Ir al contenido principal

Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores



Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores


Establezca, implemente y gestione activamente (rastree, informe, corrija) la configuración de seguridad de dispositivos móviles, computadoras portátiles, servidores y estaciones de trabajo utilizando una rigurosa gestión de configuraciones y un proceso de control de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.


¿Por qué es importante este control?

Las configuraciones predeterminadas entregadas por los fabricantes y revendedores de sistemas operativos y aplicaciones normalmente están orientadas a la facilidad de implementación y la facilidad de uso, no a la seguridad. Controles básicos, servicios y puertos abiertos, cuentas o contraseñas predeterminadas, protocolos antiguos (vulnerables), preinstalación de software innecesario - todos pueden ser explotables en su estado predeterminado.


Desarrollar configuraciones con buenas propiedades de seguridad es una tarea compleja más allá de la capacidad de usuarios individuales, que requiere un análisis de cientos o miles de opciones para tomar buenas decisiones (la sección Procedimientos y herramientas en la página 29 proporciona recursos para configuraciones seguras). Incluso si se desarrolla e instala una configuración inicial sólida, debe gestionarse continuamente para evitar la "degradación" de la seguridad a medida que se actualiza o repara el software, se informan nuevas vulnerabilidades de seguridad y se "afinan" las configuraciones para permitir la instalación de nuevo software o soporte nuevos requisitos operacionales. De lo contrario, los atacantes encontrarán oportunidades para explotar tanto los servicios accesibles a la red como el software del cliente.


Subcontrol Tipo de activo Función de seguridad Control Descripción
5.1 Aplicaciones Proteger Establecer configuraciones seguras Mantenga estándares de configuración de seguridad estándar documentados para todos los sistemas operativos y software autorizados.
5.2 Aplicaciones Proteger Mantener imagenes seguras Mantenga imágenes o plantillas seguras para todos los sistemas de la organización según los estándares de configuración aprobados por la organización. Cualquier implementación de sistema nuevo o sistema existente que se vea comprometido se debe volver a reconstruido con una de esas imágenes o plantillas.
5.3 Aplicaciones Proteger Almacenar las imágenes maestras de forma segura Almacene las imágenes maestras y las plantillas en servidores configurados de forma segura, validados con herramientas de monitoreo de integridad, para garantizar que solo sean posibles los cambios autorizados en las imágenes.
5.4 Aplicaciones Proteger Implementar herramientas de gestión de configuración de sistema Implemente las herramientas de gestión de configuración de sistema que automáticamente fuercen y vuelvan a implementar los parámetros de configuración en los sistemas a intervalos regulares programados.
5.5 Aplicaciones Detectar Implementar sistemas de monitoreo automatizado de configuración Utilice un sistema de monitoreo de configuración compatible con el Protocolo de automatización de contenido de seguridad (SCAP) para verificar todos los elementos de configuración de seguridad, excepciones aprobadas por catálogo y que alerte cuando ocurran cambios no autorizados.
Procedimientos y herramientas
En lugar de comenzar de cero desarrollando una línea base de seguridad para cada sistema de software, las organizaciones deberían comenzar desde referencia, guías o listas de verificación de seguridad que hayan sido desarrolladas, aprobadas y respaldadas públicamente. Excelentes recursos incluyen:
  1. El programa CIS BenchmarksTM (www.cisecurity.org)
  2. NIST National Checklist Program (https://nvd.nist.gov/ncp/repository)


Las organizaciones deberían aumentar o ajustar estas líneas base para satisfacer las políticas y los requisitos locales, pero las desviaciones y los fundamentos deberían documentarse para facilitar revisiones o auditorías posteriores.


Para una organización compleja, el establecimiento de una única configuración de línea base de seguridad (por ejemplo, una imagen de instalación única para todas las estaciones de trabajo en toda la organización) a veces no es práctica o se considera inaceptable. Es probable que necesite admitir diferentes imágenes estandarizadas, basadas en el endurecimiento adecuado para abordar los riesgos y la funcionalidad necesaria de la implementación prevista (por ejemplo, un servidor web en la DMZ frente a un correo electrónico u otro servidor de aplicaciones en la red interna). El número de variaciones se debe mantener al mínimo para comprender y gestionar mejor las propiedades de seguridad de cada una, pero las organizaciones deben estar preparadas para gestionar líneas de base múltiples.


Las herramientas de gestión de configuración comerciales y/o gratuitas pueden emplearse para medir la configuración de los sistemas operativos y las aplicaciones de las máquinas gestionadas para detectar desviaciones de las configuraciones de imagen estándar. Las herramientas de gestión de configuración típicas utilizan alguna combinación de un agente instalado en cada sistema gestionado o una inspección sin agente de los sistemas iniciando sesión de forma remota en cada máquina gestionada utilizando credenciales de administrador. Además, a veces se utiliza un enfoque híbrido mediante el cual se inicia una sesión remota, se implementa un agente temporal o dinámico en el sistema de destino para el escaneo y luego se elimina el agente.

Comentarios

Entradas más populares de este blog

Introducción a los CIS controls

Introducción CIS Controls es un conjunto de acciones priorizadas que colectivamente forman un conjunto de mejores prácticas de defensa que mitigan los ataques más comunes contra sistemas y redes. Los Controles CIS son desarrollados por una comunidad de expertos en TI que aplican su experiencia de primera mano como defensores cibernéticos para crear estas mejores prácticas de seguridad aceptadas globalmente. Los expertos que desarrollan los Controles CIS provienen de una amplia gama de sectores que incluyen retail, fabricación, salud, educación, gobierno, defensa y otros. Estamos en un punto fascinante en la evolución de lo que ahora llamamos defensa cibernética. Pérdidas masivas de datos, robo de propiedad intelectual, violaciones de tarjetas de crédito, robo de identidad, amenazas a nuestra privacidad, denegación de servicio: se han convertido en una forma de vida para todos nosotros en el ciberespacio. Y, como defensores, tenemos acceso a una extraordinaria

Inventario de Software autorizados y no autorizados

Gestione activamente todo software en la red (inventario, seguimiento y corrección), de tal manera que solo software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación y ejecución. ¿Por qué es importante este control? Los atacantes escanean continuamente a las organizaciones objetivo en busca de versiones vulnerables de software que pueden explotarse de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar exploits d