เรียกใช้ซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ linux DNS มันสมเหตุสมผลหรือไม่

ในระหว่างการตรวจสอบล่าสุดเราถูกขอให้ติดตั้งซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ DNS ของเราที่ใช้งาน linux (bind9) เซิร์ฟเวอร์ไม่ได้ถูกบุกรุกระหว่างการทดสอบการเจาะระบบ แต่นี่เป็นหนึ่งในคำแนะนำที่ได้รับ

1. โดยปกติจะติดตั้งซอฟต์แวร์ป้องกันไวรัส linux เพื่อสแกนทราฟฟิกที่ผู้ใช้กำหนดดังนั้นเป้าหมายในการติดตั้งโปรแกรมป้องกันไวรัสบนเซิร์ฟเวอร์ dns คืออะไร

2. คุณมีความคิดเห็นอย่างไรกับข้อเสนอนี้?

3. คุณใช้ซอฟต์แวร์ป้องกันไวรัสบนเซิร์ฟเวอร์ linux ของคุณหรือไม่

4. ถ้าเป็นเช่นนั้นคุณควรแนะนำซอฟต์แวร์ป้องกันไวรัสชนิดใดหรือกำลังใช้งานอยู่

แง่มุมหนึ่งของเรื่องนี้ก็คือการแนะนำให้ "anti-virus" เป็นทุกอย่างนั้นเป็นทางออกที่ปลอดภัยสำหรับผู้สอบบัญชี

การตรวจสอบความปลอดภัยไม่ได้เกี่ยวกับความปลอดภัยทางเทคนิคอย่างแท้จริง บ่อยครั้งที่พวกเขายังเกี่ยวกับการจำกัดความรับผิดในกรณีที่มีการฟ้องร้อง

สมมติว่า บริษัท ของคุณถูกแฮ็กและมีการฟ้องร้องดำเนินคดีในชั้นเรียนกับคุณ ความรับผิดเฉพาะของคุณสามารถบรรเทาได้โดยพิจารณาจากมาตรฐานอุตสาหกรรมของคุณ สมมติว่าผู้ตรวจสอบบัญชีไม่แนะนำ AV บนเซิร์ฟเวอร์นี้ดังนั้นคุณจึงไม่ต้องติดตั้ง

การป้องกันของคุณในเรื่องนี้คือคุณทำตามคำแนะนำของผู้ตรวจสอบบัญชีที่มีความเคารพและผ่านเจ้าชู้เพื่อพูด นั่นคือเหตุผลหลักที่เราใช้ผู้ตรวจสอบบุคคลที่สาม โปรดทราบว่าการเปลี่ยนความรับผิดชอบมักจะถูกเขียนลงในสัญญาที่คุณลงนามกับผู้ตรวจสอบบัญชี: หากคุณไม่ปฏิบัติตามคำแนะนำของพวกเขามันก็จะเกิดขึ้นกับคุณ

ทนายจะตรวจสอบบัญชีผู้สอบบัญชีว่าอาจเป็นจำเลยร่วมได้ ในสถานการณ์สมมติของเราความจริงที่ว่าพวกเขาไม่แนะนำ AV บนเซิร์ฟเวอร์เฉพาะจะถูกมองว่าไม่ละเอียด เพียงอย่างเดียวนั้นจะทำร้ายพวกเขาในการเจรจาแม้ว่าจะไม่มีผลกระทบใด ๆ ต่อการโจมตีจริง

สิ่งเดียวที่รับผิดชอบ fiscally สำหรับ บริษัท ตรวจสอบที่จะทำคือการมีคำแนะนำมาตรฐานสำหรับเซิร์ฟเวอร์ทั้งหมดโดยไม่คำนึงถึงพื้นผิวการโจมตีที่เกิดขึ้นจริง ในกรณีนี้ภาพและเสียงได้ทุกอย่าง กล่าวอีกนัยหนึ่งพวกเขาแนะนำค้อนเลื่อนแม้ในขณะที่มีดผ่าตัดมีเทคนิคดีกว่าเนื่องจากเหตุผลทางกฎหมาย

มันสมเหตุสมผลหรือไม่ โดยทั่วไปจะไม่เพิ่มความเสี่ยง มันสมเหตุสมผลสำหรับทนายความผู้พิพากษาหรือคณะลูกขุนหรือไม่? แน่นอนว่าพวกเขาไม่มีความสามารถทางเทคนิคและไม่สามารถเข้าใจความแตกต่างได้ นี่คือสาเหตุที่คุณต้องปฏิบัติตาม

@ ขาวแนะนำให้คุณพูดกับผู้สอบบัญชีเกี่ยวกับเรื่องนี้ ฉันคิดว่านั่นเป็นเส้นทางที่ผิด คุณควรพูดคุยกับทนายความของ บริษัท ของคุณเพื่อรับความคิดเห็นของพวกเขาในการไม่ปฏิบัติตามคำขอเหล่านี้

บางครั้งผู้ตรวจสอบเป็นคนงี่เง่า ...

นี่เป็นคำขอที่ผิดปกติ ฉันจะตอบโต้คำแนะนำของผู้ตรวจสอบบัญชีโดยการรักษาความปลอดภัย / จำกัด การเข้าถึงเซิร์ฟเวอร์เพิ่ม IDS หรือการตรวจสอบความสมบูรณ์ของไฟล์หรือการรักษาความปลอดภัยที่อื่นในสภาพแวดล้อมของคุณ Antivirus ไม่มีประโยชน์ใด ๆ ที่นี่

แก้ไข:

ตามที่ระบุไว้ในความคิดเห็นด้านล่างฉันมีส่วนร่วมในการเปิดตัวเว็บไซต์ที่มีชื่อเสียงสูงในสหรัฐอเมริกาและรับผิดชอบการออกแบบสถาปัตยกรรมอ้างอิง Linux สำหรับการปฏิบัติตาม HIPAA

เมื่อเรื่องของ Antivirus เกิดขึ้นสำหรับการสนทนาเราได้แนะนำ ClamAV และไฟร์วอลล์ของแอปพลิเคชั่นเพื่อประมวลผลการส่งจากผู้ใช้ปลายทาง แต่จัดการเพื่อหลีกเลี่ยง AV ในทุกระบบโดยใช้การชดเชยการควบคุม ( IDS ของบุคคลที่สามการบันทึกเซสชัน syslog ระยะไกลสองปัจจัยรับรองความถูกต้องต่อ VPN และเซิร์ฟเวอร์ผู้ช่วยตรวจสอบไฟล์สมบูรณ์, การเข้ารหัสฐานข้อมูลของบุคคลที่ 3, โครงสร้างระบบแฟ้มบ้าฯลฯ ) สิ่งเหล่านี้ถือว่าผู้สอบบัญชียอมรับได้และทุกอย่างผ่านการอนุมัติ

สิ่งแรกที่คุณต้องเข้าใจเกี่ยวกับผู้ตรวจสอบคือพวกเขาอาจไม่รู้อะไรเกี่ยวกับวิธีการใช้เทคโนโลยีในขอบเขตในโลกแห่งความจริง

มีช่องโหว่ความปลอดภัย DNS จำนวนมากและปัญหาที่ควรได้รับการแก้ไขในการตรวจสอบ พวกเขาจะไม่มีวันได้รับปัญหาจริงหากพวกเขาถูกรบกวนด้วยวัตถุที่มีแสงจ้าเช่น "แอนตี้ไวรัสบนเซิร์ฟเวอร์ DNS"

ซอฟต์แวร์ต่อต้านไวรัสแบบทั่วไปจะพยายามค้นหามัลแวร์ได้อย่างแม่นยำมากขึ้นและไม่ได้ จำกัด เฉพาะไวรัสเท่านั้น ขึ้นอยู่กับการใช้งานจริงของเซิร์ฟเวอร์ (กล่องเฉพาะสำหรับบริการเฉพาะตู้คอนเทนเนอร์บนกล่องที่ใช้ร่วมกันบริการเพิ่มเติมใน "เซิร์ฟเวอร์เท่านั้น") อาจไม่ใช่ความคิดที่ดีที่จะมีบางอย่างเช่น ClamAV หรือ LMD (Linux Malware Detect) ติดตั้งและทำการสแกนพิเศษบางอย่างทุกคืนหรือมากกว่านั้น

เมื่อถูกถามในการตรวจสอบโปรดเลือกข้อกำหนดที่แน่นอนและดูข้อมูลประกอบ ทำไม: ผู้ตรวจสอบจำนวนมากเกินไปไม่อ่านข้อกำหนดทั้งหมดไม่ทราบข้อมูลบริบทและคำแนะนำ

ตัวอย่าง PCIDSS ระบุว่า "ปรับใช้ซอฟต์แวร์ป้องกันไวรัสในทุกระบบที่ได้รับผลกระทบจากซอฟต์แวร์ที่เป็นอันตราย" ตามความต้องการ

คอลัมน์คำแนะนำ PCIDSS ที่ชาญฉลาดระบุเฉพาะเมนเฟรมคอมพิวเตอร์ระดับกลางและระบบที่คล้ายกันในปัจจุบันอาจไม่ได้รับการกำหนดเป้าหมายหรือได้รับผลกระทบจากมัลแวร์ แต่อย่างใดอย่างหนึ่ง แต่ควรตรวจสอบระดับภัยคุกคามที่แท้จริงในปัจจุบัน ช่องโหว่ (ไม่ จำกัด เฉพาะมัลแวร์)

ดังนั้นหลังจากชี้ไปที่รายชื่อไวรัส Linux ประมาณ 50 ตัวจากhttp://en.wikipedia.org/wiki/Linux_malwareเปรียบเทียบกับไวรัสที่รู้จักกันหลายล้านตัวสำหรับระบบปฏิบัติการอื่นมันเป็นเรื่องง่ายที่จะโต้แย้งเซิร์ฟเวอร์ Linux ว่าไม่ได้รับผลกระทบโดยทั่วไป . "ชุดกฎพื้นฐานที่สุด" จากhttps://wiki.ubuntu.com/BasicSecurityยังเป็นตัวชี้ที่น่าสนใจสำหรับผู้ตรวจสอบที่ใช้ Windows ส่วนใหญ่

และการแจ้งเตือน apticron ของคุณเกี่ยวกับการอัปเดตความปลอดภัยที่รอดำเนินการและการเรียกใช้ตัวตรวจสอบความสมบูรณ์เช่น AIDE หรือ Samhain อาจแก้ไขความเสี่ยงที่แท้จริงได้แม่นยำกว่าเครื่องสแกนไวรัสมาตรฐาน สิ่งนี้อาจทำให้ผู้ตรวจสอบบัญชีของคุณไม่แนะนำความเสี่ยงในการติดตั้งซอฟต์แวร์ที่ไม่จำเป็นอื่น ๆ (ซึ่งให้ผลประโยชน์ จำกัด อาจทำให้เกิดความเสี่ยงด้านความปลอดภัยหรือทำให้ระบบแตก)

หากวิธีนี้ไม่ได้ผล: การติดตั้ง clamav เป็น cronjob ทุกวันจะไม่ทำให้เจ็บเหมือนโปรแกรมอื่น ๆ

เซิร์ฟเวอร์ DNS ได้รับความนิยมจากผู้ตรวจสอบ PCI ในปีนี้

สิ่งสำคัญที่ต้องจดจำคือในขณะที่เซิร์ฟเวอร์ DNS ไม่ได้จัดการข้อมูลที่สำคัญพวกเขาสนับสนุนสภาพแวดล้อมของคุณที่ทำ ดังนั้นผู้ตรวจสอบจึงเริ่มทำเครื่องหมายอุปกรณ์เหล่านี้ว่า "สนับสนุน PCI" ซึ่งคล้ายกับเซิร์ฟเวอร์ NTP โดยทั่วไปผู้ตรวจสอบจะใช้ข้อกำหนดชุดอื่นกับสภาพแวดล้อมการสนับสนุน PCI มากกว่าที่พวกเขาทำกับสภาพแวดล้อม PCI เอง

ฉันจะพูดกับผู้ตรวจสอบและขอให้พวกเขาชี้แจงความแตกต่างของข้อกำหนดระหว่าง PCI และ PCI ที่สนับสนุนเพียงเพื่อให้แน่ใจว่าข้อกำหนดนี้ไม่ได้แอบเข้ามาโดยไม่ได้ตั้งใจเราไม่จำเป็นต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ DNS ของเรา สำหรับสภาพแวดล้อม PCI แต่การป้องกันไวรัสไม่ใช่ข้อกำหนดที่เราประสบ

นี่อาจจะเป็นปฏิกิริยาที่กระตุกเข่าต่อการทุบตีของกระสุนหอยมันแนะนำว่าออนไลน์ที่อาจได้รับผลกระทบ

แก้ไข: ไม่แน่ใจว่าเคยได้รับการพิสูจน์หรือยืนยันแล้ว

หากเซิร์ฟเวอร์ DNS ของคุณตกอยู่ในขอบเขต PCI DSS คุณอาจถูกบังคับให้เรียกใช้ AV กับเซิร์ฟเวอร์เหล่านั้น (แม้ว่าจะเป็นเรื่องไร้สาระในกรณีส่วนใหญ่) เราใช้ ClamAV

หากนี่เป็นไปตามข้อกำหนดของ SOX พวกเขากำลังบอกให้คุณติดตั้งโปรแกรมป้องกันไวรัสส่วนใหญ่เพราะบางที่คุณมีนโยบายที่แจ้งว่าเซิร์ฟเวอร์ทั้งหมดต้องติดตั้งโปรแกรมป้องกันไวรัส และอันนี้ก็ไม่ได้

เขียนข้อยกเว้นไปยังนโยบายสำหรับเซิร์ฟเวอร์นี้หรือติดตั้ง AV

เซิร์ฟเวอร์ DNS มีสองประเภทหลัก: มีสิทธิ์และเรียกซ้ำ เผด็จการเซิร์ฟเวอร์ DNS ที่บอกโลกสิ่งที่อยู่ IP ควรจะใช้สำหรับแต่ละชื่อโฮสต์ภายในโดเมน เมื่อเร็ว ๆ นี้มันเป็นไปได้ที่จะเชื่อมโยงข้อมูลอื่น ๆ กับชื่อเช่นนโยบายการกรองอีเมล (SPF) และใบรับรองการเข้ารหัสลับ (DANE) จำแนกหรือrecursiveเซิร์ฟเวอร์ DNS, ดูข้อมูลที่เกี่ยวข้องกับชื่อโดเมนที่ใช้เซิร์ฟเวอร์ราก ( .) เพื่อหาเซิร์ฟเวอร์รีจิสทรี ( .com) โดยใช้เหล่านั้นเพื่อหาเซิร์ฟเวอร์เผด็จการโดเมน ( serverfault.com) และในที่สุดก็ใช้เหล่านั้นเพื่อหาชื่อโฮสต์ ( serverfault.com, meta.serverfault.com, ฯลฯ )

ฉันไม่เห็นว่า "โปรแกรมป้องกันไวรัส" จะเหมาะกับเซิร์ฟเวอร์ที่เชื่อถือได้อย่างไร แต่ "แอนตี้ไวรัส" ในทางปฏิบัติสำหรับตัวแก้ไขจะเกี่ยวข้องกับการบล็อกการค้นหาโดเมนที่เกี่ยวข้องกับการแจกจ่ายหรือคำสั่งและการควบคุมมัลแวร์ Google dns block malwareหรือdns sinkholeได้ผลลัพธ์สองสามอย่างที่อาจช่วยคุณปกป้องเครือข่ายของคุณด้วยการปกป้องตัวแก้ไขปัญหา นี่ไม่ใช่โปรแกรมป้องกันไวรัสประเภทเดียวกันที่คุณเรียกใช้บนเครื่องไคลเอนต์ / เดสก์ท็อป แต่เสนอให้ฝ่ายที่รับผิดชอบข้อกำหนด "โปรแกรมป้องกันไวรัส" อาจตอบกลับที่ช่วยให้คุณเข้าใจลักษณะของข้อกำหนด "โปรแกรมป้องกันไวรัส" ได้ดีขึ้น .

คำถามที่เกี่ยวข้องกับไซต์ Stack Exchange อื่น ๆ :

• บางคนสามารถมี้้โดเมน sinkhole ได้อย่างไร

ดีกว่าที่จะเรียกใช้ Tripwire หรือผู้ช่วย