Запустите антивирусное программное обеспечение на DNS-серверах Linux. Имеет ли это смысл?

40

Во время недавнего аудита нам было предложено установить антивирусное программное обеспечение на наших DNS-серверах, работающих под управлением Linux (bind9). Серверы не были скомпрометированы во время тестирования на проникновение, но это была одна из приведенных рекомендаций.

  1. Обычно антивирусное программное обеспечение linux устанавливается для сканирования трафика, предназначенного для пользователей, так какова цель установки антивируса на DNS-сервер?

  2. Каково ваше мнение о предложении?

  3. Вы действительно запускаете антивирусное программное обеспечение на своих серверах Linux?

  4. Если да, то какое антивирусное программное обеспечение вы бы порекомендовали или используете в настоящее время?

Джон Димитриу
источник
10
Я только установил антивирус на почтовых серверах Linux, для сканирования вирусов в почтовых вложениях, я не вижу смысла устанавливать антивирус на DNS-сервере.
c4f4t0r
11
Да, это не имеет никакого смысла. Попросите компанию уточнить эту рекомендацию.
Майкл Хэмптон
Какое антивирусное программное обеспечение они хотят, чтобы вы установили?
Мэтт
Соблазн назвать «Главным образом основанным на мнении», потому что я чувствую, что можно доказать правдоподобный случай вопреки популярным ответам до сих пор. :)
Райан Райс
1
Мы оказались в этом положении - не только с DNS, но и с серверами Linux в целом - и, хотя мы согласны с аргументом против, в конце концов, мы просто устали сражаться. Таким образом, мы запускаем антивирус ESET с централизованным управлением на всех серверах.
HTTP500

Ответы:

11

Одним из аспектов этого является то, что рекомендация «антивируса» быть на все - безопасная ставка для аудитора.

Аудиты безопасности не полностью касаются фактической технической безопасности. Часто они также касаются ограничения ответственности в случае судебного иска.

Допустим, ваша компания была взломана, и против вас был подан коллективный иск. Ваша конкретная ответственность может быть уменьшена в зависимости от того, насколько хорошо вы следовали отраслевым стандартам. Допустим, аудиторы не рекомендовали AV на этом сервере, поэтому вы не устанавливаете его.

Ваша защита в этом заключается в том, что вы следовали рекомендациям уважаемого одитора и, так сказать, несете ответственность. Кстати, это основная причина, по которой мы привлекаем сторонних аудиторов. Обратите внимание, что перенос ответственности часто записывается в договоре, который вы подписываете с аудиторами: если вы не будете следовать их рекомендациям, это все на вас.

Ну, тогда адвокаты будут расследовать аудитора как возможного обвиняемого. В нашей гипотетической ситуации тот факт, что они не рекомендовали AV на конкретном сервере, будет восприниматься как несущественный. Одно это нанесло бы им ущерб на переговорах, даже если бы оно не имело абсолютно никакого отношения к фактической атаке.

Единственная финансово ответственная вещь для аудиторской компании - это иметь стандартную рекомендацию для всех серверов независимо от фактической поверхности атаки. В этом случае AV на все . Другими словами, они рекомендуют кувалду, даже если скальпель технически лучше по юридическим причинам.

Имеет ли это технический смысл? Как правило, нет, поскольку это обычно увеличивает риск. Имеет ли это смысл для адвокатов, судьи или даже присяжных? Абсолютно, они не технически компетентны и не способны понять нюансы. Вот почему вам нужно соблюдать.

@ewwhite рекомендовал поговорить с аудитором об этом. Я думаю, что это неправильный путь. Вместо этого вы должны поговорить с адвокатом вашей компании , чтобы получить их мнение о не следующие запросы.

Не я
источник
2
Вот почему мы сдерживаемся. A / working / AV в большинстве случаев мало защищает сервер Linux, поскольку на самом деле он защищает только случай, когда кто-то использует его для распространения вредоносных программ.
Джошудсон
5
Если вы находитесь на защищенной машине, вероятно, AV будет единственным программным обеспечением, установленным на сервере, которое имеет встроенный бэкдор, то есть автообновление. Кроме того, если вам удастся сделать все соответствующие хранилища только для чтения, AV будет единственным программным обеспечением, для которого требуется доступ на запись для обновления своей подписи.
Ли Райан
1
Я не могу согласиться с тем, чтобы не говорить с аудиторами. Аудиторы совершают ошибки чаще, чем им хотелось бы признать. Нет ничего плохого в достижении взаимопонимания в том, что одитор допустил ошибку - просто убедитесь, что подтверждение однозначно.
Андрей B
1
@ AndrewB: я не думаю, что я НИКОГДА не говорил с аудиторами. Скорее, обсуждение с вашими юридическими представителями ДО этого было бы лучшим способом продолжить. Компания должна полностью понять риск переговоров с аудиторами, прежде чем идти по этому пути.
NotMe
31

Иногда одиторы идиоты ...

Это необычный запрос, хотя. Я бы отказался от рекомендации аудиторов, обеспечив безопасность / ограничение доступа к серверам, добавив IDS или мониторинг целостности файлов или поддерживая безопасность в других местах вашей среды. Антивирус не имеет здесь никакой пользы.

Редактировать:

Как отмечено в комментариях ниже, я принимал участие в запуске очень громкого веб-сайта здесь, в США, и отвечал за разработку эталонной архитектуры Linux для соответствия требованиям HIPAA.

Когда обсуждался вопрос антивируса, мы порекомендовали ClamAV и брандмауэр приложения для обработки представлений от конечных пользователей, но нам удалось избежать использования AV на всех системах благодаря реализации компенсирующих элементов управления ( сторонние IDS , ведение журнала сеанса, Auditd, удаленный системный журнал, двухфакторная авторизация для VPN и серверов, мониторинг целостности файлов AIDE, стороннее шифрование БД, сумасшедшие структуры файловой системы и т. д.) . Они были признаны аудиторами приемлемыми, и все было одобрено.

ewwhite
источник
2
+1. Есть много вещей, на которые вы можете тратить ресурсы: время, деньги и энергию, которые обеспечивают возврат вашей компании. Возможно, один из аудиторов прочитал об отравлении DNS и считает, что это лекарство. Возврат на это незначителен.
Джим Макнамара
Все это уже работает: механизмы мониторинга производительности, IPS, сетевой брандмауэр и, конечно, iptables на сервере.
Джон Димитриу
@JohnDimitriou Тогда ты в отличной форме. Антивирусная рекомендация немного странная. Попросите аудиторов уточнить.
ewwhite
1
@ChrisLively Это возникло при разработке довольно громкой среды, над которой я работал в прошлом году. Мы в конечном итоге с ClamAV в системах, где мы принимаем данные, представленные пользователем. Однако мы избежали AV в других системах Linux, обрисовав в общих чертах наши компенсирующие меры и договорившись с аудиторами.
ewwhite
Я бы сказал, если вы показали, что вы «достаточно снизили риск», и аудиторы фактически подписывают свое согласие, то юридическая ответственность, скорее всего, будет соблюдена. Конечно, я уверен, что контракты и другие законы, касающиеся этой конкретной среды, могут сделать ее немного уникальной.
NotMe
17

Первое, что вам нужно понять об аудиторах, это то, что они могут ничего не знать о том, как технология используется в реальном мире.

Существует множество уязвимостей и проблем безопасности DNS, которые необходимо устранить в ходе аудита. Они никогда не дойдут до реальных проблем, если их отвлекать яркие блестящие объекты, такие как флажок «антивирус на DNS-сервере».

Грег Аскью
источник
10

Типичное современное антивирусное программное обеспечение более точно пытается найти вредоносное ПО и не ограничивается только вирусами. В зависимости от фактической реализации сервера (выделенный блок для выделенного сервиса, контейнер в общем блоке, дополнительный сервис на «единственном сервере»), вероятно, неплохо иметь что-то вроде ClamAV или LMD (Linux Malware Detect) установить и выполнить дополнительное сканирование каждую ночь или около того.

Когда вас спросят в ходе аудита, пожалуйста, выберите точное требование и ознакомьтесь с сопроводительной информацией. Почему: слишком много аудиторов не читают полное требование, не знают контекста и руководящей информации.

Например, PCIDSS заявляет, что «развертывание антивирусного программного обеспечения на всех системах, на которые часто распространяется вредоносное программное обеспечение», является требованием.

В проницательной руководящей колонке PCIDSS конкретно говорится, что мэйнфреймы, компьютеры среднего уровня и аналогичные системы в настоящее время не могут быть целенаправленными или подвержены влиянию вредоносных программ, но следует следить за текущим фактическим уровнем угрозы, знать об обновлениях безопасности поставщика и принимать меры для устранения новых проблем безопасности. уязвимости (не ограничиваются вредоносными программами).

Поэтому, указав на список из примерно 50 вирусов Linux с http://en.wikipedia.org/wiki/Linux_malware в сравнении с миллионами известных вирусов для других операционных систем, легко утверждать, что сервер Linux не подвержен общему воздействию , «Самый основной набор правил» из https://wiki.ubuntu.com/BasicSecurity также является интересным указателем для большинства аудиторов, ориентированных на Windows.

А ваши apticron-оповещения об ожидающих обновлениях безопасности и запущенных средствах проверки целостности, таких как AIDE или Samhain, могут более точно реагировать на реальные риски, чем стандартный сканер вирусов. Это также может убедить аудитора в том, что он не представляет риск установки ненужного программного обеспечения (которое дает ограниченную выгоду, может создать угрозу безопасности или просто сломаться).

Если это не поможет: установка clamav в качестве ежедневного cronjob не повредит так же, как другие программы.

knoepfchendruecker
источник
7

DNS-серверы стали популярными среди аудиторов PCI в этом году.

Важно признать, что хотя DNS-серверы не обрабатывают конфиденциальные данные, они поддерживают вашу среду, которая это делает. Таким образом, аудиторы начинают отмечать эти устройства как «поддерживающие PCI», аналогично серверам NTP. Аудиторы обычно применяют другой набор требований к средам, поддерживающим PCI, чем сами среды PCI.

Я хотел бы поговорить с аудиторами и попросить их уточнить разницу в их требованиях к поддержке PCI и PCI, просто чтобы убедиться, что это требование случайно не проникло. Нам нужно было убедиться, что наши DNS-серверы соответствуют рекомендациям по усилению защиты, аналогичным к средам PCI, но антивирус не был одним из требований, с которыми мы столкнулись.

Андрей Б
источник
2

Это могло бы быть реакцией коленного рефлекса на ударную волну, как было предложено в Интернете, на связывание можно повлиять.

РЕДАКТИРОВАТЬ: Не уверен, что это когда-либо было доказано или подтверждено.

D Уайт
источник
11
Какое странное антивирусное программное обеспечение не помогло бы.
Берт
@Bert не может антивирус обнаружить уязвимый Bash?
Basilevs
Шелл-шок уже был исправлен, и серверы успешно прошли тесты
Джон Димитриу
Эй ... Я не говорю, что это поможет, я просто говорю, что это, вероятно, то, что они считали полезным.
D Уайт
2

Если ваши DNS-серверы попадают в область действия PCI DSS, вы можете быть вынуждены использовать на них AV (хотя в большинстве случаев это просто глупо). Мы используем ClamAV.

Брайан Кноблаух
источник
1

Если это для соответствия SOX, они говорят вам установить антивирус, скорее всего, потому что где-то у вас есть политика, которая говорит, что на всех серверах должен быть установлен антивирус. А этот нет.

Либо напишите исключение в политику для этого сервера, либо установите AV.

кроличий садок
источник
1

Существует два основных типа DNS-серверов: авторитетные и рекурсивные. Авторитетный сервер DNS сообщает мир , что IP - адрес должен использоваться для каждого хоста в домене. В последнее время стало возможным связывать другие данные с именем, например, политики фильтрации электронной почты (SPF) и криптографические сертификаты (DANE). Распознаватель или рекурсивный сервер DNS, ищет информацию , связанную с доменными именами, используя корневые сервера ( .) для поиска серверов в реестре ( .com), используя те , чтобы найти авторитетные сервера освобождающихся доменов ( serverfault.com), и , наконец , с помощью тех , чтобы найти имена хостов ( serverfault.com, meta.serverfault.com, так далее.).

Я не вижу, как «антивирус» подойдет для авторитетного сервера. Но практический «антивирус» для распознавателя будет включать блокировку поиска доменов, связанных с распространением или командованием и контролем вредоносных программ. Google dns block malwareили dns sinkholeпринес несколько результатов, которые могут помочь вам защитить вашу сеть, защищая ее решатели. Это не тот тип антивируса, который вы запускаете на клиентском компьютере / компьютере, но если вы предложите его стороне, ответственной за требование «антивирус», вы получите ответ, который поможет вам лучше понять природу требования «антивирус» ,

Похожие вопросы на других сайтах Stack Exchange:

Дамиан Йеррик
источник
Как вы описываете антивирус? Это звучит как нечто среднее между антиспам-фильтром и брандмауэром. Для меня это все равно, что сказать, что iptables - это антивирус.
Патрик М
-2

Лучше запустить Tripwire или AIDE

cod3fr3ak
источник