Exécutez un logiciel antivirus sur les serveurs DNS Linux. Est-ce logique?

Parfois les auditeurs sont des idiots...

Cette demande est inhabituelle, cependant. Je contrecarrerais la recommandation de l'auditeur en sécurisant/limitant l'accès aux serveurs, en ajoutant un IDS ou en surveillant l'intégrité des fichiers ou en renforçant la sécurité ailleurs dans votre environnement. L'antivirus n'a aucun bénéfice ici.

Éditer :

Comme mentionné dans les commentaires ci-dessous, j'ai participé au lancement d'un site web très hautement profilé ici aux États-Unis, et j'étais responsable de la conception de l'architecture de référence Linux pour la conformité HIPAA.

Lorsque la question de l'Antivirus a été abordée, nous avons recommandé ClamAV et un pare-feu d'application pour traiter les soumissions des utilisateurs finaux, mais nous avons réussi à éviter d'avoir un AV sur tous les systèmes en mettant en œuvre des contrôles compensatoires (IDS tiers, logging des sessions, auditd, syslog à distance, authentification à deux facteurs pour le VPN et les serveurs, surveillance de l'intégrité des fichiers AIDE, chiffrement de base de données tiers, structures de fichiers folles, etc.). Ces mesures ont été jugées acceptables par les auditeurs, et tout a été approuvé.

La première chose que vous devez comprendre à propos des auditeurs est qu'ils peuvent ne rien savoir sur la façon dont la technologie en question est utilisée dans le monde réel.

Il y a beaucoup de vulnérabilités et de problèmes de sécurité DNS qui devraient être abordés lors d'un audit. Ils ne parviendront jamais à traiter les problèmes réels s'ils sont distraits par des objets brillants comme la case à cocher "antivirus sur un serveur DNS".

Les logiciels antivirus modernes typiques tentent de manière plus précise de trouver des logiciels malveillants et ne se limitent pas uniquement aux virus. Selon la mise en œuvre réelle d'un serveur (boîte dédiée pour un service dédié, conteneur sur une boîte partagée, service supplémentaire sur "le seul serveur"), il n'est probablement pas une mauvaise idée d'avoir quelque chose comme ClamAV ou LMD (Linux Malware Detect) installé et d'effectuer une analyse supplémentaire chaque nuit ou ainsi.

Lorsqu'on vous demande lors d'un audit, veuillez choisir l'exigence exacte et consulter les informations accompagnantes. Pourquoi: trop d'auditeurs ne lisent pas l'exigence complète, ne sont pas conscients du contexte et des informations de guidage.

Par exemple, le PCIDSS indique "déployer un logiciel antivirus sur tous les systèmes couramment affectés par des logiciels malveillants" comme une exigence.

La colonne de guidage perspicace du PCIDSS indique spécifiquement que les mainframes, les ordinateurs de milieu de gamme et les systèmes similaires ne sont peut-être pas actuellement couramment ciblés ou affectés par des logiciels malveillants, mais on doit surveiller le niveau actuel de menace, être conscient des mises à jour de sécurité du fournisseur et mettre en œuvre des mesures pour traiter de nouvelles vulnérabilités de sécurité (non limitées aux logiciels malveillants).

Ainsi, après avoir pointé la liste d'environ 50 virus Linux de http://en.wikipedia.org/wiki/Linux_malware par rapport aux millions de virus connus pour d'autres systèmes d'exploitation, il est facile d'argumenter qu'un serveur Linux n'est pas communément affecté. Les "règles les plus élémentaires" de https://wiki.ubuntu.com/BasicSecurity sont également un indice intéressant pour la plupart des auditeurs concentrés sur Windows.

Et vos alertes apticron sur les mises à jour de sécurité en attente et l'exécution de vérificateurs d'intégrité comme AIDE ou Samhain peuvent aborder de manière plus précise les risques réels que ne le ferait un scanner antivirus standard. Cela pourrait également convaincre votre auditeur de ne pas introduire le risque d'installer un logiciel autrement inutile (qui offre un avantage limité, peut poser un risque pour la sécurité ou simplement causer des dysfonctionnements).

Si cela ne suffit pas : installer clamav en tant que tâche cron quotidienne ne fait pas autant de mal que d'autres logiciels.

Les serveurs DNS sont devenus populaires auprès des auditeurs PCI cette année.

Il est important de reconnaître que bien que les serveurs DNS ne gèrent pas de données sensibles, ils supportent vos environnements qui le font. En tant que tel, les auditeurs commencent à signaler ces appareils comme "supportant la PCI", de manière similaire aux serveurs NTP. Les auditeurs appliquent généralement un ensemble de exigences différent aux environnements soutenant la PCI qu'aux environnements PCI eux-mêmes.

Je parlerais aux auditeurs et leur demanderais de clarifier la différence de leurs exigences entre la PCI et les environnements de support PCI, simplement pour m'assurer que cette exigence n'a pas été introduite accidentellement. Nous avons dû nous assurer que nos serveurs DNS satisfaisaient aux directives de durcissement similaires à celles des environnements PCI, mais l'anti-virus n'était pas l'une des exigences auxquelles nous avons été confrontés.