Führen Sie Antivirensoftware auf Linux-DNS-Servern aus. Macht das Sinn?

Bei einem kürzlich durchgeführten Audit wurden wir aufgefordert, Antivirensoftware auf unseren DNS-Servern zu installieren, auf denen Linux (bind9) ausgeführt wird. Die Server wurden beim Penetrationstest nicht beeinträchtigt, dies war jedoch eine der Empfehlungen.

1. Normalerweise wird eine Linux-Antivirensoftware installiert, um den für Benutzer bestimmten Datenverkehr zu scannen. Was ist also das Ziel, um Antivirus auf einem DNS-Server zu installieren?

2. Wie ist Ihre Meinung zu dem Vorschlag?

3. Führen Sie tatsächlich Antivirensoftware auf Ihren Linux-Servern aus?

4. Wenn ja, welche Antivirensoftware würden Sie empfehlen oder verwenden Sie derzeit?

Ein Aspekt davon ist, dass es für den Auditor eine sichere Sache ist, "Antivirus" zu empfehlen, um auf alles zu achten.

Bei Sicherheitsaudits geht es nicht nur um die tatsächliche technische Sicherheit. Oft geht es auch darum, die Haftung im Streitfall einzuschränken.

Angenommen, Ihr Unternehmen wurde gehackt und eine Sammelklage gegen Sie eingereicht. Ihre spezifische Haftung kann basierend darauf, wie gut Sie die Industriestandards eingehalten haben, gemindert werden. Angenommen, die Auditoren haben AV auf diesem Server nicht empfohlen, sodass Sie es nicht installieren.

Ihre Verteidigung dabei ist, dass Sie den Empfehlungen eines angesehenen Wirtschaftsprüfers gefolgt sind und sozusagen das Geld übergeben haben. Dies ist übrigens der primäre Grund, warum wir Auditoren von Drittanbietern einsetzen. Beachten Sie, dass eine Verlagerung der Haftung häufig in dem Vertrag vermerkt ist, den Sie mit Wirtschaftsprüfern unterzeichnen: Wenn Sie deren Empfehlungen nicht befolgen, liegt alles an Ihnen.

Nun, Anwälte werden dann den Wirtschaftsprüfer als möglichen Mitangeklagten untersuchen. In unserer hypothetischen Situation wird die Tatsache, dass AV auf einem bestimmten Server nicht empfohlen wurde, als nicht gründlich angesehen. Das allein würde sie in den Verhandlungen verletzen, selbst wenn es absolut keinen Einfluss auf den tatsächlichen Angriff hätte.

Die einzige steuerlich verantwortliche Aufgabe für eine Prüfgesellschaft besteht darin, eine Standardempfehlung für alle Server unabhängig von der tatsächlichen Angriffsfläche zu erstellen. In diesem Fall AV auf alles . Mit anderen Worten, sie empfehlen einen Vorschlaghammer, auch wenn ein Skalpell aus rechtlichen Gründen technisch überlegen ist.

Ist es technisch sinnvoll? Im Allgemeinen nein, da dies normalerweise das Risiko erhöht. Ist es sinnvoll, Anwälte, einen Richter oder sogar eine Jury? Sie sind absolut nicht technisch kompetent und nicht in der Lage, die Nuancen zu verstehen. Welches ist, warum Sie einhalten müssen.

@ewwhite empfahl Ihnen, mit dem Abschlussprüfer darüber zu sprechen. Ich denke, das ist der falsche Weg. Sie sollten stattdessen mit dem Anwalt Ihres Unternehmens sprechen, um die Meinung zu erfahren, dass diese Anfragen nicht befolgt werden.

Manchmal sind Auditoren Idioten ...

Dies ist jedoch eine ungewöhnliche Bitte. Ich würde der Empfehlung des Prüfers widersprechen, indem ich den Zugriff auf Server sichere / einschränke, eine IDS- oder Dateiintegritätsüberwachung hinzufüge oder die Sicherheit an anderer Stelle in Ihrer Umgebung stärke. Antivirus hat hier keinen Nutzen.

Bearbeiten:

Wie in den Kommentaren unten erwähnt, war ich am Start einer sehr bekannten Website hier in den USA beteiligt und für das Entwerfen der Linux-Referenzarchitektur für die Einhaltung von HIPAA verantwortlich.

Als das Thema Antivirus zur Diskussion stand, empfahlen wir ClamAV und eine Anwendungsfirewall, um Beiträge von Endbenutzern zu verarbeiten. Es gelang uns jedoch, durch die Implementierung von Kompensationskontrollen ( Drittanbieter-IDS , Sitzungsprotokollierung, Prüfung, Remote-Syslog, Zwei-Faktor-Authentifizierung für VPN und Server, Überwachung der AIDE-Dateiintegrität, DB-Verschlüsselung von Drittanbietern, verrückte Dateisystemstrukturen usw.) . Diese wurden von der Revisionsstelle als akzeptabel erachtet und alles wurde genehmigt.

Das Erste, was Sie über Auditoren wissen müssen, ist, dass sie möglicherweise nichts darüber wissen, wie die Technologie im Anwendungsbereich in der realen Welt eingesetzt wird.

Es gibt viele DNS-Sicherheitslücken und -probleme, die bei einer Prüfung behoben werden sollten. Sie werden nie zu den eigentlichen Problemen kommen, wenn sie von hellen, glänzenden Objekten wie dem Kontrollkästchen "Antivirus auf einem DNS-Server" abgelenkt werden.

Typische moderne Antivirensoftware versucht genauer, Malware zu finden, und ist nicht nur auf Viren beschränkt. Abhängig von der tatsächlichen Implementierung eines Servers (dedizierte Box für einen dedizierten Dienst, Container auf einer gemeinsam genutzten Box, zusätzlicher Dienst auf "dem einzigen Server") ist es wahrscheinlich keine schlechte Idee, so etwas wie ClamAV oder LMD (Linux Malware Detect) zu haben. installiert und führen Sie jeden Abend einen zusätzlichen Scan durch.

Wenn Sie in einem Audit gefragt werden, wählen Sie bitte die genaue Anforderung aus und werfen Sie einen Blick auf die begleitenden Informationen. Warum: Zu viele Prüfer lesen nicht die vollständigen Anforderungen, sind sich des Kontexts und der Leitlinien nicht bewusst.

Als Beispiel gibt PCIDSS an, dass "Antivirensoftware auf allen Systemen installiert werden soll, die häufig von schädlicher Software betroffen sind".

In der aufschlussreichen PCIDSS-Leitspalte wird speziell darauf hingewiesen, dass Mainframes, Computer der mittleren Preisklasse und ähnliche Systeme derzeit möglicherweise nicht häufig von Malware betroffen sind. Sie sollten jedoch die aktuelle Bedrohungsstufe überwachen, die Sicherheitsupdates der Anbieter berücksichtigen und Maßnahmen zur Behebung neuer Sicherheitsrisiken ergreifen Schwachstellen (nicht auf Malware beschränkt).

Nachdem man also auf die Liste von ungefähr 50 Linux-Viren von http://en.wikipedia.org/wiki/Linux_malware im Vergleich zu den Millionen von bekannten Viren für andere Betriebssysteme hingewiesen hat , kann man leicht argumentieren, dass ein Linux-Server nicht häufig betroffen ist . Die "grundlegendsten Regeln" von https://wiki.ubuntu.com/BasicSecurity sind auch ein interessanter Hinweis für die meisten Windows-Auditoren.

Und Ihre Apticron-Warnungen bei ausstehenden Sicherheitsupdates und der Ausführung von Integritätsprüfungen wie AIDE oder Samhain können die tatsächlichen Risiken genauer berücksichtigen als ein Standard-Virenscanner. Dies kann Ihren Prüfer auch davon überzeugen, das Risiko der Installation einer ansonsten nicht benötigten Software (die nur einen begrenzten Nutzen bietet, ein Sicherheitsrisiko darstellt oder einfach kaputt geht) nicht einzuführen.

Wenn das nicht hilft: Clamav als täglichen Cronjob zu installieren, schadet nicht so sehr wie andere Software.

DNS-Server sind in diesem Jahr bei PCI-Auditoren beliebt geworden.

Die wichtige Sache zu erkennen ist , dass während DNS - Server nicht verarbeiten sensible Daten, sie unterstützen Ihre Umgebungen , die tun. Aus diesem Grund kennzeichnen Auditoren diese Geräte, ähnlich wie NTP-Server, als "PCI-unterstützend". Auditoren stellen in der Regel andere Anforderungen an PCI-unterstützende Umgebungen als an PCI-Umgebungen.

Ich würde mit den Auditoren sprechen und sie bitten, den Unterschied in ihren Anforderungen zwischen PCI- und PCI-Unterstützung zu klären, nur um sicherzustellen, dass sich diese Anforderung nicht versehentlich eingeschlichen hat. Wir mussten sicherstellen, dass unsere DNS-Server ähnliche Härtungsrichtlinien erfüllen für die PCI-Umgebungen, aber Anti-Virus war nicht eine der Anforderungen, denen wir gegenüberstanden.

Dies könnte eine ruckelige Reaktion auf die Muschelschock-Schläge gewesen sein. Es wurde online vorgeschlagen, dass das Binden betroffen sein könnte.

EDIT: Ich bin mir nicht sicher, ob es jemals bewiesen oder bestätigt wurde.

Wenn Ihre DNS-Server in den PCI-DSS-Bereich fallen, müssen Sie möglicherweise AV auf ihnen ausführen (obwohl dies in den meisten Fällen ausgesprochen albern ist). Wir verwenden ClamAV.

Wenn dies der SOX-Konformität dient, werden Sie höchstwahrscheinlich aufgefordert, Antivirenprogramme zu installieren, da auf allen Servern Antivirenprogramme installiert sein müssen. Und das tut man nicht.

Schreiben Sie entweder eine Ausnahme zur Richtlinie für diesen Server oder installieren Sie AV.

Es gibt zwei Hauptarten von DNS-Servern: autorisierende und rekursive. Ein autorisierender DNS-Server teilt der Welt mit, welche IP-Adressen für jeden Hostnamen in einer Domäne verwendet werden sollen. In letzter Zeit ist es möglich geworden, andere Daten mit einem Namen zu verknüpfen, z. B. E-Mail-Filterrichtlinien (SPF) und kryptografische Zertifikate (DANE). Ein Resolver oder rekursive DNS - Server, sucht Informationen mit Domain - Namen, den Root - Server mit ( .) Registrierungsserver (zu finden .com), solche mit Domänen autoritativen Server (zu finden serverfault.com), und schließlich diejenigen mit Host - Namen zu finden ( serverfault.com, meta.serverfault.com, usw.).

Ich kann nicht sehen, wie "Antivirus" für einen autorisierenden Server geeignet wäre. Ein praktischer "Virenschutz" für einen Resolver besteht jedoch darin, die Suche nach Domänen zu blockieren, die mit der Verteilung oder dem Befehl und der Kontrolle von Malware verbunden sind. Google dns block malwareoder dns sinkholebrachte ein paar Ergebnisse, die Ihnen helfen könnten, Ihr Netzwerk durch den Schutz seiner Resolver zu schützen. Dies ist nicht die gleiche Art von Antivirus, die Sie auf einem Client- / Desktop-Computer ausführen würden. Wenn Sie sie jedoch der für die "Antivirus" -Anforderung verantwortlichen Partei vorschlagen, erhalten Sie möglicherweise eine Antwort, die Ihnen hilft, die Art der "Antivirus" -Anforderung besser zu verstehen .

Verwandte Fragen zu anderen Stack Exchange-Sites:

• Wie kann jemand Domains versenken?

Besser Tripwire oder AIDE ausführen