Durante uma auditoria recente, fomos solicitados a instalar um software antivírus em nossos servidores DNS que executam Linux (bind9). Os servidores não foram comprometidos durante o teste de penetração, mas essa foi uma das recomendações dadas.
Normalmente, o software antivírus Linux é instalado para verificar o tráfego destinado aos usuários, então qual é o objetivo de instalar antivírus em um servidor DNS?
Qual a sua opinião sobre a proposta?
Você realmente executa um software antivírus em seus servidores Linux?
Em caso afirmativo, qual software antivírus você recomendaria ou está usando atualmente?
Às vezes, os auditores são idiotas...
Este é um pedido incomum, no entanto. Eu contrariaria a recomendação dos auditores protegendo/limitando o acesso aos servidores, adicionando um IDS ou monitoramento de integridade de arquivo ou reforçando a segurança em outro lugar em seu ambiente. O antivírus não tem nenhum benefício aqui.
Editar:
Conforme observado nos comentários abaixo, participei do lançamento de um site de alto perfil aqui nos Estados Unidos e fui responsável por projetar a arquitetura de referência do Linux para conformidade com a HIPAA.
Quando a questão do antivírus surgiu para discussão, recomendamos ClamAV e um firewall de aplicativo para processar envios de usuários finais, mas conseguimos evitar ter AV em todos os sistemas implementando controles de compensação ( IDS de terceiros , registro de sessão, auditd, syslog remoto, autenticação de dois fatores para VPN e servidores, monitoramento de integridade de arquivo AIDE, criptografia de banco de dados de terceiros, estruturas malucas de sistema de arquivos , etc.) . Estes foram considerados aceitáveis pelos auditores, e todos foram aprovados.
A primeira coisa que você precisa entender sobre os auditores é que eles podem não saber nada sobre como a tecnologia em questão é usada no mundo real.
Existem muitas vulnerabilidades e problemas de segurança de DNS que devem ser abordados em uma auditoria. Eles nunca chegarão aos problemas reais se forem distraídos por objetos brilhantes como a caixa de seleção "antivírus em um servidor DNS".
Um aspecto disso é que recomendar "antivírus" para estar em tudo é uma aposta segura para o auditor.
As auditorias de segurança não tratam inteiramente da segurança técnica real. Freqüentemente, eles também limitam a responsabilidade em caso de ação judicial.
Digamos que sua empresa foi hackeada e uma ação coletiva foi movida contra você. Sua responsabilidade específica pode ser mitigada com base em quão bem você seguiu os padrões do setor. Digamos que os auditores não recomendaram o AV neste servidor, então você não o instala.
Sua defesa é que você seguiu as recomendações de um auditor respeitado e passou a responsabilidade, por assim dizer. Aliás, essa é a razão PRINCIPAL de usarmos auditores terceirizados. Observe que a transferência de responsabilidade geralmente está incluída no contrato que você assina com os auditores: se você não seguir as recomendações deles, tudo dependerá de você.
Bem, os advogados irão investigar o auditor como um possível co-réu. Em nossa situação hipotética, o fato de eles não recomendarem o AV em um determinado servidor será visto como não sendo completo. Isso por si só os prejudicaria nas negociações, mesmo que não tivesse absolutamente nenhuma influência no ataque real.
A única coisa fiscalmente responsável que uma empresa de auditoria deve fazer é ter uma recomendação padrão para todos os servidores, independentemente da superfície de ataque real. Neste caso, AV em tudo . Em outras palavras, eles recomendam uma marreta mesmo quando um bisturi é tecnicamente superior devido ao raciocínio legal.
Faz sentido técnico? Geralmente não, pois geralmente aumenta o risco. Faz sentido para advogados, um juiz ou mesmo um júri? Absolutamente, eles não são tecnicamente competentes e incapazes de entender as nuances. É por isso que você precisa obedecer.
@ewwhite recomendou que você falasse com o auditor sobre isso. Acho que esse é o caminho errado. Em vez disso, você deve falar com o advogado de sua empresa para obter sua opinião sobre o não cumprimento dessas solicitações.
O software antivírus moderno típico tenta encontrar malware com mais precisão e não se limita apenas a vírus. Dependendo da implementação real de um servidor (caixa dedicada para um serviço dedicado, contêiner em uma caixa compartilhada, serviço adicional no "único servidor"), provavelmente não é uma má ideia ter algo como ClamAV ou LMD (Linux Malware Detect) instalado e execute algumas verificações extras todas as noites.
Quando solicitado em uma auditoria, escolha o requisito exato e dê uma olhada nas informações que o acompanham. Motivo: muitos auditores não leem o requisito completo, não estão cientes do contexto e das informações de orientação.
Como exemplo, o PCIDSS declara "implantar software antivírus em todos os sistemas comumente afetados por software malicioso" como um requisito.
A perspicaz coluna de orientação do PCIDSS afirma especificamente que mainframes, computadores de médio porte e sistemas similares podem não ser comumente visados ou afetados por malware, mas deve-se monitorar o atual nível de ameaça real, estar ciente das atualizações de segurança do fornecedor e implementar medidas para lidar com novas questões de segurança. vulnerabilidades (não limitadas a malware).
Então, depois de apontar para a lista de cerca de 50 vírus Linux de http://en.wikipedia.org/wiki/Linux_malware em comparação com os milhões de vírus conhecidos para outros sistemas operacionais, é fácil argumentar que um servidor Linux não é comumente afetado . O "conjunto de regras mais básico" de https://wiki.ubuntu.com/BasicSecurity também é um indicador interessante para a maioria dos auditores focados no Windows.
E seus alertas apticron sobre atualizações de segurança pendentes e verificadores de integridade em execução, como AIDE ou Samhain, podem abordar com mais precisão os riscos reais do que um verificador de vírus padrão. Isso também pode convencer seu auditor a não introduzir o risco de instalar um software desnecessário (que fornece um benefício limitado, pode impor um risco de segurança ou simplesmente quebrar).
Se isso não ajudar: instalar o clamav como um cronjob diário não dói tanto quanto outros softwares.
Os servidores DNS se tornaram populares entre os auditores PCI este ano.
O importante a reconhecer é que, embora os servidores DNS não lide com dados confidenciais, eles suportam seus ambientes que o fazem. Como tal, os auditores estão começando a sinalizar esses dispositivos como "compatível com PCI", semelhante aos servidores NTP. Os auditores normalmente aplicam um conjunto diferente de requisitos aos ambientes de suporte do PCI do que aos próprios ambientes do PCI.
Eu falaria com os auditores e pediria que esclarecessem a diferença em seus requisitos entre PCI e suporte a PCI, apenas para garantir que esse requisito não se infiltrasse acidentalmente. aos ambientes PCI, mas o antivírus não era um dos requisitos que enfrentamos.
Isso poderia ter sido uma reação instintiva ao shellshock bash vuln, foi sugerido online que o vínculo poderia ser afetado.
EDIT: Não tenho certeza se foi provado ou confirmado.
Se seus servidores DNS se enquadrarem no escopo do PCI DSS, você poderá ser forçado a executar o AV neles (mesmo que seja totalmente bobo na maioria dos casos). Usamos ClamAV.
Se for para conformidade com SOX, eles estão dizendo para você instalar antivírus, provavelmente, porque em algum lugar você tem uma política que diz que todos os servidores devem ter antivírus instalado. E este não.
Escreva uma exceção à política para este servidor ou instale o AV.
Existem dois tipos principais de servidores DNS: autoritativos e recursivos. Um servidor DNS autoritativo informa ao mundo quais endereços IP devem ser usados para cada nome de host em um domínio. Ultimamente tornou-se possível associar outros dados a um nome, como políticas de filtragem de e-mail (SPF) e certificados criptográficos (DANE). Um resolvedor , ou servidor DNS recursivo , procura informações associadas a nomes de domínio, usando os servidores raiz (
.) para encontrar servidores de registro (.com), usando-os para encontrar servidores autorizados de domínios (serverfault.com) e, finalmente, usando-os para encontrar nomes de host (serverfault.com,meta.serverfault.com, etc).Não consigo ver como "antivírus" seria adequado para um servidor autoritativo. Mas um "antivírus" prático para um resolvedor envolveria bloquear a pesquisa de domínios associados à distribuição ou ao comando e controle de malware. Google
dns block malwareoudns sinkholetrouxe alguns resultados que podem ajudar você a proteger sua rede protegendo seus resolvedores. Este não é o mesmo tipo de antivírus que você executaria em uma máquina cliente/desktop, mas propô-lo à parte responsável pelo requisito de "antivírus" pode produzir uma resposta que o ajudará a entender melhor a natureza do requisito de "antivírus" .Perguntas relacionadas em outros sites do Stack Exchange:
Melhor executar Tripwire ou AIDE