¿Linux realmente necesita un antivirus (aparte del escaneo de archivos alojados)

13

Una gran empresa está revisando nuestro software antes de utilizar el software web creado por nuestra nueva empresa. Estamos utilizando Linux para alojar, que está debidamente protegido y reforzado.

La regulación del revisor de seguridad es que todas las computadoras y servidores deben tener un programa antivirus. Obviamente, decirles que Linux no puede ser infectado por un virus no funcionará.

¿Existe un artículo o recurso de seguridad de terceros que pueda ayudarnos a convencerlos de que dejen de cumplir con el requisito, o necesitaremos instalar ClamAV y hacer que queme alguna CPU una vez al día?

linux security anti-virus romaninsh
fuente
99
Sí, ciertamente es razonable. El día que niega que su infraestructura es vulnerable a las amenazas de virus es el día en que pierde mucha credibilidad. Nuevamente, ¿qué valor tiene este contrato para usted y su empleador?
EEAA
14
su incorrecto suponer Linux no puede conseguir los virus, lo hacen, es sólo excepcionalmente rara en comparación con algo como Windows
anthonysomerset
22
@mailq - Sin ofender, pero esa es una de las ideas más estúpidas que he escuchado en mucho tiempo. Si una regulación dice que se debe instalar un antivirus, la intención es que también se esté ejecutando. Si crees que podrías pasar una auditoría sin que se ejecute, te estás engañando a ti mismo.
EEAA
99
¿Quién dijo que Linux no puede contraer un virus? Eso es completamente falso y no es cierto. Es como decir que una computadora Mac no puede contraer un virus. Simplemente instale ClamAV, es bastante liviano y ni siquiera debería notar que está allí.
Matt
66
Te estoy diciendo que eres tan ingenuo que crees que Linux no puede atrapar un virus. Estás luchando por no instalar antivirus y, como tal, no mereces este (o ningún) contrato de los clientes que pagan . Si vinieras y me dijeras esto, también me reiría del edificio. Luego iría a buscar otra compañía que realmente se preocupara por la seguridad de sus clientes.
Ben Pilbrow

Respuestas:

30

Sí, ciertamente es una solicitud razonable. El día que niega que su infraestructura es vulnerable a las amenazas de virus es el día en que pierde mucha credibilidad.

Debe sopesar las ramificaciones (factor de molestia, posibles problemas de rendimiento, gastos generales de mantenimiento) de ejecutar AV con el valor de este contrato. Si una empresa incluye AV como requisito, es probable que otras hagan lo mismo en el futuro. Si ya lo está ejecutando, estará bien posicionado para ganar su negocio.

EEAA
fuente
12
+1 - Hay un argumento elegante sobre el software antivirus que causa MÁS PROBLEMAS en los sistemas Unix, y cómo los controles compensatorios (ese es un término que hace que los auditores chillen de placer) hacen que AV sea innecesario. Existe un argumento igualmente elegante sobre por qué los servidores de correo Unix deberían ejecutar algún tipo de AV (escaneando el correo que pasa a través de ellos) para ayudar a proteger las estaciones de trabajo de los destinatarios.
voretaq7
44
Correcto, especialmente si sus "controles de compensación" consisten en algo como Tripwire y una revisión vigorosa de sus resultados; auditorías de software en ejecución, etc.
mfinni
Me parece recordar cuando pasamos por lo de PCI que AIDE realmente contaba como software antivirus. Depende de lo que haga su servidor y de cómo configure AIDE en cuanto a si detectará un virus o no. En cualquier caso, esa frase "controles de compensación" es buena para usar.
Ladadadada
28

La probabilidad de que un servidor Linux sea infectado por un virus es muy baja, no cero. Si eso es una preocupación para su auditor / cliente / quien sea, entonces debe entender eso y determinar si su negocio es importante para usted. Si su negocio vale más que los ciclos de CPU y las E / S de disco que se necesitarán para escanear, entonces debe instalar el AV. Si no es así, debe explicarle esto a su cliente y pedirle que traiga su contrato a otra parte.

No es una afirmación irrazonable, especialmente si este servidor aloja archivos a clientes de Windows. Al instalar ClamAV (o lo que sea), protege a los clientes de Windows que se conectan a su servidor.

MDMarra
fuente
2
Un punto clave en su respuesta es que estamos hablando de un entorno de uso mixto (Unix actúa como un servidor de archivos para Windows): si su Windows AV no escanea los sistemas de archivos de red, tener esta capa adicional se vuelve fundamental para proteger sus estaciones de trabajo de Windows .
voretaq7
1
Incluso si lo hace, dos cabezas son mejores que una si tienes los recursos.
MDMarra
1
¿Ejecutar un análisis de virus reduce el riesgo de ser infectado?
johanvdw
77
Como alguien que ha estado en servidores de alojamiento compartido donde los agujeros de Wordpress o phpBB de las personas llevaron a que mis propias cuentas no relacionadas se comprometieran y enviaran malware y spam a visitantes aleatorios, deseo que más personas realmente se den cuenta de eso solo porque el diseño de Linux lo hace inherentemente más seguro ni siquiera lo hace remotamente inmune a problemas masivos.
esponjoso
3
@curiousguy Estoy totalmente de acuerdo con usted en que un escáner de virus es un área de superficie adicional que, si bien mitiga algunos riesgos, crea nuevos riesgos. El punto que parece estar haciendo, y corregirme si me equivoco, es que los beneficios de seguridad de ejecutar un escáner de virus no superan los riesgos. Algunos análisis de virus son tan simples como un hash criptográfico contra un archivo, no hay mucho riesgo allí. En algo como un servidor SMTP que realiza el filtrado de spam, le costaría mucho afirmar que el riesgo para el servidor que ejecuta el filtro supera el beneficio.
Shane Madden
17

Creo que debemos poner el término "virus" en contexto.

Si está hablando de los binarios autorreplicantes que flotan en las redes de Windows, entonces la probabilidad de que Linux obtenga uno de estos es muy, muy baja.

Si hablamos del tema más amplio del software malicioso, entonces Linux es todo menos inmune. Los servidores Linux sin parches y mal configurados se explotan todo el tiempo y se convierten en pastores de bots, o se utilizan para otros fines nefastos. Pretender que estas amenazas no existen es enterrar la cabeza proverbial en la arena.

Nunca he ejecutado software antivirus en un servidor Linux, ya que me gusta pensar que los parches regulares y la configuración correcta protegerán mis servidores del 99,99% de las amenazas. Sin embargo, ciertamente lo consideraría en este caso, siempre que el software fuera capaz de detectar el tipo de software malicioso que afecta a los servidores Linux y no fuera un simple puerto de un conjunto de aplicaciones de Windows AV.

Alex Forbes
fuente
" poner los términos" virus "en contexto ". De hecho. Si ni siquiera pueden explicar los muchos tipos específicos de software malicioso (algunas distinciones no siempre son claras, como el límite entre virus y gusanos, pero la distinción entre malware autorreplicante y no propagador es esencial para la OMI) ... para mí significa que están repitiendo palabras de moda o frases que escucharon ("debe tener AV instalado").
curioso
3

Instalar un paquete AV no haría ningún daño, especialmente porque podría significar la diferencia entre ganar y perder un contrato.

Quizás más que un paquete AV necesita considerar un conjunto de detección de rootkits y CRON un escaneo para ejecutar a intervalos regulares. Esté preparado también para los falsos positivos: algunas suites son más propensas a los falsos positivos que otras, y hasta que se acostumbre a estas anomalías puede ser desconcertante.

peterg22
fuente
1

Pídales que definan exactamente el concepto de "antivirus" . ¿Qué tipo de amenazas les preocupan?

Si no pueden responder (tal vez porque realmente no tienen idea de lo que están hablando y simplemente están llenando una lista de verificación), pídales una lista de programas antivirus aprobados.

Si el requisito es solo:

Deberá tener instalado un programa AV, punto.

probablemente no tengan idea de lo que están hablando. Solo pregúntales qué esperan que hagas exactamente .

Si el requisito es:

Debe verificar regularmente todos los programas instalados (binarios y scripts) para ver si hay nuevos programas, archivos alterados o cualquier otro signo de contenido de archivo patológico.

entonces significa que es posible que no necesite el proverbial "AV", y que un script para verificar la integridad del servidor será adecuado, más preciso y más confiable: no hay falsos positivos si sabe qué archivos se modifican cuando su servidor está funcionando normalmente , y si puede explicar los requisitos de coherencia de los archivos modificados.

El diseño de un script verifica la integridad, o incluso la configuración de alguna herramienta existente para que comprenda lo específico de su servidor requerirá un trabajo adicional (los programas AV son más compra-luego-instalar-luego-olvidar , probablemente por eso son tan populares ) Pero creo que eso hará mucho más por la seguridad de su servidor.

curioso
fuente