Jalankan perangkat lunak antivirus di server DNS linux. Apakah masuk akal?

Selama audit baru-baru ini kami diminta untuk menginstal perangkat lunak antivirus di server DNS kami yang menjalankan linux (bind9). Server tidak dikompromikan selama pengujian penetrasi tetapi ini adalah salah satu rekomendasi yang diberikan.

1. Biasanya perangkat lunak antivirus linux diinstal untuk memindai lalu lintas yang ditujukan kepada pengguna, jadi apa tujuan menginstal antivirus di server dns?

2. Apa pendapat Anda tentang proposal tersebut?

3. Apakah Anda benar-benar menjalankan perangkat lunak antivirus di server linux Anda?

4. Jika demikian, perangkat lunak antivirus mana yang akan Anda rekomendasikan atau sedang Anda gunakan?

Salah satu aspek dari ini adalah bahwa merekomendasikan "anti-virus" untuk semuanya adalah taruhan yang aman, bagi auditor.

Audit keamanan tidak sepenuhnya tentang keselamatan teknis yang sebenarnya. Seringkali mereka juga tentang membatasi tanggung jawab dalam kasus gugatan.

Katakanlah perusahaan Anda diretas dan gugatan class action diajukan terhadap Anda. Tanggung jawab khusus Anda dapat dikurangi berdasarkan seberapa baik Anda mengikuti standar industri. Katakanlah auditor tidak merekomendasikan AV di server ini, jadi Anda tidak menginstalnya.

Pembelaan Anda dalam hal ini adalah bahwa Anda mengikuti rekomendasi dari auditor yang dihormati dan memberikan tanggung jawab untuk berbicara. Kebetulan, itulah alasan UTAMA kami menggunakan auditor pihak ketiga. Perhatikan bahwa pengalihan tanggung jawab sering ditulis ke dalam kontrak yang Anda tanda tangani dengan auditor: jika Anda tidak mengikuti rekomendasinya, semuanya ada pada Anda.

Nah, pengacara kemudian akan menyelidiki auditor sebagai calon terdakwa. Dalam situasi hipotetis kami, fakta bahwa mereka tidak merekomendasikan AV pada server tertentu akan dianggap tidak menyeluruh. Itu saja akan menyakiti mereka dalam negosiasi bahkan jika itu sama sekali tidak ada kaitannya dengan serangan yang sebenarnya.

Satu-satunya hal yang bertanggung jawab secara fiskal untuk dilakukan oleh perusahaan audit adalah memiliki rekomendasi standar untuk semua server terlepas dari permukaan serangan yang sebenarnya. Dalam hal ini, AV dalam segala hal . Dengan kata lain mereka merekomendasikan palu godam bahkan ketika pisau bedah secara teknis unggul karena alasan hukum.

Apakah ini masuk akal secara teknis? Umumnya tidak seperti itu biasanya meningkatkan risiko. Apakah masuk akal untuk pengacara, hakim atau bahkan juri? Tentu saja, mereka tidak kompeten secara teknis dan tidak mampu memahami nuansa. Itulah sebabnya Anda harus mematuhinya.

@ewwhite merekomendasikan Anda untuk berbicara dengan auditor tentang hal ini. Saya pikir itu jalan yang salah. Sebaliknya, Anda harus berbicara dengan pengacara perusahaan Anda untuk mendapatkan pendapat mereka tentang tidak mengikuti permintaan ini.

Terkadang auditor idiot ...

Ini adalah permintaan yang tidak biasa. Saya akan menentang rekomendasi auditor dengan mengamankan / membatasi akses ke server, menambahkan IDS atau pemantauan integritas file atau memperkuat keamanan di tempat lain di lingkungan Anda. Antivirus tidak ada manfaatnya di sini.

Edit:

Seperti disebutkan dalam komentar di bawah ini, saya terlibat dalam peluncuran situs web profil tinggi di AS, dan bertanggung jawab untuk merancang arsitektur referensi Linux untuk kepatuhan HIPAA.

Ketika masalah Antivirus muncul untuk diskusi, kami merekomendasikan ClamAV dan firewall aplikasi untuk memproses pengiriman dari pengguna akhir, tetapi berhasil menghindari AV di semua sistem dengan menerapkan kontrol kompensasi ( IDS pihak ketiga , sesi logging, auditd, syslog jarak jauh, otentikasi dua faktor ke VPN dan server, pemantauan integritas file AIDE, enkripsi DB pihak ketiga, struktur sistem file gila , dll . ) . Ini dianggap dapat diterima oleh auditor, dan semua disetujui.

Hal pertama yang perlu Anda pahami tentang auditor adalah mereka mungkin tidak tahu apa-apa tentang bagaimana teknologi dalam ruang lingkup digunakan di dunia nyata.

Ada banyak kerentanan dan masalah keamanan DNS yang harus ditangani dalam audit. Mereka tidak akan pernah sampai ke masalah nyata jika mereka terganggu oleh benda-benda cerah seperti kotak centang "antivirus on a DNS server".

Perangkat lunak anti-virus modern yang khas melakukan upaya yang lebih akurat untuk menemukan malware dan tidak hanya terbatas pada virus. Bergantung pada implementasi aktual server (kotak khusus untuk layanan khusus, wadah pada kotak bersama, layanan tambahan pada "satu-satunya server"), mungkin bukan ide buruk untuk memiliki sesuatu seperti ClamAV atau LMD (Linux Malware Detect) diinstal dan melakukan pemindaian ekstra setiap malam atau lebih.

Ketika ditanya dalam audit, harap pilih persyaratan yang tepat dan lihat informasi yang menyertainya. Mengapa: terlalu banyak auditor yang tidak membaca persyaratan lengkap, tidak mengetahui konteks dan informasi panduan.

Sebagai contoh, PCIDSS menyatakan "menyebarkan perangkat lunak anti-virus pada semua sistem yang umumnya dipengaruhi oleh perangkat lunak jahat" sebagai persyaratan.

Kolom panduan PCIDSS yang berwawasan luas secara khusus menyatakan mainframe, komputer kelas menengah, dan sistem serupa saat ini mungkin tidak ditargetkan atau terpengaruh oleh malware, tetapi orang harus memantau tingkat ancaman aktual saat ini, mengetahui pembaruan keamanan vendor dan menerapkan langkah-langkah untuk mengatasi keamanan baru kerentanan (tidak terbatas pada malware).

Jadi setelah menunjuk pada daftar sekitar 50 virus Linux dari http://en.wikipedia.org/wiki/Linux_malware dibandingkan dengan jutaan virus yang dikenal untuk sistem operasi lain, mudah untuk memperdebatkan server Linux untuk tidak terpengaruh secara umum. . "Kumpulan aturan paling mendasar" dari https://wiki.ubuntu.com/BasicSecurity juga merupakan penunjuk yang menarik untuk sebagian besar auditor yang berfokus pada Windows.

Dan peringatan aptikron Anda tentang pembaruan keamanan yang tertunda dan menjalankan pemeriksa integritas seperti AIDE atau Samhain dapat lebih akurat menangani risiko aktual daripada pemindai virus standar. Ini juga dapat meyakinkan auditor Anda untuk tidak memperkenalkan risiko memasang perangkat lunak yang tidak diperlukan (yang memberikan manfaat terbatas, dapat menimbulkan risiko keamanan atau hanya merusak).

Jika itu tidak membantu: menginstal clamav sebagai cronjob sehari-hari tidak ada salahnya dengan software lain.

Server DNS telah menjadi populer dengan auditor PCI tahun ini.

Hal penting untuk dikenali adalah bahwa sementara server DNS tidak menangani data sensitif, mereka mendukung lingkungan Anda yang melakukannya. Dengan demikian, auditor mulai menandai perangkat ini sebagai "PCI pendukung", mirip dengan server NTP. Auditor biasanya menerapkan serangkaian persyaratan yang berbeda untuk lingkungan pendukung PCI daripada yang mereka lakukan sendiri terhadap lingkungan PCI.

Saya akan berbicara dengan auditor dan meminta mereka untuk mengklarifikasi perbedaan dalam persyaratan mereka antara PCI dan PCI yang mendukung, hanya untuk memastikan bahwa persyaratan ini tidak secara tidak sengaja menyelinap masuk. Kami perlu memastikan bahwa server DNS kami memenuhi pedoman pengerasan yang serupa ke lingkungan PCI, tetapi anti-virus bukan salah satu persyaratan yang kami hadapi.

Ini bisa menjadi reaksi spontan terhadap shellshock bash vuln, disarankan secara online bahwa binding dapat terpengaruh.

EDIT: Tidak yakin itu pernah terbukti atau dikonfirmasi.

Jika server DNS Anda termasuk dalam ruang lingkup PCI DSS, Anda mungkin terpaksa menjalankan AV pada mereka (meskipun itu konyol dalam kebanyakan kasus). Kami menggunakan ClamAV.

Jika ini untuk kepatuhan SOX, mereka memberitahu Anda untuk menginstal antivirus, kemungkinan besar, karena di suatu tempat Anda memiliki kebijakan yang mengatakan semua server harus menginstal antivirus. Dan yang ini tidak.

Entah menulis pengecualian untuk kebijakan untuk server ini, atau menginstal AV.

Ada dua jenis utama server DNS: otoritatif dan rekursif. Sebuah otoritatif DNS server yang memberitahu dunia apa yang harus digunakan alamat IP untuk setiap nama host dalam sebuah domain. Akhir-akhir ini menjadi mungkin untuk mengaitkan data lain dengan nama, seperti kebijakan pemfilteran email (SPF) dan sertifikat kriptografi (DANE). Sebuah penyelesai , atau rekursif DNS server, mendongak informasi yang terkait dengan nama domain, menggunakan server root ( .) untuk menemukan server registry ( .com), menggunakan mereka untuk menemukan server otoritatif domain ( serverfault.com), dan akhirnya menggunakan mereka untuk menemukan nama host ( serverfault.com, meta.serverfault.com, dll.)

Saya tidak bisa melihat bagaimana "antivirus" cocok untuk server yang otoritatif. Tetapi "antivirus" praktis untuk penyelesai akan melibatkan pemblokiran pencarian domain yang terkait dengan distribusi atau perintah dan kontrol malware. Google dns block malwareatau dns sinkholemembawa beberapa hasil yang mungkin membantu Anda melindungi jaringan Anda dengan melindungi resolvernya. Ini bukan jenis antivirus yang sama dengan yang Anda jalankan di mesin klien / desktop, tetapi mengusulkannya kepada pihak yang bertanggung jawab atas persyaratan "antivirus" mungkin menghasilkan balasan yang membantu Anda memahami sifat dari persyaratan "antivirus" dengan lebih baik .

Pertanyaan terkait di situs Stack Exchange lainnya:

• Bagaimana seseorang menjatuhkan domain?

Lebih baik menjalankan Tripwire atau AIDE