it-swarm.com.de

Wie übergebe ich PCI DSS 2.0 Antiviren-Anforderung (5.1) unter Linux?

PCI DSS 2.0 Anforderung 5.1 besagt:

5.1 Stellen Sie Antivirensoftware auf allen Systemen bereit, die häufig von schädlicher Software betroffen sind (insbesondere auf PCs und Servern).

Diese Anforderung (obwohl ich nicht 100% sicher bin, dass es die einzige ist) veranlasste das IT-Sicherheitsteam in unserem Unternehmen, alle Workstations, die eine Verbindung zur Produktionsumgebung (und wahrscheinlich alle CHD-Server) herstellen können, mit Antivirus und Firewall zu beauftragen Eingerichtet.

Meiner Meinung nach ist diese Anforderung etwas verrückt, wenn das einzige Betriebssystem der Workstation oder des Servers GNU/Linux ist (in diesem Fall Debian Wheezy). Soweit ich weiß, besteht der Hauptzweck von AV-Software, die unter Linux-Distributionen ausgeführt wird, darin, Windows-Malware zu erkennen, ganz zu schweigen davon, dass keines dieser Tools einen "Live" -Schutz bietet. Der beste Schutz, den Sie erhalten können, ist der geplante Scan (und da Anforderung 5.1.1 ein ziemliches Problem darstellt).

Darüber hinaus sind auch auf allen Workstations Firewalls erforderlich (PCI DSS 1.4). Der lustige Teil ist, dass praktisch alle Linux-Installationen Firewalls (iptables) haben, aber praktisch keine von ihnen Regeln hat.

Können Sie PCI DSS) übergeben, ohne Antivirus auf allen Linux-Workstations und -Servern zu installieren?

Können Sie PCI DSS) übergeben, ohne zusätzliche Firewalls zu installieren oder iptables auf allen Linux-Workstations zu konfigurieren?

HINZUGEFÜGT : Wenn der AV benötigt wird, was ist mit Anforderung 5.1.1?

5.1.1 Stellen Sie sicher, dass alle Antivirenprogramme alle bekannten Arten von schädlicher Software erkennen, entfernen und vor ihnen schützen können.

Ich glaube nicht, dass Linux AV in der Lage ist, "Live-Schutz" zu bieten, wie beim Scannen von allem, was der Benutzer ausführt oder ausführen wird. Zumindest nicht kompatibel mit aktuellen Kerneln.

POST-CERTIFICATION UPDATE: Unser Unternehmen ist jetzt PCI DSS . zertifiziert und wir mussten nicht auf jedem Computer, auf dem GNU/ausgeführt wird, Antivirus installieren. Linux. Wir mussten uns nicht mit dem Assessor streiten, da sie sofort sagten, dass AV ihrer Meinung nach auf Linux-Workstations nicht erforderlich ist.

16
OhJeez

Können Sie PCI DSS) übergeben, ohne Antivirus auf allen Linux-Workstations und -Servern zu installieren?

Ja absolut.

Können Sie PCI DSS) übergeben, ohne zusätzliche Firewalls zu installieren oder iptables auf allen Linux-Workstations zu konfigurieren?

Ja absolut.

In beiden Fällen enthält das PCI-DSS Aussagen, mit denen Sie vernünftige Argumente für die Anwendbarkeit (oder Nichtanwendbarkeit) der Anforderung auf bestimmte Systeme vorbringen können.

  1. Sie müssen AV auf alle " Systeme, die häufig von schädlicher Software betroffen sind" setzen. Wenn Sie es nicht unter Linux installieren möchten, müssen Sie sicherstellen, dass Ihre Systeme von nichts betroffen sind, was ein AV-Paket erkennt. Und wenn dieser Linux-Server ein Samba-Dateiserver für Hunderte von Windows-Clients ist, ist das natürlich etwas Besonderes, und Sie sollten es trotzdem tun.
  2. DSS 1.4 sagt nicht, dass Sie Firewalls auf allen Workstations benötigen, sondern dass Sie Firewalls auf allen " mobilen und/oder Computern im Besitz von Mitarbeitern mit direkter Verbindung zum Internet benötigen = ".

@ Graham-hill weist richtig darauf hin, dass Sie andere Menschen von der Wahrheit dieser Dinge überzeugen müssen. Vielleicht sind diese anderen Leute Ihre Prüfer, vielleicht sind diese anderen Leute Ihre eigenen Mitarbeiter. Vielleicht sind sie vernünftig und vielleicht auch nicht. Vielleicht ist es einfach, vielleicht ist es schwer. Lesen Sie die Anforderungen, dokumentieren Sie Ihren Fall, argumentieren Sie, versuchen Sie zu gewinnen ... und stellen Sie fest, dass es eine ungerechte Welt ist und Sie trotzdem verlieren können.

14
gowenfawr

In Bezug auf Anti-Virus-Malware, die Linux-Server betrifft, handelt es sich häufiger um Rootkits. Daher sollten CHKRootkit und RKHunter bereitgestellt werden, um diese Anti-Virus-Anforderung zu erfüllen, glaube ich. Dies wurde von unseren Wirtschaftsprüfern akzeptiert.

Es ist nicht ratsam, keinen Schutz zu haben, um Änderungen für Netstat oder Top und ähnliche Anwendungen zu erkennen. Nicht nur aufgrund einer PCI-DSS-Anforderung, sondern allgemeiner Best Practices für die Implementierung der Systemsicherheit. So etwas wie der Samhain-Daemon kann Sie regelmäßig über Änderungen in den Hashes solcher Anwendungen informieren, und Sie können ein Skript erstellen, mit dem rkhunter im Hintergrund ausgeführt wird, wenn eine solche Änderung festgestellt wird.

Eine andere Sache, die bereits erwähnt wurde, ist, dass, wenn der Server für die Speicherung von Dateien oder E-Mails vorgesehen ist, auch die Implementierung von ClamAV zum Scannen der eingehenden E-Mails oder Samba-Freigaben verwendet werden kann. Ich glaube, Sie haben Glück mit dem Wirtschaftsprüfer, den ich in vielen Unternehmen gearbeitet habe, der mich einfach nicht einfach entlassen würde. So haben es andere Mitglieder des Betriebsteams und ich geschafft, das zu umgehen.

Viel Glück!

1
Sean Smith