Ejecute software antivirus en servidores DNS de Linux. ¿Tiene sentido?

Durante una auditoría reciente, se nos solicitó instalar software antivirus en nuestros servidores DNS que ejecutan Linux (bind9). Los servidores no se vieron comprometidos durante las pruebas de penetración, pero esta fue una de las recomendaciones dadas.

1. Por lo general, el software antivirus de Linux se instala para escanear el tráfico destinado a los usuarios, entonces, ¿cuál es el objetivo de instalar el antivirus en un servidor DNS?

2. ¿Cuál es tu opinión sobre la propuesta?

3. ¿Realmente ejecutas software antivirus en tus servidores Linux?

4. Si es así, ¿qué software antivirus recomendaría o está utilizando actualmente?

Un aspecto de esto es que recomendar al "antivirus" que esté en todo es una apuesta segura para el auditor.

Las auditorías de seguridad no se refieren exclusivamente a la seguridad técnica real. A menudo también se trata de limitar la responsabilidad en caso de una demanda.

Digamos que su empresa fue pirateada y se presentó una demanda colectiva contra usted. Su responsabilidad específica puede mitigarse en función de qué tan bien siguió los estándares de la industria. Digamos que los auditores no recomendaron AV en este servidor, por lo que no lo instala.

Su defensa en esto es que siguió las recomendaciones de un auditor respetado y pasó el dinero por así decirlo. Por cierto, esa es la razón PRIMARIA por la que utilizamos auditores externos. Tenga en cuenta que el cambio de responsabilidad a menudo se escribe en el contrato que firma con los auditores: si no sigue sus recomendaciones, todo depende de usted.

Bueno, entonces los abogados investigarán al auditor como un posible coacusado. En nuestra situación hipotética, el hecho de que no recomendaron AV en un servidor en particular se considerará no exhaustivo. Eso solo los perjudicaría en las negociaciones, incluso si no tuviera absolutamente ninguna relación con el ataque real.

Lo único que debe hacer una empresa de auditoría fiscalmente responsable es tener una recomendación estándar para todos los servidores, independientemente de la superficie de ataque real. En este caso, AV en todo . En otras palabras, recomiendan un mazo incluso cuando el bisturí es técnicamente superior debido a un razonamiento legal.

¿Tiene sentido técnico? Generalmente no, ya que generalmente aumenta el riesgo. ¿Tiene sentido para los abogados, un juez o incluso un jurado? Absolutamente, no son técnicamente competentes e incapaces de comprender los matices. Es por eso que debes cumplir.

@ewwhite le recomendó hablar con el auditor sobre esto. Creo que ese es el camino equivocado. En su lugar, debe hablar con el abogado de su empresa para obtener su opinión sobre no seguir estas solicitudes.

A veces los auditores son idiotas ...

Sin embargo, esta es una solicitud poco común. Contrarrestaría la recomendación de los auditores asegurando / limitando el acceso a los servidores, agregando un IDS o monitoreo de integridad de archivos o reforzando la seguridad en otras partes de su entorno. El antivirus no tiene ningún beneficio aquí.

Editar:

Como se señala en los comentarios a continuación, participé en el lanzamiento de un sitio web de muy alto perfil aquí en los EE. UU. Y fui responsable del diseño de la arquitectura de referencia de Linux para el cumplimiento de HIPAA.

Cuando se discutió el tema del antivirus, recomendamos ClamAV y un firewall de aplicaciones para procesar los envíos de los usuarios finales, pero logramos evitar tener AV en todos los sistemas mediante la implementación de controles de compensación ( IDS de terceros , registro de sesiones, auditado, registro del sistema remoto, de dos factores de autenticación de la VPN y servidores, el ayudante de monitoreo de integridad de archivos, cifrado DB 3 ª parte, las estructuras del sistema de archivos locas , etc.) . Estos fueron considerados aceptables por los auditores, y todo fue aprobado.

Lo primero que debe comprender acerca de los auditores es que pueden no saber nada acerca de cómo se utiliza la tecnología en su alcance en el mundo real.

Hay muchas vulnerabilidades y problemas de seguridad de DNS que deben abordarse en una auditoría. Nunca llegarán a los problemas reales si se distraen con objetos brillantes y brillantes como la casilla de verificación "antivirus en un servidor DNS".

El software antivirus moderno típico intenta con mayor precisión encontrar malware y no solo se limita a virus. Dependiendo de la implementación real de un servidor (cuadro dedicado para un servicio dedicado, contenedor en un cuadro compartido, servicio adicional en "el único servidor"), probablemente no sea una mala idea tener algo como ClamAV o LMD (Linux Malware Detect) instalado y realizar un escaneo adicional cada noche más o menos.

Cuando se le solicite en una auditoría, elija el requisito exacto y eche un vistazo a la información que lo acompaña. Por qué: muchos auditores no leen el requisito completo, no conocen el contexto y la información de orientación.

Como ejemplo, PCIDSS establece como requisito "implementar software antivirus en todos los sistemas comúnmente afectados por software malicioso".

La perspicaz columna de orientación PCIDSS establece específicamente que los mainframes, las computadoras de rango medio y los sistemas similares actualmente no son comúnmente atacados o afectados por malware, pero uno debe monitorear el nivel de amenaza actual, estar al tanto de las actualizaciones de seguridad del proveedor e implementar medidas para abordar la nueva seguridad vulnerabilidades (no limitadas a malware).

Entonces, después de señalar la lista de alrededor de 50 virus Linux de http://en.wikipedia.org/wiki/Linux_malware en comparación con los millones de virus conocidos para otros sistemas operativos, es fácil argumentar que un servidor Linux no se vea comúnmente afectado . El "conjunto de reglas más básico" de https://wiki.ubuntu.com/BasicSecurity también es un puntero interesante para la mayoría de los auditores centrados en Windows.

Y sus alertas de apticron sobre actualizaciones de seguridad pendientes y verificadores de integridad en ejecución como AIDE o Samhain pueden abordar con mayor precisión los riesgos reales que un escáner de virus estándar. Esto también puede convencer a su auditor de no introducir el riesgo de instalar un software que de otro modo no sería necesario (lo que proporciona un beneficio limitado, puede imponer un riesgo de seguridad o simplemente romperse).

Si eso no ayuda: instalar clamav como cronjob diario no hace tanto daño como otros softwares.

Los servidores DNS se han vuelto populares entre los auditores PCI este año.

Lo importante a reconocer es que si bien los servidores DNS no manejan datos confidenciales, sí son compatibles con sus entornos. Como tal, los auditores están comenzando a marcar estos dispositivos como "compatibles con PCI", similar a los servidores NTP. Los auditores suelen aplicar un conjunto diferente de requisitos a los entornos de soporte PCI que a los propios entornos PCI.

Hablaría con los auditores y les pediría que aclararan la diferencia en sus requisitos entre PCI y PCI, solo para asegurarme de que este requisito no se colara accidentalmente. Necesitamos asegurarnos de que nuestros servidores DNS cumplan con pautas de endurecimiento similares para los entornos PCI, pero el antivirus no era uno de los requisitos que enfrentamos.

Esto podría haber sido una reacción instintiva al shellshock bash vuln, se sugirió en línea que el enlace podría verse afectado.

EDITAR: No estoy seguro de que haya sido probado o confirmado.

Si sus servidores DNS caen dentro del alcance de PCI DSS, puede verse obligado a ejecutar AV en ellos (aunque es francamente tonto en la mayoría de los casos). Usamos ClamAV.

Si esto es para el cumplimiento de SOX, lo más probable es que te instalen instalar un antivirus, porque en algún lugar tienes una política que dice que todos los servidores deben tener instalado un antivirus. Y este no.

Escriba una excepción a la política para este servidor o instale AV.

Hay dos tipos principales de servidores DNS: autorizados y recursivos. Un servidor DNS autorizado le dice al mundo qué direcciones IP deben usarse para cada nombre de host dentro de un dominio. Últimamente es posible asociar otros datos con un nombre, como las políticas de filtrado de correo electrónico (SPF) y los certificados criptográficos (DANE). Una resolución , o recursiva servidor DNS, busca información asociada a nombres de dominio, utilizando los servidores raíz ( .) para encontrar los servidores de registro ( .com), mediante los que se encuentran los servidores de dominios autorizados ( serverfault.com), y finalmente el uso de aquellos a encontrar los nombres de host ( serverfault.com, meta.serverfault.com, etc.)

No puedo ver cómo "antivirus" sería adecuado para un servidor autorizado. Pero el "antivirus" práctico para un solucionador implicaría bloquear la búsqueda de dominios asociados con la distribución o el comando y control de malware. Google dns block malwareo dns sinkholetrajo algunos resultados que podrían ayudarlo a proteger su red al proteger a sus solucionadores. Este no es el mismo tipo de antivirus que ejecutaría en una máquina cliente / computadora de escritorio, pero proponerlo a la parte responsable del requisito de "antivirus" podría producir una respuesta que lo ayude a comprender mejor la naturaleza del requisito de "antivirus" .

Preguntas relacionadas en otros sitios de Stack Exchange:

• ¿Cómo puede alguien hundir dominios?

Es mejor ejecutar Tripwire o AIDE