¿Cómo pasar el requisito de antivirus PCI DSS 2.0 (5.1) en Linux?

Navega tus respuestas
14

El requisito 5.1 de PCI DSS 2.0 indica:

  

5.1 Implemente software antivirus en todos los sistemas comúnmente afectados por software malintencionado (especialmente computadoras personales y servidores).

Este requisito (aunque no soy 100% positivo, es el único) hizo que el equipo de seguridad de TI de nuestra empresa solicitara que todas las estaciones de trabajo capaces de conectarse de alguna manera al entorno de producción (y probablemente a todos los servidores CHD) tengan antivirus y firewall instalados.

En mi opinión, si el único sistema operativo de la estación de trabajo o del servidor es GNU / Linux (Debian Wheezy en este caso), este requisito es un tanto loco. Por lo que sé, el propósito principal del software AV que se ejecuta en distribuciones de Linux es detectar malware de Windows, sin mencionar que ninguna de esas herramientas ofrece protección "en vivo". La mejor protección que puede obtener es un escaneo programado (y, desde el requisito 5.1.1, eso es un problema).

Además, también se requieren firewalls en todas las estaciones de trabajo (PCI DSS 1.4). Lo gracioso es que si bien prácticamente todas las instalaciones de Linux tienen firewalls (iptables), prácticamente ninguna de ellas tiene reglas.

¿Puede pasar PCI DSS sin instalar antivirus en todas las estaciones de trabajo y servidores de Linux?

¿Puede pasar PCI DSS sin instalar firewalls adicionales o configurar iptables en todas las estaciones de trabajo de Linux?

AÑADIDO : si se necesita el AV, ¿qué pasa con el requisito 5.1.1?

  

5.1.1 Asegúrese de que todos los programas antivirus puedan detectar, eliminar y proteger contra todos los tipos conocidos de software malintencionado.

No creo que haya Linux AV capaz de hacer "protección en vivo", ya que al escanear todo lo que el usuario ejecuta o está a punto de ejecutar. Al menos no es compatible con núcleos recientes.

ACTUALIZACIÓN POST-CERTIFICACIÓN : Nuestra empresa ahora cuenta con la certificación PCI DSS 3.0 y no tuvimos que instalar antivirus en todas las computadoras que ejecutan GNU / Linux. No tuvimos que discutir con el asesor, ya que dijeron de inmediato que, en su opinión, no se requiere AV en la estación de trabajo Linux.

    
pregunta OhJeez 20.05.2014 - 15:01
fuente

3 respuestas

13
  

¿Se puede pasar PCI DSS sin instalar antivirus en todos los linux?   estaciones de trabajo y servidores?

Sí, absolutamente.

  

¿Puede pasar PCI DSS sin instalar firewalls adicionales o   configurando iptables en todas las estaciones de trabajo de linux?

Sí, absolutamente.

En ambos casos, el PCI-DSS contiene declaraciones que le permiten presentar argumentos razonables sobre la aplicabilidad (o no) del requisito a sistemas específicos.

  1. Debe poner AV en todos los " sistemas comúnmente afectados por software malicioso ". Si no desea ponerlo en Linux, debe asegurarse de que sus sistemas no estén afectados por cualquier cosa que detecte un paquete AV. Y, obviamente, si ese servidor Linux es un servidor de archivos Samba para cientos de clientes de Windows, eso es engañoso y debería hacerlo de todos modos.
  2. DSS 1.4 no dice que necesite firewalls en todas las estaciones de trabajo, sino que necesita firewalls en todas las computadoras " móviles y / o de propiedad de empleados con conectividad directa a Internet ".

Ahora, @ graham-hill señala correctamente que necesitarás convencer a otras personas de la verdad de estas cosas. Quizás esas otras personas sean sus auditores, tal vez esas otras personas sean sus propios compañeros de trabajo. Tal vez sean razonables, y tal vez no lo sean. Tal vez sea fácil, tal vez sea difícil. Lea los requisitos, documente su caso , defina el argumento, intente ganar ... y comprenda que es un mundo injusto y que puede perder de todos modos.

    
respondido por el gowenfawr 20.05.2014 - 18:42
fuente
1

A nadie le importa lo que pienses.

Lo siento, sé que eres una persona encantadora y todo. Pero me temo que realmente no les importa. Su organización quiere ser compatible con PCI-DSS; han asignado al equipo de seguridad de TI para implementar esto; Ese equipo te ha dado instrucciones. Síguelos.

Por cierto, el equipo de TI sabe que el software AV en Linux hará muy poco por ello. A ellos no les importa Su trabajo es hacer que la organización cumpla con PCI-DSS. Han interpretado que significa desplegar AV en todo. Tal vez haya suficiente espacio en la norma para sacar a la computadora del requisito, pero eso significa documentar una excepción y poder realizar una copia de seguridad en una auditoría, obtener la aprobación de la alta gerencia y llevar la lata si algo funciona mal y PCI dice que no estabas en cumplimiento. ¿Por qué deberían hacer eso por ti? Su caso de negocios para no tenerlo es "todos ustedes están locos".

BTBTW, PCI-DSS también saben que el software AV en Linux hará muy poco por ello. A ellos tampoco les importa. PCI-DSS es largo y está involucrado como es. Si ponen una matriz grande y complicada de exactamente qué máquinas necesitan AV y cuáles no confundirán a la gente y romperán el minuto en que se produce en el mundo real y alguien aparece ejecutando BeOS. Además, no saben nada de tu organización. Con todos los estándares siempre hay conflicto entre la precisión y la flexibilidad; Tienes que dibujar una línea en algún lugar.

    
respondido por el Graham Hill 20.05.2014 - 16:10
fuente
0

En lo que respecta al malware antivirus que afecta a los servidores Linux, es más común que se trate de rootkits. Por lo tanto, creo que CHKRootkit y RKHunter deben implementarse para cumplir con este requisito de antivirus. Esto fue aceptado por nuestros auditores.

No se recomienda no tener protección para detectar cambios en Netstat o Top y aplicaciones similares. No solo de un requisito de PCI-DSS, sino de las mejores prácticas generales en la implementación de seguridad de sistemas. Algo así como el demonio Samhain puede notificarle periódicamente los cambios en los hashes de dichas aplicaciones y podría crear un script para que rkhunter se ejecute en segundo plano si se detectara dicho cambio.

Otra cosa que ya se ha mencionado es que si el servidor es para almacenamiento de archivos o correo electrónico, también se puede usar ClamAV para escanear el correo entrante o los recursos compartidos de samba. Creo que es posible que haya tenido suerte con ese auditor. He trabajado en muchas empresas que simplemente no me permitirían descartar esta. Entonces, así es como otros miembros del equipo de operaciones y yo mismo lo hemos logrado.

¡Buena suerte!

    
respondido por el Sean Smith 07.10.2015 - 23:22
fuente

Lea otras preguntas en las etiquetas

Cómo almacenar semillas OTP de forma segura en el servidor de validación ¿Cuál es la forma estándar de cifrar un archivo con una clave pública en Java?