Gestione activamente todo software en la red (inventario, seguimiento y corrección), de tal manera que solo software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación y ejecución.
¿Por qué es importante este control?
Los atacantes escanean continuamente a las organizaciones objetivo en busca de versiones vulnerables de software que pueden explotarse de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar exploits de día cero, que aprovechan vulnerabilidades previamente desconocidas para las cuales el proveedor de software aún no ha publicado ningún parche. Sin el conocimiento o control adecuado del software que de encuentra desplegado en una organización, no se puede proteger adecuadamente los propios activos.
Los dispositivos poco controlados son tienen más posibilidades de ejecutar software innecesario desde el punto de vista de negocio (introduciendo posibles fallas de seguridad) o de ejecutar software malicioso introducido por un atacante después de que un sistema se vea comprometido. Una vez que se ha explotado una sola máquina, los atacantes a menudo la utilizan como punto de apoyo para recopilar información sensible del sistema comprometido y de otros sistemas conectados a ella. Además, las máquinas comprometidas se utilizan como un punto de partida para el movimiento por la red y las redes asociadas. De esta manera, los atacantes pueden pasar rápidamente de tener una máquina comprometida a tener muchas. Las organizaciones que no tienen inventarios de software completos no pueden encontrar los sistemas que ejecuten software vulnerable o malicioso para mitigar los problemas o eliminar a los atacantes.
El control administrado de todo el software también desempeña un papel fundamental en la planificación y ejecución de la copia de seguridad y la recuperación del sistema.
Sub control | Tipo de activo | Función de seguridad | Control | Descripción |
2.1 | Aplicaciones | Identificar | Mantener un inventario de software autorizado | Mantenga una lista actualizada de todo el software autorizado que es requerido en la organización para todos los fines de negocio y todos los sistemas de negocio. |
2.2 | Aplicaciones | Identificar | Asegurar que el software tenga soporte del fabricante | Asegure que en el inventario de software autorizado de la organización se incluya únicamente software (aplicaciones o sistemas operativos) que actualmente cuente con soporte del fabricante. El software que no cuenta con soporte debe ser marcado como no soportado en el sistema de inventario. |
2.3 | Aplicaciones | Identificar | Utilizar herramientas de inventario de software | Utilice herramientas de inventario de software en toda la organización para automatizar la documentación de todo el software en los sistemas de negocio. |
2.4 | Aplicaciones | Identificar | Rastrear información del inventario de software | El sistema de inventario de software debe obtener el nombre, la versión, el autor y la fecha de instalación de todo el software, incluidos los sistemas operativos autorizados por la organización. |
2.5 | Aplicaciones | Identificar | Integrar los inventarios de activos de hardware y software | El sistema de inventario de software debe estar vinculado al inventario de activos de hardware para que todos los dispositivos y el software asociado sean rastreados desde una sola ubicación. |
2.6 | aplicaciones | Responder | Gestionar el software no aprobado | Asegúrese que el software no autorizado es removido, o que sea incluido en el inventario oportunamente. |
2.7 | Aplicaciones | Proteger | Utilizar lista blanca de aplicaciones | Utilice tecnología de lista blanca de aplicaciones en todos los activos para asegurar que solo el software autorizado se pueda ejecutar, y que se previene la ejecución de todo el software no autorizado en dichos activos. |
2.8 | Aplicaciones | Proteger | implementar lista blanca de librerías | El sistema de lista blanca de aplicaciones de la organización debe garantizar que solo las librerías de software autorizadas (como * .dll, * .ocx, * .so, etc.) puedan cargarse en un proceso del sistema. |
2.9 | Aplicaciones | proteger | Implementar lista blanca de scripts | El sistema de lista blanca de aplicaciones de la organización debe garantizar que solo los scripts autorizados y firmados digitalmente (como * .ps1, * .py, macros, etc.) puedan ejecutarse en un sistema. |
2.10 | aplicaciones | Proteger | Separar física o lógicamente las aplicaciones de alto riesgo | u tilizar sistemas separados física o lógicamente para aislar y ejecutar aquel software que es requerido para fines de negocio, pero que conlleva un mayor riesgo para la organización. |
Procedimientos y Herramientas
Las listas blancas se pueden implementar utilizando una combinación de herramientas comerciales de listas blancas, políticas o herramientas de ejecución de aplicaciones que vienen incluidas con paquetes de antivirus y sistemas operativos populares. Herramientas comerciales de inventario de activos y de software están ampliamente disponibles y en uso hoy en día en muchas organizaciones. Las mejores de estas herramientas proporcionan una verificación de inventario de cientos de aplicaciones comúnmente utilizadas en organizaciones, extrayendo información sobre el nivel de parche de cada programa instalado para garantizar que sea la versión más reciente y, aprovechan los nombres estandarizados de aplicaciones, como las que se encuentran en la especificación de enumeración de plataforma común.
Muchas suites modernas de seguridad de endpoint incluyen características que implementan listas blancas. Además, las soluciones comerciales agrupan cada vez más antivirus, antispyware, firewall personal y sistemas de detección de intrusiones (IDS) y sistemas de prevención de intrusiones (IPS) basados en host, junto con listas blancas y negras de aplicaciones. En particular, la mayoría de las soluciones de seguridad de endpoint pueden ver el nombre, la ubicación en el sistema de archivos y / o el hash criptográfico de un ejecutable dado para determinar si se debe permitir que la aplicación se ejecute en la máquina protegida. La más efectiva de estas herramientas ofrece listas blancas personalizadas basadas en ruta ejecutable, hash o coincidencia de expresiones regulares. Algunos incluso incluyen una función de lista gris que permite a los administradores definir reglas para la ejecución de programas específicos solo por ciertos usuarios y en ciertos momentos del día.
Comentarios
Publicar un comentario