I server transitori e volatili richiedono scanner antivirus?

Naviga le tue risposte
7

Spesso ci viene chiesto se installiamo software antivirus sui nostri server, in particolare il tipo di scanner basati sulle firme eseguiti su una pianificazione. I questionari sulla sicurezza del cliente e gli ISMS ne parlano spesso.

Per i server a lunga durata questo ha naturalmente senso. Anche se teoricamente apre la finestra agli attacchi attraverso il compromesso, ad esempio, del processo di aggiornamento della firma di ClamAV, questo è lontano meno probabile di altre forme di infezioni che periodicamente le scansioni AV possono rilevare e mettere in quarantena.

Tuttavia, l'infrastruttura moderna è spesso basata su immutabili "immagini macchina", come Amazon Machine Images di Amazon Web Service, che sono utilizzate come base per gruppi di server altamente transienti che si espandono e si abbassano nell'arco della giornata in base all'utilizzo generale .

I singoli server in questi gruppi possono durare da un'ora a sei ore, ma raramente durano più di un giorno nel nostro caso. Chiedendo agli amministratori di sysadmin / devops, sembra che il consenso non si preoccupi dell'antivirus su questi server.

Alcuni dei punti che ho sentito contro l'AV su tali server sono:

  • I server muoiono in un giorno o meno nella maggior parte dei casi, quindi il malware avrebbe difficoltà a persistere.
  • Quando pianifichi la scansione? Non all'avvio, poiché è presumibile che l'infrastruttura richieda il maggior numero di risorse del nuovo server, quindi anche un processo di scansione nice d potrebbe essere un problema.
  • La base dei nuovi server proviene da un'immagine immutabile, quindi la quarantena automatica risolve il problema per un singolo server per un breve periodo di tempo, non risolvendo il problema nell'immagine di base che ha permesso l'inizio dell'infezione.

Tuttavia, mi trovo a mettere in discussione questa vista per questi motivi:

  • I virus moderni hanno spesso buoni meccanismi di propagazione della rete, quindi spotting malware anche su server transitori sembra importante.
  • Combinare la scansione antivirus con la registrazione centralizzata consente di avvisare il malware anche se la quarantena automatica non è efficace a lungo termine su un server transitorio di breve durata. È fondamentale consentire al personale di sapere in merito alla presenza di malware in un gruppo transitorio di server.
  • I manager di servizio come systemd consentono di compensare la prima scansione e la pianificazione, quindi evitare di colpire il tempo di avvio è facile.

Potrebbero alcuni degli esperti qui dare il loro parere su questo? Ho ragione di voler ancora gli scanner antivirus su tali server?

    
posta Louis Jackman 04.07.2018 - 12:33
fonte

2 risposte

7

Ti stai ponendo le domande giuste ma ci chiedi quella sbagliata.

I controlli di sicurezza, come AV, hanno lo scopo di indirizzare minacce al fine di ridurre l'impatto a un livello accettabile. Hai identificato le minacce e il probabile impatto di tali minacce. Grande! Ora è necessario verificare se l'indirizzo AV basato sulla firma di tali minacce e riduce l'impatto a un livello accettabile (o se i livelli di impatto sono già accettabili).

È possibile risolvere il problema di propagazione modificando il firewall / rete per bloccare le connessioni che iniziano dai server frontali? Se è così, AV potrebbe non essere necessario.

Potresti ottenere informazioni sulla minaccia ("consentendo allo staff di conoscere la presenza di malware") registrando i server non transienti? Che cosa i dati dai server transitori ti danno che i tuoi server permanenti no? Qual è la probabilità che i server temporanei vengano infettati in modo univoco? Se riesci a ottenere i dati da altre fonti, potresti non aver bisogno di AV.

Come si aggiorna il database AV? Dovrai avviare il server, aggiornare il database, quindi eseguire una scansione pianificata? Questo ritardo è accettabile per il livello di servizio richiesto? Se il ritardo non ha senso per te, allora potresti voler usare altre attenuazioni.

Ma la domanda di fondo riguarda il tipo di AV che stai assumendo. Stai presupponendo installato localmente , basato sulla firma AV, ma esistono altri tipi più dinamici che non richiedono aggiornamenti del database e analizzano solo i dati nuovi o in entrata. È possibile l'AV in rete, in linea e IDS.

Quindi la domanda che devi porre è se questa implementazione soddisfa le tue esigenze o se i rischi possono essere soddisfatti con altri mezzi.

    
risposta data 04.07.2018 - 12:55
fonte
6

Non eseguirò l'antivirus sui miei server, per un paio di motivi:

  1. Sono enormi pezzi di software

    L'intera idea di un server è di eseguire un compito, e solo uno, nel modo più veloce possibile. Ci sono alcune attività accessorie che è necessario eseguire, ma l'idea è la stessa. I motori AV rallentano il servizio.

  2. Di solito vengono eseguiti con root autorizzazioni

    Il tuo server web probabilmente non funziona come root. Neanche il tuo server di posta elettronica, o database, o qualsiasi altra cosa. Ma l'antivirus funziona come root.

  3. La superficie di attacco di un AV è enorme

    Hanno innumerevoli decoder, interpreti, decompressori, parser, emulatori ... La lista delle parti mobili è infinita. Un decoder buggato e l'esecuzione del codice come root. Permetti all'AV di scansionare i pacchetti in arrivo e hai l'esecuzione del codice remoto come root.

Ci sono delle eccezioni: i file server. Installerei AV su un file server, perché gli utenti caricheranno cose brutte. Il punto di ingresso è un buon posto per mettere un AV, anche se sarebbe un posto migliore per mettere un IDS / IPS.

Oltre a questo, la sicurezza e la compartimentazione dei server saranno molto migliori per la sicurezza che installare un motore antivirus affamato e pieno di risorse.

    
risposta data 04.07.2018 - 14:33
fonte

Leggi altre domande sui tag

Le richieste Wget e Python non riescono a convalidare i certificati SSL, ma i browser non mostrano alcun avviso Protezione delle credenziali di eduroam