránh được AV trên tất cả các hệ thống bằng cách thực hiện các điều khiển bù ( IDS của bên thứ 3 , ghi nhật ký phiên, kiểm toán, syslog từ xa, xác thực hai yếu tố cho VPN và máy chủ, giám sát toàn vẹn tệp AIDE, mã hóa DB của bên thứ 3, cấu trúc hệ thống tệp điên , v.v.) . Chúng được các kiểm toán viên coi là chấp nhận được, và tất cả đã được phê duyệt.

Điều đầu tiên bạn cần hiểu về kiểm toán viên là họ có thể không biết gì về cách công nghệ trong phạm vi được sử dụng trong thế giới thực.

Có rất nhiều lỗ hổng bảo mật DNS và các vấn đề cần được giải quyết trong một cuộc kiểm toán. Họ sẽ không bao giờ gặp phải các vấn đề thực sự nếu họ bị phân tâm bởi các đối tượng sáng bóng như hộp kiểm "chống vi-rút trên máy chủ DNS".

Phần mềm chống vi-rút hiện đại điển hình cố gắng tìm phần mềm độc hại chính xác hơn và không chỉ giới hạn đối với vi-rút. Tùy thuộc vào việc triển khai thực tế của một máy chủ (hộp dành riêng cho dịch vụ chuyên dụng, thùng chứa trên hộp chia sẻ, dịch vụ bổ sung trên "máy chủ duy nhất"), có lẽ không phải là ý tưởng tồi khi có thứ gì đó như ClamAV hoặc LMD (Phát hiện phần mềm độc hại Linux) cài đặt và thực hiện một số quét thêm mỗi đêm hoặc lâu hơn.

Khi được hỏi trong một cuộc kiểm toán, xin vui lòng chọn yêu cầu chính xác và xem xét các thông tin kèm theo. Tại sao: quá nhiều kiểm toán viên không đọc yêu cầu đầy đủ, không nhận thức được bối cảnh và thông tin hướng dẫn.

Ví dụ, PCIDSS nêu rõ "triển khai phần mềm chống vi-rút trên tất cả các hệ thống thường bị ảnh hưởng bởi phần mềm độc hại" là một yêu cầu.

Cột hướng dẫn PCIDSS sâu sắc nêu cụ thể các máy tính lớn, máy tính tầm trung và các hệ thống tương tự hiện có thể không được nhắm mục tiêu hoặc bị ảnh hưởng bởi phần mềm độc hại, nhưng bạn nên theo dõi mức độ đe dọa thực tế hiện tại, lưu ý các cập nhật bảo mật của nhà cung cấp và thực hiện các biện pháp để giải quyết bảo mật mới lỗ hổng (không giới hạn ở phần mềm độc hại).

Vì vậy, sau khi chỉ vào danh sách khoảng 50 virus Linux từ http://en.wikipedia.org/wiki/Linux_malware so với hàng triệu virus đã biết cho các hệ điều hành khác, thật dễ dàng để tranh luận rằng máy chủ Linux không bị ảnh hưởng phổ biến . "Bộ quy tắc cơ bản nhất" từ https://wiki.ubfox.com/BasicSecurity cũng là một con trỏ thú vị cho hầu hết các kiểm toán viên tập trung vào Windows.

Và apticron của bạn - cảnh báo về các bản cập nhật bảo mật đang chờ xử lý và chạy trình kiểm tra tính toàn vẹn như AIDE hoặc Samhain có thể giải quyết chính xác hơn các rủi ro thực tế so với trình quét vi rút tiêu chuẩn. Điều này cũng có thể thuyết phục kiểm toán viên của bạn không đưa ra rủi ro khi cài đặt một phần mềm không cần thiết (mang lại lợi ích hạn chế, có thể gây ra rủi ro bảo mật hoặc đơn giản là phá vỡ).

Nếu điều đó không có ích: cài đặt clamav như một cronjob hàng ngày sẽ không ảnh hưởng nhiều như các phần mềm khác.

Máy chủ DNS đã trở nên phổ biến với các kiểm toán viên PCI trong năm nay.

Điều quan trọng cần nhận ra là trong khi các máy chủ DNS không xử lý dữ liệu nhạy cảm, chúng hỗ trợ các môi trường của bạn. Do đó, các kiểm toán viên đang bắt đầu gắn cờ các thiết bị này là "hỗ trợ PCI", tương tự như các máy chủ NTP. Kiểm toán viên thường áp dụng một tập hợp các yêu cầu khác nhau cho các môi trường hỗ trợ PCI so với chính các môi trường PCI.

Tôi sẽ nói chuyện với các kiểm toán viên và yêu cầu họ làm rõ sự khác biệt về yêu cầu giữa hỗ trợ PCI và PCI, để đảm bảo rằng yêu cầu này không vô tình lẻn vào. Chúng tôi cần đảm bảo rằng các máy chủ DNS của chúng tôi đáp ứng các hướng dẫn cứng tương tự đối với môi trường PCI, nhưng chống vi-rút không phải là một trong những yêu cầu chúng tôi phải đối mặt.

Đây có thể là một phản ứng giật đầu gối đối với bash shellshock, nó được đề xuất trực tuyến rằng liên kết có thể bị ảnh hưởng.

EDIT: Không chắc chắn nó đã từng được chứng minh hoặc xác nhận.

Nếu máy chủ DNS của bạn rơi vào phạm vi PCI DSS, bạn có thể bị buộc phải chạy AV trên chúng (mặc dù trong hầu hết các trường hợp, nó hoàn toàn ngớ ngẩn). Chúng tôi sử dụng ClamAV.

Nếu điều này là để tuân thủ SOX, rất có thể họ đang bảo bạn cài đặt phần mềm chống vi-rút, bởi vì ở đâu đó bạn có chính sách nói rằng tất cả các máy chủ phải được cài đặt phần mềm chống vi-rút. Và cái này thì không.

Viết một ngoại lệ cho chính sách cho máy chủ này hoặc cài đặt AV.

Có hai loại máy chủ DNS chính: có thẩm quyền và đệ quy. Một máy chủ DNS có thẩm quyền cho thế giới biết địa chỉ IP nào sẽ được sử dụng cho mỗi tên máy chủ trong một tên miền. Gần đây, có thể liên kết các dữ liệu khác với một tên, chẳng hạn như chính sách lọc e-mail (SPF) và chứng chỉ mật mã (Dane). Một phân giải , hoặc đệ quy máy chủ DNS, nhìn lên thông tin liên quan đến tên miền, sử dụng các máy chủ gốc ( .) để tìm máy chủ đăng ký ( .com), sử dụng những để tìm các máy chủ có thẩm quyền lĩnh vực ( serverfault.com), và cuối cùng là sử dụng những để tìm hostname ( serverfault.com, meta.serverfault.com, Vân vân.).

Tôi không thể thấy "phần mềm chống vi-rút" sẽ phù hợp như thế nào đối với một máy chủ có thẩm quyền. Nhưng "phần mềm chống vi-rút" thực tế cho trình phân giải sẽ liên quan đến việc chặn tra cứu các tên miền liên quan đến phân phối hoặc lệnh và kiểm soát phần mềm độc hại. Google dns block malwarehoặc dns sinkholemang lại một vài kết quả có thể giúp bạn bảo vệ mạng của mình bằng cách bảo vệ các trình phân giải của nó. Đây không phải là loại chống vi-rút tương tự mà bạn chạy trên máy khách / máy tính để bàn, nhưng đề xuất nó cho bên chịu trách nhiệm về yêu cầu "chống vi-rút" có thể tạo ra câu trả lời giúp bạn hiểu rõ hơn về bản chất của yêu cầu "chống vi-rút" .

Các câu hỏi liên quan trên các trang web Stack Exchange khác:

• Làm thế nào một người có thể chìm tên miền?

Tốt hơn để chạy Tripwire hoặc AIDE