Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
Establezca, implemente y gestione activamente (rastree, informe, corrija) la configuración de seguridad de dispositivos móviles, computadoras portátiles, servidores y estaciones de trabajo utilizando una rigurosa gestión de configuraciones y un proceso de control de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.
¿Por qué es importante este control?
Las configuraciones predeterminadas entregadas por los fabricantes y revendedores de sistemas operativos y aplicaciones normalmente están orientadas a la facilidad de implementación y la facilidad de uso, no a la seguridad. Controles básicos, servicios y puertos abiertos, cuentas o contraseñas predeterminadas, protocolos antiguos (vulnerables), preinstalación de software innecesario - todos pueden ser explotables en su estado predeterminado.
Desarrollar configuraciones con buenas propiedades de seguridad es una tarea compleja más allá de la capacidad de usuarios individuales, que requiere un análisis de cientos o miles de opciones para tomar buenas decisiones (la sección Procedimientos y herramientas en la página 29 proporciona recursos para configuraciones seguras). Incluso si se desarrolla e instala una configuración inicial sólida, debe gestionarse continuamente para evitar la "degradación" de la seguridad a medida que se actualiza o repara el software, se informan nuevas vulnerabilidades de seguridad y se "afinan" las configuraciones para permitir la instalación de nuevo software o soporte nuevos requisitos operacionales. De lo contrario, los atacantes encontrarán oportunidades para explotar tanto los servicios accesibles a la red como el software del cliente.
Subcontrol | Tipo de activo | Función de seguridad | Control | Descripción |
5.1 | Aplicaciones | Proteger | Establecer configuraciones seguras | Mantenga estándares de configuración de seguridad estándar documentados para todos los sistemas operativos y software autorizados. |
5.2 | Aplicaciones | Proteger | Mantener imagenes seguras | Mantenga imágenes o plantillas seguras para todos los sistemas de la organización según los estándares de configuración aprobados por la organización. Cualquier implementación de sistema nuevo o sistema existente que se vea comprometido se debe volver a reconstruido con una de esas imágenes o plantillas. |
5.3 | Aplicaciones | Proteger | Almacenar las imágenes maestras de forma segura | Almacene las imágenes maestras y las plantillas en servidores configurados de forma segura, validados con herramientas de monitoreo de integridad, para garantizar que solo sean posibles los cambios autorizados en las imágenes. |
5.4 | Aplicaciones | Proteger | Implementar herramientas de gestión de configuración de sistema | Implemente las herramientas de gestión de configuración de sistema que automáticamente fuercen y vuelvan a implementar los parámetros de configuración en los sistemas a intervalos regulares programados. |
5.5 | Aplicaciones | Detectar | Implementar sistemas de monitoreo automatizado de configuración | Utilice un sistema de monitoreo de configuración compatible con el Protocolo de automatización de contenido de seguridad (SCAP) para verificar todos los elementos de configuración de seguridad, excepciones aprobadas por catálogo y que alerte cuando ocurran cambios no autorizados. |
En lugar de comenzar de cero desarrollando una línea base de seguridad para cada sistema de software, las organizaciones deberían comenzar desde referencia, guías o listas de verificación de seguridad que hayan sido desarrolladas, aprobadas y respaldadas públicamente. Excelentes recursos incluyen:
- El programa CIS BenchmarksTM (www.cisecurity.org)
- NIST National Checklist Program (https://nvd.nist.gov/ncp/repository)
Las organizaciones deberían aumentar o ajustar estas líneas base para satisfacer las políticas y los requisitos locales, pero las desviaciones y los fundamentos deberían documentarse para facilitar revisiones o auditorías posteriores.
Para una organización compleja, el establecimiento de una única configuración de línea base de seguridad (por ejemplo, una imagen de instalación única para todas las estaciones de trabajo en toda la organización) a veces no es práctica o se considera inaceptable. Es probable que necesite admitir diferentes imágenes estandarizadas, basadas en el endurecimiento adecuado para abordar los riesgos y la funcionalidad necesaria de la implementación prevista (por ejemplo, un servidor web en la DMZ frente a un correo electrónico u otro servidor de aplicaciones en la red interna). El número de variaciones se debe mantener al mínimo para comprender y gestionar mejor las propiedades de seguridad de cada una, pero las organizaciones deben estar preparadas para gestionar líneas de base múltiples.
Las herramientas de gestión de configuración comerciales y/o gratuitas pueden emplearse para medir la configuración de los sistemas operativos y las aplicaciones de las máquinas gestionadas para detectar desviaciones de las configuraciones de imagen estándar. Las herramientas de gestión de configuración típicas utilizan alguna combinación de un agente instalado en cada sistema gestionado o una inspección sin agente de los sistemas iniciando sesión de forma remota en cada máquina gestionada utilizando credenciales de administrador. Además, a veces se utiliza un enfoque híbrido mediante el cual se inicia una sesión remota, se implementa un agente temporal o dinámico en el sistema de destino para el escaneo y luego se elimina el agente.
Comentarios
Publicar un comentario