如何在 Linux 上通过 PCI DSS 2.0 防病毒要求(5.1)?

信息安全 linux pci-dss 杀毒软件
2021-08-23 23:48:15

PCI DSS 2.0 要求 5.1 规定:

5.1 在通常受恶意软件影响的所有系统(尤其是个人计算机和服务器)上部署防病毒软件。

这个要求(虽然我不是 100% 肯定它是唯一的)导致我们公司的 IT 安全团队要求所有能够以某种方式连接到生产环境的工作站(可能还有所有 CHD 服务器)都具有防病毒和防火墙安装。

在我看来,如果工作站或服务器的唯一操作系统是 GNU/Linux(在这种情况下是 Debian Wheezy),那么这个要求有点疯狂。据我所知,在 Linux 发行版上运行的 AV 软件的主要目的是检测 Windows 恶意软件,更不用说这些工具都没有提供“实时”保护。您可以获得的最佳保护是计划扫描(而且,由于要求 5.1.1,这是一个相当大的问题)。

此外,所有工作站也需要防火墙(PCI DSS 1.4)。有趣的是,虽然几乎所有 Linux 安装都有防火墙(iptables),但实际上它们都没有任何规则。

你能通过 PCI DSS 而不在所有 linux 工作站和服务器上安装防病毒软件吗?

你能通过 PCI DSS 而不在所有 linux 工作站上安装额外的防火墙或配置 iptables 吗?

补充:如果需要 AV,那么要求 5.1.1 呢?

5.1.1 确保所有防病毒程序都能够检测、删除和防御所有已知类型的恶意软件。

我不认为 Linux AV 能够进行“实时保护”,例如扫描用户运行或即将运行的所有内容。至少与最近的内核不兼容。

认证后更新:我们公司现在通过了 PCI DSS 3.0认证,我们不必在每台运行 GNU/Linux 的计算机上安装防病毒软件。我们不必与评估员争论,因为他们直接说他们认为 Linux 工作站不需要 AV。

2个回答

你能通过 PCI DSS 而不在所有 linux 工作站和服务器上安装防病毒软件吗?

是的,一点没错。

你能通过 PCI DSS 而不在所有 linux 工作站上安装额外的防火墙或配置 iptables 吗?

是的,一点没错。

在这两种情况下,PCI-DSS 都包含允许您就要求对特定系统的适用性(或不适用性)做出合理论证的声明。

  1. 您必须在所有“通常受恶意软件影响的系统”上安装 AV 。如果您不想将它放在 Linux 上,那么您必须确保您的系统不受 AV 包检测到的任何内容的影响。而且,很明显,如果该 Linux 服务器是用于数百个 Windows 客户端的 Samba 文件服务器,那是似是而非的,无论如何您都应该这样做。
  2. DSS 1.4 并不是说​​您需要在所有工作站上安装防火墙,而是说您需要在所有“直接连接到 Internet 的移动和/或员工拥有的计算机”上安装防火墙。

现在,@graham-hill 正确地指出你需要让其他人相信这些事情的真相。也许那些其他人是你的审计师,也许那些其他人是你自己的同事。也许他们是合理的,也许他们不是。也许很容易,也许很难。阅读要求,记录你的情况,提出论点,努力赢……并意识到这是一个不公平的世界,你可能会输。

关于影响 Linux 服务器的防病毒恶意软件,更常见的是 rootkit。因此,我相信应该部署 CHKRootkit 和 RKHunter 来满足这个反病毒要求。我们的审计员接受了这一点。

不建议没有保护来检测 Netstat 或 Top 和类似应用程序的更改。不仅来自 PCI-DSS 要求,还来自系统安全实施中的一般最佳实践。Samhain 守护程序之类的东西可以定期通知您此类应用程序的哈希值的更改,如果检测到此类更改,您可以创建一个脚本让 rkhunter 在后台运行。

已经提到的另一件事是,如果服务器用于文件存储或电子邮件,则还可以使用实现 ClamAV 来扫描传入的邮件或 samba 共享。想想你可能对我在许多公司工作过的那位审计员很幸运,他根本不会让我解雇这个。这就是运营团队的其他成员和我自己设法绕过它的方式。

祝你好运!

其它你可能感兴趣的问题
上一篇低功耗蓝牙 (BLE) 链路层加密的安全性 下一篇ARM TrustZone 技术是否支持在代码哈希下密封私钥?