Come passare il requisito dell'antivirus PCI DSS 2.0 (5.1) su Linux?

Naviga le tue risposte
14

Requisiti PCI DSS 2.0 5.1:

5.1 Deploy anti-virus software on all systems commonly affected by malicious software (particularly personal computers and servers).

Questo requisito (anche se non sono al 100% positivo è l'unico) ha causato il team di sicurezza IT nella nostra azienda per richiedere a tutte le workstation in grado di connettersi in qualche modo all'ambiente di produzione (e probabilmente a tutti i server CHD) di avere antivirus e firewall installati.

Secondo me se l'unico OS della workstation o del server è GNU / Linux (in questo caso Debian Wheezy), questo requisito è in qualche modo fastidioso. Per quanto ne so, lo scopo principale del software AV in esecuzione su distribuzioni Linux è quello di rilevare il malware di Windows, senza contare che nessuno di questi strumenti offre protezione "live". La migliore protezione possibile è la scansione pianificata (e, dal momento che il requisito 5.1.1 è un bel problema).

Inoltre, i firewall sono richiesti su tutte le workstation (PCI DSS 1.4). La parte divertente è che mentre praticamente tutte le installazioni di Linux hanno firewall (iptables), praticamente nessuna di esse ha regole.

È possibile passare PCI DSS senza installare l'antivirus su tutte le workstation e i server Linux?

È possibile passare PCI DSS senza installare firewall aggiuntivi o configurare iptables su tutte le workstation Linux?

AGGIUNTO : se è necessario l'AV, per quanto riguarda il requisito 5.1.1?

5.1.1 Ensure that all anti-virus programs are capable of detecting, removing, and protecting against all known types of malicious software.

Non penso che Linux AV sia in grado di fare "protezione live", come nell'esplorare tutto ciò che l'utente esegue o sta per eseguire. Almeno non compatibile con i kernel recenti.

AGGIORNAMENTO DELLA CERTIFICAZIONE POST : La nostra azienda ora è certificata PCI DSS 3.0 e non abbiamo dovuto installare antivirus su tutti i computer con GNU / Linux. Non abbiamo dovuto discutere con il valutatore, come hanno detto subito che AV non è richiesto su workstation Linux secondo loro.

    
posta OhJeez 20.05.2014 - 15:01
fonte

3 risposte

13

Can you pass PCI DSS without installing antivirus on all linux workstations and servers?

Sì, assolutamente.

Can you pass PCI DSS without installing additional firewalls or configuring iptables on all linux workstations?

Sì, assolutamente.

In entrambi i casi, il PCI-DSS contiene dichiarazioni che consentono di formulare argomenti ragionevoli in merito all'applicabilità (o meno) del requisito a sistemi specifici.

  1. Devi mettere l'AV su tutti i " sistemi comunemente interessati dal software dannoso ". Se non vuoi metterlo su Linux, devi dimostrare che i tuoi sistemi non sono influenzati da nulla che un pacchetto AV rilevi. E, ovviamente, se quel server Linux è un file server Samba per centinaia di client Windows, è una cosa speciosa e dovresti farlo comunque.
  2. DSS 1.4 non dice che hai bisogno di firewall su tutte le workstation, dice che hai bisogno di firewall su tutti i " computer mobili e / o di proprietà dei dipendenti con connettività diretta a Internet ".

Ora, @ Graham-Hill indica correttamente che dovrai convincere le altre persone della verità su queste cose. Forse quelle altre persone sono i tuoi auditor, forse quelle altre persone sono i tuoi stessi colleghi. Forse sono ragionevoli e forse non lo sono. Forse è facile, forse è difficile. Leggi i requisiti, documenta il tuo caso , fai la discussione, prova a vincere ... e renditi conto che è un mondo ingiusto e potresti perdere comunque.

    
risposta data 20.05.2014 - 18:42
fonte
1

A nessuno interessa quello che pensi.

Scusa, sappi che sei una persona adorabile e tutto il resto. Ma temo che a loro davvero non importi. La tua organizzazione vuole essere compatibile con PCI-DSS; hanno assegnato il team di sicurezza IT per implementarlo; quella squadra ti ha dato istruzioni. Seguile.

BTW, il team IT sa che il software AV su Linux farà ben poco per questo. A loro non importa Il loro compito è quello di rendere l'organizzazione compatibile con PCI-DSS. Lo hanno interpretato nel senso di dispiegare l'AV su tutto. C'è forse spazio sufficiente nello standard per sviare il tuo computer dal requisito, ma ciò significa documentare un'eccezione e poterlo eseguire in un controllo, e ottenere l'approvazione dal senior management e portare il barattolo se qualcosa va sbagliato e PCI ha detto che non eri in regola. Perché dovrebbero farlo per te? Il tuo business case per non averlo è "sei tutto matto".

BTBTW, PCI-DSS sa anche che il software AV su Linux farà ben poco per questo. A loro non importa PCI-DSS è lungo e coinvolto così com'è. Se mettono una matrice complicata di esattamente ciò che le macchine hanno bisogno di AV e quali no, confonderà le persone e si interromperà nel momento in cui entrerà nel mondo reale e qualcuno si ritroverà con BeOS. Inoltre, non sanno nulla della tua organizzazione. Con tutti gli standard c'è sempre conflitto tra precisione e flessibilità; devi disegnare una linea da qualche parte.

    
risposta data 20.05.2014 - 16:10
fonte
0

Per quanto riguarda il malware Anti-virus che influenza i server Linux è più comunemente rootkit. Pertanto, CHKRootkit e RKHunter devono essere implementati per soddisfare questo requisito anti-virus, credo. Questo è stato accettato dai nostri auditor.

Non avere protezione per rilevare le modifiche per Netstat o Top e applicazioni simili è sconsigliato. Non solo da un requisito PCI-DSS, ma dalle migliori pratiche generali nell'implementazione della sicurezza dei sistemi. Qualcosa come il demone Samhain può periodicamente avvisarti delle modifiche apportate agli hash di tali applicazioni e potresti creare uno script per far eseguire rkhunter in background se è stata rilevata una tale modifica.

Un'altra cosa che è già stata menzionata è che se il server è per la memorizzazione o l'e-mail di file, è possibile utilizzare anche ClamAV per eseguire la scansione della posta in arrivo o delle condivisioni di samba. Pensa che potresti aver avuto fortuna con quell'auditor che ho lavorato in molte aziende che semplicemente non mi avrebbero permesso di licenziare questo. Ecco come gli altri membri del team operativo e io stesso siamo riusciti a farcela.

Buona fortuna!

    
risposta data 07.10.2015 - 23:22
fonte

Leggi altre domande sui tag

Sostituzione per DVL (Damn Vulnerable Linux)? [chiuso] Come conservare i semi OTP in modo sicuro sul server di convalida