Ir al contenido principal

Inventario de Dispositivos autorizados y no autorizados

Gestione activamente todo dispositivo hardware en la red (inventario, seguimiento y corrección), de tal manera que solo los dispositivos autorizados obtengan acceso y que los dispositivos no autorizados y no gestionados sean detectados y se prevenga que obtengan acceso.


¿Por qué es importante este control?

Atacantes que pueden estar situados en cualquier parte del mundo están escaneando continuamente el espacio de direcciones de las organizaciones que desean atacar, esperando a que se conecten sistemas nuevos y desprotegidos a la red. Los atacantes tienen un interés particular en equipos que se conectan y desconectan de la red, tales como laptops o BYOD (Bring-Your-Own-Devices), los cuales podrían estar desincronizado de los parches o actualizaciones de seguridad o que ya podrían estar comprometidos. Los atacantes pueden aprovechar el hardware nuevo que se instala en la red un día pero que no se configuran y actualizan adecuadamente hasta el día siguiente. Incluso, los equipos que no están visibles desde Internet pueden ser utilizados por un atacante, que previamente ha ganado acceso a la red interna, como punto de pivot para otros ataques. Sistemas adicionales que son conectados a la red corporativa, tales como sistemas de demostración, de prueba temporales, de invitados, etc. deben ser gestionados cuidadosamente y/o aislados de modo a prevenir un acceso hostil a través de la vulneración de los mismos.


Organizaciones grandes y complejas luchan, comprensiblemente, con el desafío de gestionar entornos intrincados y que cambian rápidamente. Pero los atacantes han demostrado la capacidad, la paciencia y la intención para "inventariar y controlar" nuestros activos a gran escala a fin de respaldar sus oportunidades.


El control gestionado de todos los equipos juega un rol crítico en la planificación y ejecución de copias de seguridad, respuesta a incidentes y recuperación de sistemas.
Subcontrol Tipo de activo Función de seguridad Control Descripción
1.1 Equipos Identificar Utilizar una herramienta de descubrimiento de activos Utilice una herramienta de descubrimiento activo para identificar equipos conectados a la red de la organización y actualizar el inventario de activos hardware
1.2  Equipos Identificar Utilizar una herramienta de descubrimiento pasivo de activos Utilice una herramienta de descubrimiento pasivo para identificar dispositivos conectados a la red de la organización y actualizar automáticamente el inventario de activos.
1.3  Equipos Identificar Utilizar DHCP Logging para actualizar el inventario de activos Utilice un sistema de logging de DHCP (Dynamic Host Configuration Protocol) en todos los servidores DHCP o herramientas de gestión de direcciones IPs para actualizar el inventario de activos hardware de la organización.
1.4 Equipos Identificar Mantener un inventario de activos detallado Mantenga un inventario veraz y actualizado de todos los activos tecnológicos capaces de almacenar y/o procesar información. El inventario debe incluir todos los activos de hardware, estén o no conectados a la red de la organización.
1.5 Equipos Identificar Mantener la información del inventario de activos Asegúrese que el inventario de activos de hardware registre, como mínimo, las direcciones de red, nombre, propósito, responsable, departamento de cada activo, así como también si el activo de hardware ha sido aprobado o no para ser conectado a la red.
1.6 Equipos Responder Gestionar los activos no autorizados Asegúrese de que los activos no autorizados se eliminen de la red, se pongan en cuarentena o el inventario se actualice oportunamente.
1.7 Equipos Proteger Implementar control de acceso a nivel de puerto Implemente control de acceso a nivel de puertos según el estándar 802.1x para limitar y controlar qué equipo puede autenticarse en la red. El sistema de autenticación debe estar vinculado a los datos de inventario de activos hardware para asegurar que sólo los equipos autorizados se pueden conectar a la red.
1.8 Equipos Proteger Utilizar certificados clientes para autenticar activos hardware Utilice certificados clientes para autenticar los activos de hardware que se conectan a la red de confianza de la organización.

CIS Control 1: Procedimientos y herramientas

Este control requiere tanto acciones técnicas como procedimentales, unidas en un proceso que rinda cuentas y gestione el inventario de hardware y toda la información asociada a lo largo del ciclo de vida. Vincula al gobierno corporativo estableciendo propietarios de información / activos que son responsables de cada componente de un proceso de negocio que incluye información, software y hardware. Las organizaciones pueden usar productos integrales de gran escala para mantener los inventarios de activos de TI. Otros utilizan herramientas más modestas para recopilar los datos al barrer la red y administrar los resultados por separado en una base de datos.


Mantener una visión actualizada y acertada de los activos de TI es un proceso continuo y dinámico. Las organizaciones pueden escanear la red activamente de forma regular,envidando una variedad de diferentes paquetes para identificar equipos conectados a la misma. Previo a dicho escaneo, la organización debería verificar que se cuente con un ancho de banda adecuado para dichos escaneos periódicos, verificando el historial de carga y la capacidad de la red.


Al realizar un escaneo de inventario, las herramientas de escaneo pueden enviar paquetes tradicionales de ping (ICMP Echo Request) de modo a esperar respuestas de ping que permitan identificar sistemas en una determinada IP. Teniendo en cuenta que algunos sistemas bloquean paquetes de ping, además del ping tradicional, los scanners pueden identificar equipos utilizando paquetes de sincronización (SYN) o de confirmación (ACK) TCP. Una vez que se hubiera identificado IPs de equipos en la red, algunos scanners proporcionan funcionalidades de fingerprinting robustas para determinar el tipo de sistema operativo del dispositivo descubierto.


Además de las herramientas de escaneo activo que barren la red, existen herramientas de identificación de activos que escuchan pasivamente una interfaz de red para descubrir equipos que anuncian su presencia mediante el envío de tráfico. Dichas herramientas pasivas pueden ser conectados a puertos espejos del switch en puntos estratégicos de la red de modo a visualizar todo el flujo de datos que pasa por dicho switch, maximizando la posibilidad de identificar sistemas que se comunican a través de éste.


Muchas organizaciones también extraen información de los activos de la red, como conmutadores y enrutadores, con respecto a las máquinas conectadas a la red. Mediante el uso de protocolos de administración de red autenticados y encriptados, las herramientas pueden recuperar direcciones MAC y otra información de dispositivos de red que se pueden conciliar con el inventario de servidores, estaciones de trabajo, computadoras portátiles y otros dispositivos de la organización. Una vez que se confirman las direcciones MAC, los switches deben implementar 802.1x y NAC para permitir que solo los sistemas autorizados que están configurados correctamente se conecten a la red.


Tanto los dispositivos inalámbricos como los portátiles cableados pueden unirse periódicamente a una red y luego desaparecer, lo que hace que el inventario de los sistemas actualmente disponibles sea muy dinámico. Del mismo modo, las máquinas virtuales pueden ser difíciles de rastrear en los inventarios de activos cuando se apagan o se detienen. Además, las máquinas remotas que acceden a la red usando tecnología de red privada virtual (VPN) pueden aparecer en la red por un tiempo y luego desconectarse de ella. Ya sea física o virtual, cada máquina que usa una dirección IP debe incluirse en el inventario de activos de una organización.

Comentarios

Entradas más populares de este blog

Defensa contra malware

controlar la instalación, propagación y ejecución de código malicioso en múltiples puntos de la organización, al mismo tiempo que optimizar el uso de automatización para permitir la actualización rápida de la defensa, la recopilación de datos y la acción correctiva. ¿Por qué es importante este control? El software malicioso (malware) es un aspecto integral y peligroso de las amenazas en Internet, ya que está diseñado para atacar sus sistemas, dispositivos y sus datos. Se mueve rápidamente, cambia rápidamente y entra a través de múltiples y diversos puntos, como dispositivos de usuario final, archivos adjuntos de correo electrónico, páginas web, servicios en la nube, acciones del usuario y medios extraíbles. El malware moderno está diseñado para evitar las defensas y atacarlas o deshabilitarlas. Las defensas contra malware deben ser capaces de operar en este entorno dinámico a través de la automatización a gran escala, la actualización rápida y la integración con procesos como la re

Inventario de Software autorizados y no autorizados

Gestione activamente todo software en la red (inventario, seguimiento y corrección), de tal manera que solo software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación y ejecución. ¿Por qué es importante este control? Los atacantes escanean continuamente a las organizaciones objetivo en busca de versiones vulnerables de software que pueden explotarse de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar exploits d

[Logs II] Instalar ELK elastic stack 7.5

Requerimientos Ubuntu 18.04.3 LTS 4 GB de Ram ¿Qué es entonces el ELK Stack? ELK es la sigla para tres proyectos open source: Elasticsearch, Logstash y Kibana. Elasticsearch es un motor de búsqueda y analítica. Logstash es un pipeline de procesamiento de datos del lado del servidor que ingesta datos de una multitud de fuentes simultáneamente, los transforma y luego los envía a como Elasticsearch. Kibana permite a los usuarios visualizar los datos en cuadros y gráficos con Elasticsearch. Si quieres aprender mas del proyecto puedes visitar https://www.elastic.co/es/what-is/elk-stack Instalar elasticsearch La opción de instalación mas conveniente para Ubuntu es usar los paquetes deb. El paquete deb de elasticsearch funciona para sistemas operativos Debian y sus derivados, los puedes bajar directamente del sitio web de elasticsearch o desde el repositorio usando APT. El paquete que vamos a instalar usa la licencia de elastic, que es o