在最近的一次审计中,我们被要求在运行 Linux(bind9)的 DNS 服务器上安装防病毒软件。服务器在渗透测试期间没有受到损害,但这是给出的建议之一。
通常安装 linux 防病毒软件来扫描发往用户的流量,那么在 dns 服务器上安装防病毒软件的目的是什么?
你对这个建议有什么看法?
您是否确实在您的 Linux 服务器上运行了防病毒软件?
如果是,您会推荐哪种防病毒软件或您正在使用哪种防病毒软件?
答案1
其中一个方面是建议使用“防病毒”一切对于审计员来说,是安全的选择。
安全审计并不完全是为了实际的技术安全。通常,它们也是为了在发生诉讼时限制责任。
假设您的公司遭到黑客攻击,有人对您提起集体诉讼。根据您遵守行业标准的程度,您的具体责任可以减轻。假设审计师确实不是建议在此服务器上安装 AV,因此您不要安装它。
您的辩护理由是,您遵循了一位受人尊敬的审计师的建议,并推卸责任。顺便说一句,这是我们使用第三方审计师的主要原因。请注意,责任转移通常写在您与审计师签订的合同中:如果您不遵循他们的建议,那么一切都由您自己承担。
那么,律师将调查审计员作为可能的共同被告。在我们的假设情况下,他们没有在特定服务器上推荐 AV 的事实将被视为不彻底。即使这与实际攻击毫无关系,这一点本身也会在谈判中对他们造成伤害。
对于审计公司来说,唯一负责任的做法是对所有服务器制定标准建议,而不管实际攻击面如何。在这种情况下,AV一切换句话说,即使手术刀在技术上更胜一筹,他们仍会根据法律推理推荐使用大锤。
从技术角度来说,这是否合理?一般来说,这是否合理,因为这通常会增加风险。从律师、法官甚至陪审团的角度来看,这是否合理?当然,他们技术能力不足,无法理解其中的细微差别。这就是您需要遵守的原因。
@ewwhite 建议你和审计师谈谈这件事。我认为这是错误的做法。你应该和你公司的律师谈谈,听听他们的意见不是按照这些要求。
答案2
不过,这是一个不常见的请求。我会反对审计员的建议,通过保护/限制对服务器的访问、添加 IDS 或文件完整性监控或加强环境中其他地方的安全性。防病毒软件在这里没有任何好处。
编辑:
正如下面的评论中所述,我参与了一项非常高知名度的网站在美国,负责设计符合 HIPAA 要求的 Linux 参考架构。
当讨论到防病毒问题时,我们确实推荐了 ClamAV 和应用程序防火墙来处理来自最终用户的提交,但通过实施以下措施,我们设法避免在所有系统上安装 AV:补偿控制 (第三方入侵检测系统、会话日志记录、auditd、远程系统日志、双因素认证VPN 和服务器、AIDE 文件完整性监控、第三方数据库加密、疯狂的文件系统结构, ETC。). 审计人员认为这些均可接受,并全部获得批准。
答案3
您需要了解的关于审计员的第一件事是,他们可能对范围内的技术在现实世界中是如何使用的一无所知。
审计中应该解决许多 DNS 安全漏洞和问题。如果他们被诸如“DNS 服务器上的防病毒软件”复选框之类的闪亮物体分散了注意力,他们就永远无法找到真正的问题。
答案4
今年,DNS服务器已经受到PCI审计员的青睐。
需要认识到的重要一点是,虽然 DNS 服务器不会处理敏感数据,他们支持您的环境确实需要这些设备。因此,审计人员开始将这些设备标记为“PCI 支持”,类似于 NTP 服务器。审计人员通常对 PCI 支持环境应用一组与 PCI 环境本身不同的要求。
我会与审计员沟通,请他们澄清 PCI 和 PCI 支持之间的要求差异,以确保这个要求不会意外出现。我们确实需要确保我们的 DNS 服务器满足与 PCI 环境类似的强化指南,但防病毒并不是我们面临的要求之一。