Comment passer PCI DSS 2.0 anti-virus requis (5.1) sous Linux?
PCI DSS 2.0 Exigence 5.1 indique:
5.1 Déployer un logiciel antivirus sur tous les systèmes couramment affectés par des logiciels malveillants (en particulier les ordinateurs personnels et les serveurs).
Cette exigence (bien que je ne sois pas sûr à 100%, c'est la seule) a amené l'équipe de sécurité informatique de notre entreprise à demander à tous les postes de travail capables de se connecter d'une manière ou d'une autre à l'environnement de production (et probablement à tous les serveurs CHD) d'avoir un antivirus et un pare-feu installée.
À mon avis, si le seul système d'exploitation du poste de travail ou du serveur est GNU/Linux (Debian Wheezy dans ce cas), cette exigence est quelque peu folle. Pour autant que je sache, le but principal des logiciels AV fonctionnant sur les distributions Linux est de détecter les logiciels malveillants Windows, sans oublier qu'aucun de ces outils n'offre une protection "en direct". La meilleure protection que vous pouvez obtenir est une analyse planifiée (et, depuis l'exigence 5.1.1, c'est un problème).
De plus, les pare-feu sont également requis sur tous les postes de travail (PCI DSS 1.4). Ce qui est amusant, c'est que si pratiquement toutes les installations Linux ont des pare-feu (iptables), pratiquement aucune d'entre elles n'a de règles.
Pouvez-vous passer PCI DSS sans installer d'antivirus sur tous les postes de travail et serveurs Linux?
Pouvez-vous passer PCI DSS sans installer de pare-feu supplémentaires ou configurer iptables sur tous les postes de travail Linux?
AJOUTÉ : Si l'AV est nécessaire, qu'en est-il de l'exigence 5.1.1?
5.1.1 Assurez-vous que tous les programmes antivirus sont capables de détecter, supprimer et protéger contre tous les types de logiciels malveillants connus.
Je ne pense pas qu'il existe Linux AV capable de faire de la "protection en direct", comme pour tout ce que l'utilisateur exécute ou est sur le point d'exécuter. Du moins pas compatible avec les noyaux récents.
MISE À JOUR POST-CERTIFICATION: Notre entreprise est maintenant certifiée PCI DSS . et nous n'avons pas eu à installer d'antivirus sur chaque ordinateur exécutant GNU/Linux. Nous n'avons pas eu à discuter avec l'évaluateur, car ils ont dit tout de suite que l'AV n'est pas requis sur le poste de travail Linux à leur avis.
Pouvez-vous passer PCI DSS sans installer d'antivirus sur tous les postes de travail et serveurs Linux?
Oui absolument.
Pouvez-vous passer PCI DSS sans installer de pare-feu supplémentaires ou configurer iptables sur tous les postes de travail Linux?
Oui absolument.
Dans les deux cas, le PCI-DSS contient des déclarations qui vous permettent de présenter des arguments raisonnables quant à l'applicabilité (ou non) de l'exigence à des systèmes spécifiques.
- Vous devez mettre AV sur tous les " systèmes couramment affectés par les logiciels malveillants ". Si vous ne voulez pas le mettre sur Linux, vous devez faire valoir que vos systèmes ne sont pas affectés par tout ce qu'un paquet AV détecte. Et, évidemment, si ce serveur Linux est un serveur de fichiers Samba pour des centaines de clients Windows, c'est spécieux et vous devriez le faire quand même.
- DSS 1.4 ne dit pas que vous avez besoin de pare-feu sur tous les postes de travail, il dit que vous avez besoin de pare-feu sur tous les " ordinateurs mobiles et/ou appartenant aux employés avec une connectivité directe à Internet ".
Maintenant, @ graham-hill souligne correctement que vous devrez convaincre les autres de la vérité de ces choses. Peut-être que ces autres personnes sont vos vérificateurs, peut-être que ces autres personnes sont vos propres collègues. Peut-être qu'ils sont raisonnables et peut-être pas. C'est peut-être facile, c'est difficile. Lisez les exigences, documentez votre cas, présentez l'argument, essayez de gagner ... et réalisez que c'est un monde injuste et que vous risquez de perdre de toute façon.
En ce qui concerne les logiciels malveillants Anti Virus qui affectent les serveurs Linux, il s'agit le plus souvent de rootkits. Par conséquent, CHKRootkit et RKHunter devraient être déployés pour répondre à cette exigence antivirus, je crois. Cela a été accepté par nos auditeurs.
Ne pas avoir de protection pour détecter les changements pour Netstat ou Top et les applications similaires est mal conseillé. Non seulement à partir d'une exigence PCI-DSS, mais également des meilleures pratiques générales dans la mise en œuvre de la sécurité des systèmes. Quelque chose comme le démon Samhain peut vous informer périodiquement des changements dans les hachages de ces applications et vous pouvez créer un script pour que rkhunter s'exécute en arrière-plan si un tel changement était détecté.
Une autre chose qui a déjà été mentionnée est que si le serveur est destiné au stockage de fichiers ou au courrier électronique, l'implémentation de ClamAV pour analyser le courrier entrant ou les partages de samba peut également être utilisée. Je pense que vous avez peut-être eu de la chance avec cet auditeur dans lequel j'ai travaillé dans de nombreuses entreprises qui ne me laisseraient tout simplement pas rejeter celle-ci. C'est ainsi que les autres membres de l'équipe des opérations et moi-même avons réussi à contourner ce problème.
Bonne chance!