Gestione activamente todo dispositivo hardware en la red (inventario, seguimiento y corrección), de tal manera que solo los dispositivos autorizados obtengan acceso y que los dispositivos no autorizados y no gestionados sean detectados y se prevenga que obtengan acceso.
¿Por qué es importante este control?
Atacantes que pueden estar situados en cualquier parte del mundo están escaneando continuamente el espacio de direcciones de las organizaciones que desean atacar, esperando a que se conecten sistemas nuevos y desprotegidos a la red. Los atacantes tienen un interés particular en equipos que se conectan y desconectan de la red, tales como laptops o BYOD (Bring-Your-Own-Devices), los cuales podrían estar desincronizado de los parches o actualizaciones de seguridad o que ya podrían estar comprometidos. Los atacantes pueden aprovechar el hardware nuevo que se instala en la red un día pero que no se configuran y actualizan adecuadamente hasta el día siguiente. Incluso, los equipos que no están visibles desde Internet pueden ser utilizados por un atacante, que previamente ha ganado acceso a la red interna, como punto de pivot para otros ataques. Sistemas adicionales que son conectados a la red corporativa, tales como sistemas de demostración, de prueba temporales, de invitados, etc. deben ser gestionados cuidadosamente y/o aislados de modo a prevenir un acceso hostil a través de la vulneración de los mismos.
Organizaciones grandes y complejas luchan, comprensiblemente, con el desafío de gestionar entornos intrincados y que cambian rápidamente. Pero los atacantes han demostrado la capacidad, la paciencia y la intención para "inventariar y controlar" nuestros activos a gran escala a fin de respaldar sus oportunidades.
El control gestionado de todos los equipos juega un rol crítico en la planificación y ejecución de copias de seguridad, respuesta a incidentes y recuperación de sistemas.
| Subcontrol | Tipo de activo | Función de seguridad | Control | Descripción |
| 1.1 | Equipos | Identificar | Utilizar una herramienta de descubrimiento de activos | Utilice una herramienta de descubrimiento activo para identificar equipos conectados a la red de la organización y actualizar el inventario de activos hardware |
| 1.2 | Equipos | Identificar | Utilizar una herramienta de descubrimiento pasivo de activos | Utilice una herramienta de descubrimiento pasivo para identificar dispositivos conectados a la red de la organización y actualizar automáticamente el inventario de activos. |
| 1.3 | Equipos | Identificar | Utilizar DHCP Logging para actualizar el inventario de activos | Utilice un sistema de logging de DHCP (Dynamic Host Configuration Protocol) en todos los servidores DHCP o herramientas de gestión de direcciones IPs para actualizar el inventario de activos hardware de la organización. |
| 1.4 | Equipos | Identificar | Mantener un inventario de activos detallado | Mantenga un inventario veraz y actualizado de todos los activos tecnológicos capaces de almacenar y/o procesar información. El inventario debe incluir todos los activos de hardware, estén o no conectados a la red de la organización. |
| 1.5 | Equipos | Identificar | Mantener la información del inventario de activos | Asegúrese que el inventario de activos de hardware registre, como mínimo, las direcciones de red, nombre, propósito, responsable, departamento de cada activo, así como también si el activo de hardware ha sido aprobado o no para ser conectado a la red. |
| 1.6 | Equipos | Responder | Gestionar los activos no autorizados | Asegúrese de que los activos no autorizados se eliminen de la red, se pongan en cuarentena o el inventario se actualice oportunamente. |
| 1.7 | Equipos | Proteger | Implementar control de acceso a nivel de puerto | Implemente control de acceso a nivel de puertos según el estándar 802.1x para limitar y controlar qué equipo puede autenticarse en la red. El sistema de autenticación debe estar vinculado a los datos de inventario de activos hardware para asegurar que sólo los equipos autorizados se pueden conectar a la red. |
| 1.8 | Equipos | Proteger | Utilizar certificados clientes para autenticar activos hardware | Utilice certificados clientes para autenticar los activos de hardware que se conectan a la red de confianza de la organización. |
CIS Control 1: Procedimientos y herramientas
Este control requiere tanto acciones técnicas como procedimentales, unidas en un proceso que rinda cuentas y gestione el inventario de hardware y toda la información asociada a lo largo del ciclo de vida. Vincula al gobierno corporativo estableciendo propietarios de información / activos que son responsables de cada componente de un proceso de negocio que incluye información, software y hardware. Las organizaciones pueden usar productos integrales de gran escala para mantener los inventarios de activos de TI. Otros utilizan herramientas más modestas para recopilar los datos al barrer la red y administrar los resultados por separado en una base de datos.
Mantener una visión actualizada y acertada de los activos de TI es un proceso continuo y dinámico. Las organizaciones pueden escanear la red activamente de forma regular,envidando una variedad de diferentes paquetes para identificar equipos conectados a la misma. Previo a dicho escaneo, la organización debería verificar que se cuente con un ancho de banda adecuado para dichos escaneos periódicos, verificando el historial de carga y la capacidad de la red.
Al realizar un escaneo de inventario, las herramientas de escaneo pueden enviar paquetes tradicionales de ping (ICMP Echo Request) de modo a esperar respuestas de ping que permitan identificar sistemas en una determinada IP. Teniendo en cuenta que algunos sistemas bloquean paquetes de ping, además del ping tradicional, los scanners pueden identificar equipos utilizando paquetes de sincronización (SYN) o de confirmación (ACK) TCP. Una vez que se hubiera identificado IPs de equipos en la red, algunos scanners proporcionan funcionalidades de fingerprinting robustas para determinar el tipo de sistema operativo del dispositivo descubierto.
Además de las herramientas de escaneo activo que barren la red, existen herramientas de identificación de activos que escuchan pasivamente una interfaz de red para descubrir equipos que anuncian su presencia mediante el envío de tráfico. Dichas herramientas pasivas pueden ser conectados a puertos espejos del switch en puntos estratégicos de la red de modo a visualizar todo el flujo de datos que pasa por dicho switch, maximizando la posibilidad de identificar sistemas que se comunican a través de éste.
Muchas organizaciones también extraen información de los activos de la red, como conmutadores y enrutadores, con respecto a las máquinas conectadas a la red. Mediante el uso de protocolos de administración de red autenticados y encriptados, las herramientas pueden recuperar direcciones MAC y otra información de dispositivos de red que se pueden conciliar con el inventario de servidores, estaciones de trabajo, computadoras portátiles y otros dispositivos de la organización. Una vez que se confirman las direcciones MAC, los switches deben implementar 802.1x y NAC para permitir que solo los sistemas autorizados que están configurados correctamente se conecten a la red.
Tanto los dispositivos inalámbricos como los portátiles cableados pueden unirse periódicamente a una red y luego desaparecer, lo que hace que el inventario de los sistemas actualmente disponibles sea muy dinámico. Del mismo modo, las máquinas virtuales pueden ser difíciles de rastrear en los inventarios de activos cuando se apagan o se detienen. Además, las máquinas remotas que acceden a la red usando tecnología de red privada virtual (VPN) pueden aparecer en la red por un tiempo y luego desconectarse de ella. Ya sea física o virtual, cada máquina que usa una dirección IP debe incluirse en el inventario de activos de una organización.
Comentarios
Publicar un comentario