Ir al contenido principal

Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores



Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores


Establezca, implemente y gestione activamente (rastree, informe, corrija) la configuración de seguridad de dispositivos móviles, computadoras portátiles, servidores y estaciones de trabajo utilizando una rigurosa gestión de configuraciones y un proceso de control de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.


¿Por qué es importante este control?

Las configuraciones predeterminadas entregadas por los fabricantes y revendedores de sistemas operativos y aplicaciones normalmente están orientadas a la facilidad de implementación y la facilidad de uso, no a la seguridad. Controles básicos, servicios y puertos abiertos, cuentas o contraseñas predeterminadas, protocolos antiguos (vulnerables), preinstalación de software innecesario - todos pueden ser explotables en su estado predeterminado.


Desarrollar configuraciones con buenas propiedades de seguridad es una tarea compleja más allá de la capacidad de usuarios individuales, que requiere un análisis de cientos o miles de opciones para tomar buenas decisiones (la sección Procedimientos y herramientas en la página 29 proporciona recursos para configuraciones seguras). Incluso si se desarrolla e instala una configuración inicial sólida, debe gestionarse continuamente para evitar la "degradación" de la seguridad a medida que se actualiza o repara el software, se informan nuevas vulnerabilidades de seguridad y se "afinan" las configuraciones para permitir la instalación de nuevo software o soporte nuevos requisitos operacionales. De lo contrario, los atacantes encontrarán oportunidades para explotar tanto los servicios accesibles a la red como el software del cliente.


Subcontrol Tipo de activo Función de seguridad Control Descripción
5.1 Aplicaciones Proteger Establecer configuraciones seguras Mantenga estándares de configuración de seguridad estándar documentados para todos los sistemas operativos y software autorizados.
5.2 Aplicaciones Proteger Mantener imagenes seguras Mantenga imágenes o plantillas seguras para todos los sistemas de la organización según los estándares de configuración aprobados por la organización. Cualquier implementación de sistema nuevo o sistema existente que se vea comprometido se debe volver a reconstruido con una de esas imágenes o plantillas.
5.3 Aplicaciones Proteger Almacenar las imágenes maestras de forma segura Almacene las imágenes maestras y las plantillas en servidores configurados de forma segura, validados con herramientas de monitoreo de integridad, para garantizar que solo sean posibles los cambios autorizados en las imágenes.
5.4 Aplicaciones Proteger Implementar herramientas de gestión de configuración de sistema Implemente las herramientas de gestión de configuración de sistema que automáticamente fuercen y vuelvan a implementar los parámetros de configuración en los sistemas a intervalos regulares programados.
5.5 Aplicaciones Detectar Implementar sistemas de monitoreo automatizado de configuración Utilice un sistema de monitoreo de configuración compatible con el Protocolo de automatización de contenido de seguridad (SCAP) para verificar todos los elementos de configuración de seguridad, excepciones aprobadas por catálogo y que alerte cuando ocurran cambios no autorizados.
Procedimientos y herramientas
En lugar de comenzar de cero desarrollando una línea base de seguridad para cada sistema de software, las organizaciones deberían comenzar desde referencia, guías o listas de verificación de seguridad que hayan sido desarrolladas, aprobadas y respaldadas públicamente. Excelentes recursos incluyen:
  1. El programa CIS BenchmarksTM (www.cisecurity.org)
  2. NIST National Checklist Program (https://nvd.nist.gov/ncp/repository)


Las organizaciones deberían aumentar o ajustar estas líneas base para satisfacer las políticas y los requisitos locales, pero las desviaciones y los fundamentos deberían documentarse para facilitar revisiones o auditorías posteriores.


Para una organización compleja, el establecimiento de una única configuración de línea base de seguridad (por ejemplo, una imagen de instalación única para todas las estaciones de trabajo en toda la organización) a veces no es práctica o se considera inaceptable. Es probable que necesite admitir diferentes imágenes estandarizadas, basadas en el endurecimiento adecuado para abordar los riesgos y la funcionalidad necesaria de la implementación prevista (por ejemplo, un servidor web en la DMZ frente a un correo electrónico u otro servidor de aplicaciones en la red interna). El número de variaciones se debe mantener al mínimo para comprender y gestionar mejor las propiedades de seguridad de cada una, pero las organizaciones deben estar preparadas para gestionar líneas de base múltiples.


Las herramientas de gestión de configuración comerciales y/o gratuitas pueden emplearse para medir la configuración de los sistemas operativos y las aplicaciones de las máquinas gestionadas para detectar desviaciones de las configuraciones de imagen estándar. Las herramientas de gestión de configuración típicas utilizan alguna combinación de un agente instalado en cada sistema gestionado o una inspección sin agente de los sistemas iniciando sesión de forma remota en cada máquina gestionada utilizando credenciales de administrador. Además, a veces se utiliza un enfoque híbrido mediante el cual se inicia una sesión remota, se implementa un agente temporal o dinámico en el sistema de destino para el escaneo y luego se elimina el agente.

Comentarios

Entradas más populares de este blog

Ventajas y Usos Frecuentes con Routers Mikrotik

VentajasPrecio: Cuenta con una gran variedad de precios, contando con equipos muy económicos para un usuario de casa hasta para una micro y mediana empresa, también existen alternativas para virtualizar en los siguientes posts estaré hablando de cómo realizar tu propio laboratorio.
Calidad: Mediante ha ido evolucionando Mikrotik han fabricado equipos mas duraderos y con un software mas robusto.
Aprendizaje: Este es una de las ventajas más importantes, es fácil de aprender para usuarios con conocimientos básicos en redes, y se cuentan con un sinfín de cursos y foros por internet.
Diversidad: Mikrotik es un producto que cuenta con una variedad de modelos que nos permiten realizar múltiples soluciones conducirán a su empresa en un ejemplo de administración y productividad.
Usos Frecuentes Por el Precio y Calidad del equipo, Mikrotik se ha manifestado en mayor parte para administradores de WISP, Hostpot una recomendación seria combinar con antenas Ubiquiti.
Se puede administrar anchos de banda…

Protección de correo electrónico y navegador web

Protección de correo electrónico y navegador web
Minimizar la superficie de ataque y la oportunidad para atacantes de manipular el comportamiento humano a través de su interacción con navegadores web y sistemas de correo electrónico.

¿Por qué es importante este control? Los navegadores web y los clientes de correo electrónico son puntos de entrada y ataque muy comunes debido a su complejidad técnica, flexibilidad y su interacción directa con los usuarios y con los otros sistemas y sitios web. El contenido puede diseñarse para atraer o engañar a los usuarios para que tomen medidas que aumenten en gran medida el riesgo y permitan la introducción de códigos maliciosos, la pérdida de datos valiosos y otros ataques. Dado que estas aplicaciones son el principal medio para que los usuarios interactúen con entornos que no son de confianza, estos son objetivos potenciales tanto para la explotación del código como para la ingeniería social.

Sub-controlTipo de activoFunción de seguridadControlD…

Conociendo a Mikrotik

Mikrotik es una empresa de Latvian que se fundó en los años 90’s para desarrollar Routers y Sistemas Inalámbricos para ISP. Mikrotik ahora proporciona hardware y software para la conectividad hacia internet en gran mayoría de los países del mundo, en el año 1997 crean su propio Software basado en el nucleo de Linux llamandolo RouterOs proporcionando gran estabilidad, controles y flexibilidad para todo tipo de datos y enrutamiento. Para el año 2002 deciden hacer su propio hardware creando el RouterBoard. Se tiene revendedores en gran parte del mundo en México teniendo como Principal a MikrotikMéxico(https://www.mikrotik-mexico.com.mx/). La fabrica se encuentra en Riga Capital de Latvian contando con mas de 280 empleados.