¿Los servidores volátiles y transitorios requieren escáneres antivirus?

Navega tus respuestas
7

A menudo nos preguntan si instalamos software antivirus en nuestros servidores, específicamente el tipo de escáneres basados en firmas que se ejecutan de forma programada. Los cuestionarios de seguridad del cliente y los SGSI a menudo lo mencionan.

Para servidores de larga ejecución esto naturalmente tiene sentido. Aunque en teoría abre la ventana a los ataques a través del compromiso del proceso de actualización de la firma de ClamAV, por ejemplo, es mucho menos probable que otras formas de infecciones que las exploraciones AV periódicas pueden detectar y poner en cuarentena.

Sin embargo, la infraestructura moderna a menudo se basa en "imágenes de máquina" inmutables, como Amazon Machine Service de Amazon Web Service, que se utilizan como base para grupos de servidores altamente transitorios que aumentan o disminuyen a lo largo del día en función del uso general .

Los servidores individuales en estos grupos pueden durar desde una hora hasta seis horas, pero rara vez duran más de un día en nuestro caso. Al preguntar en los círculos sysadmin / devops, el consenso parece ser no preocuparse por el antivirus en estos servidores.

Algunos de los puntos que he escuchado contra AV en dichos servidores son:

  • Los servidores mueren en un día o menos en la mayoría de los casos, por lo que el malware tendrá dificultades para persistir.
  • ¿Cuándo programas el escaneo? No en el inicio, ya que es de suponer que la infraestructura necesita más recursos del nuevo servidor, por lo que incluso un proceso de escaneo nice d podría ser un problema.
  • La base de los nuevos servidores es desde una imagen inmutable, por lo que la cuarentena automática solo soluciona el problema de un solo servidor por un corto período de tiempo, no solucionando el problema en la imagen base que permitió comenzar con la infección.

Sin embargo, me encuentro cuestionando esta vista por estos motivos:

  • Los virus modernos a menudo tienen buenos mecanismos de propagación de la red, por lo que es importante detectar malware incluso en servidores transitorios.
  • La combinación de la exploración antivirus con el registro centralizado permite alertar sobre malware, incluso si la cuarentena automática no es efectiva a largo plazo en un servidor transitorio y de corta duración. El simple hecho de permitir que el personal sepa sobre la presencia de malware en un grupo transitorio de servidores es crítico.
  • Los administradores de servicios como systemd permiten compensar el primer análisis y la programación después de eso, por lo que es fácil evitar el tiempo de inicio.

¿Podrían algunos de los expertos aquí dar su opinión sobre esto? ¿Tengo derecho a seguir queriendo escáneres antivirus en dichos servidores?

    
pregunta Louis Jackman 04.07.2018 - 12:33
fuente

2 respuestas

7

Se están haciendo las preguntas correctas pero nos están haciendo la incorrecta.

Los

controles de seguridad, como AV, están destinados a abordar amenazas para reducir el impacto a un nivel aceptable. Ha identificado las amenazas y el posible impacto de esas amenazas. ¡Genial! Ahora debe ver si el AV basado en firmas aborda esas amenazas y reduce el impacto a un nivel aceptable (o si los niveles de impacto ya son aceptables).

¿Puede abordar el problema de propagación cambiando el firewall / la red para bloquear las conexiones iniciadas desde los servidores frontales? Si es así, entonces AV podría no ser necesario.

¿Podría obtener la inteligencia de amenazas ("permitir que el personal conozca la presencia de malware") al registrar los servidores no transitorios? ¿Qué le dan los datos de los servidores transitorios que no brindan sus servidores permanentes? ¿Cuál es la probabilidad de que los servidores transitorios se infecten únicamente? Si puede obtener los datos de otras fuentes, es posible que no necesite AV.

¿Cómo se actualiza la base de datos AV? ¿Tendrá que iniciar el servidor, actualizar la base de datos y luego ejecutar un análisis programado? ¿Es esta demora aceptable para el nivel de servicio que necesita? Si la demora no tiene sentido para usted, es posible que desee utilizar otras mitigaciones.

Pero la pregunta subyacente es sobre el tipo de AV que está asumiendo. Está asumiendo que está instalado localmente , basado en firmas AV, pero hay otros tipos más dinámicos que no requieren actualizaciones de la base de datos y solo analizan datos nuevos o entrantes. Basado en red, en línea, AV es posible, así como IDS.

Entonces, la pregunta que debe hacer es si esta implementación satisface sus necesidades o si los riesgos se pueden cubrir por otros medios.

    
respondido por el schroeder 04.07.2018 - 12:55
fuente
6

No ejecutaría el antivirus en mis servidores, por un par de razones:

  1. Son piezas de software masivas

    La idea completa de un servidor es ejecutar una tarea, y solo una, de la manera más rápida posible. Hay algunas tareas accesorias que debes ejecutar, pero la idea es la misma. Los motores AV ralentizan tu servicio.

  2. Normalmente se ejecutan con root permisos

    Su servidor web probablemente no se ejecuta como root. Tampoco su servidor de correo electrónico, o base de datos, o cualquier otra cosa. Pero el antivirus se ejecuta como root.

  3. La superficie de ataque de un AV es enorme

    Tienen innumerables decodificadores, intérpretes, descompresores, analizadores, emuladores ... La lista de partes móviles es infinita. Un decodificador con errores y tiene la ejecución de código como root. Permita que el AV analice los paquetes entrantes, y tiene la ejecución remota de código como root.

Hay excepciones: servidores de archivos. Instalaría AV en un servidor de archivos, porque los usuarios cargarán cosas malas. El punto de ingreso también es un buen lugar para colocar un AV, aunque sería un mejor lugar para colocar un IDS / IPS.

Aparte de eso, el fortalecimiento del servidor y la compartimentación serán mucho mejores para la seguridad que para instalar un motor antivirus lleno de agujeros y con hambre de recursos.

    
respondido por el ThoriumBR 04.07.2018 - 14:33
fuente

Lea otras preguntas en las etiquetas

Dispositivos con nombres crípticos y direcciones IP chinas conectadas a mi enrutador ¿Dónde se originaron las pautas comunes de "longitud mínima de contraseña"?