jueves, 5 de julio de 2012

Arquitectura propietaria: servers Windows y antivirus+antimalware


Corriendo servers Windows, la política por default típica - del planeta? - implica correr necesariamente, obligadamente software antivirus y antimalware de nivel industrial en el server.

Hay diferentes enfoques que plantean lo contrario, principalmente adheridos a las posibilidades de "aislar" el server de cualquier comunicación con Internet. Sin embargo, inclusive dado un escenario perfecto de aislamiento de alto grado, muy propio de infraestructuras de alta seguridad, existe malware relativamente accesible en Internet que permite realizar ataques dirigidos muy eficaces usando jump-points como >

- USB keys: la víctima conecta USB keys a máquinas internas, el malware extrae la información, la guarda en la USB key, luego, cuando la víctima conecta el USB key en su PC hogareña, el malware se conecta a Internet y envía la información robada.

http://www.infosecurity-magazine.com/view/26761/indian-navy-secrets-stolen-and-sent-to-china/
http://www.indianexpress.com/news/china-hackers-enter-navy-computers-plant-bug-to-extract-sensitive-data/968897/0
http://www.theregister.co.uk/2008/07/01/japan_sensitive_usb_drive_lost/

- o inclusive infectando files que se transfieren habitualmente vía correo electrónico (fotos, etc.)

Etc.

Los motivos para instalar software antivirus y antimalware en un server Windows no faltan, más allá de cualquier aislamiento de seguridad lógico (vía routing, FW rules, filtering L7, etc.), o físico (que la red del servidor esté físicamente desconectada de cualquier red con conexión a Internet).

La policy de seguridad por default debe ser siempre instalar soft antivirus y antimalware en Windows Server.

No hay comentarios: