Bienvenidos a la segunda parte de Ciberseguridad 2020 Rberny, en esta ocasión analizaremos las configuraciones predeterminadas de software, que en la mayoría de los casos están orientadas a la facilidad de implementación y facilidad de uso y no a la seguridad, dejando a algunos sistemas que pueden ser explotados en su estado predeterminado.
Por lo que la pregunta en esta parte es:
¿Cuenta el negocio con una estrategia de configuraciones seguras, de acuerdo a políticas de seguridad, normas y estándares?
El bienestar de los empleados debería liderar la estrategia de ciberseguridad de todas las empresas, esto puede no parecer intuitivo si se piensa en la ciberseguridad, o puede que la mayoría lo considere muy cibernético, sin embargo, la creciente prevalencia de los dispositivos del Internet de las Cosas, ha diluido la línea entre la seguridad física y la ciberseguridad, como las cámaras de seguridad inalámbricas que se gestionan a través de una interfaz web o una cerradura inteligente que se abre a través del Smartphone de un empleado, debemos considerar que las cosas dejan de ser físicas y pasan a ser cibernéticas, esto es un arquetipo, de esta manera, para tener los recursos necesarios para diseñar la política de seguridad informática, se requiere que la mayor autoridad del negocio tenga la participación para generarla y en dar su aval, es importante que se realiza con la integración de TI al negocio.
Puede ser útil remarcar que la falta de una política de seguridad, puede exponer al negocio a situaciones de responsabilidad legal, por ejemplo, si no quiere que sus empleados se conecten a la red desde sus propios dispositivos, pero no se los ha comunicado, ¿Qué sucedería si el dispositivo de un empleado con datos empresariales se pierde?, la primera reacción puede ser probablemente borrar en remoto el dispositivo y aquí un gran “pero”, ¿Puede hacerse eso sin una política escrita y conocida por el usuario?
Pues bien, dentro de los mecanismos que un atacante puede realizar, sin duda, es intentar explotar tanto los servicios accesibles a la red como el software del cliente y son muy comunes, para ello utilizan diversas formas de malware, de esta manera se incrementa la importancia de contar con el inventario de hardware y Software, con ello es posible implementar políticas homologadas de configuración de dispositivos, de acuerdo a su rol y funciones dentro del negocio.
Configuraciones por defecto
Uno de los principales errores en la administración de red es dejar las configuraciones por defecto de servidores, estaciones de trabajo, elementos de red y otros dispositivos, son una de las principales fuentes de vulnerabilidad de los sistemas, por ejemplo, que un sistema tenga habilitadas cuentas de usuario predefinidas con contraseñas ampliamente conocidas que permitirán a un atacante una vez identificadas tomar el control del sistema.
Es correcto decir que una gran parte de los incidentes de seguridad tienen su origen en vulnerabilidades de este tipo; por ello, cualquier estrategia de seguridad debe incorporar como elemento básico en la gestión de vulnerabilidades la configuración de los sistemas de acuerdo a parámetros que reduzcan su superficie de ataque, para ello una de las mejores prácticas para verificar nuestro entorno es el Hardening de los sistemas, podemos encontrar este requisito en la mayoría de los estándares de seguridad, como el de la industria de tarjetas de pago PCI/DSS y es una precondición necesaria para cumplir con regulaciones como las de protección de datos.
Definir Estado
Debemos tener presente en la estrategia de seguridad de la información del negocio, que debemos establecer los estándares de configuración de seguridad de los distintos elementos de nuestra plataforma informática, esto constituye el estado de seguridad que se propuso de cada tipo de sistema operativo y aplicación que utilicemos, para ello, se pueden tomar como punto de partida las recomendaciones de cada proveedor de software o guías como las proporcionadas por organismos como el NIST (Instituto Nacional de Estándares y Tecnología), para el caso de aplicaciones propias, deberán elaborarse estas guías de configuración de manera interna.
Determinar lineamientos de Seguridad o políticas del negocio para TI
Una razón fundamental por la cual se necesita de políticas que estén perfiladas al negocio, es por la complejidad de la ciberseguridad moderna, existen muchos detalles de los que hay que tener registro, incluso en las organizaciones más pequeñas, al mismo tiempo que el escenario está en constante cambio, a medida que la tecnología de seguridad y los atacantes, se vuelven más avanzados, los administradores de red, gerentes y responsables de sistemas, deben conocer las necesidades informáticas de la empresa, algunos aspectos que debe tener en cuenta:
- ¿Con qué regulaciones de la industria necesita cumplir?
- ¿Qué información necesita proteger y cómo debe ser almacenada y transferida?
- ¿Qué software de negocio se necesita mantener y actualizar para estar protegido?
- ¿Qué espera de sus empleados en relación con las contraseñas elegidas, el uso apropiado de internet, el acceso remoto a la red, los lineamientos de correo electrónico, etc.?
- ¿Quién administrará y mantendrá la política de ciberseguridad?
- ¿Cómo reforzará los lineamientos y cuál es la penalidad por falta de cumplimiento?
Estas preguntas son un punto de partida, para elaborar la estrategia de ciberseguridad, es necesario ir más a fondo para delinear las políticas de su empresa, tratando de no dejar algún supuesto fuera de ellas, claro dependiendo de la situación actual del entorno, entender las necesidades de seguridad puede ser fácil o requerir una auditoría profunda sobre sus activos y herramientas.
Existen documentos de referencia para seguir los lineamientos de instituciones, normas y estándares, por ejemplo:
- Témplate de políticas de Seguridad generales, de red, de servidores y aplicaciones (SANS.org)
- Témplate de internet, seguridad física, privacidad, planificación y procesos (CSO)
- Guía de planeamiento de Seguridad (FCC)
En referencia a la primera parte del artículo de Ciberseguridad 2020 Rberny, en la que se habla del control del hardware y software, les comenté que sin la capacidad de inventario y control instalado y operando correctamente, las empresas hacen que sus sistemas sean más vulnerables, es las organizaciones pueden implementar este control desarrollando una serie de imágenes y servidores de almacenamiento para estas funciones.
Monitoreo y supervisión
Las herramientas de administración de la configuración se pueden emplear para medir la configuración del software instalado y buscar desviaciones de las configuraciones de imagen estándar utilizadas por la organización.
Evaluar periódicamente el control de cambios en la imagen estándar de configuración segura, el equipo de evaluación debe verificar que los sistemas generan una alerta o un aviso por correo electrónico con respecto a los cambios en el software.
Evaluación continua de vulnerabilidades y documentar los eventos
Dentro de la modernización y actualización de la infraestructura tecnológica, herramientas de seguridad, políticas, cambios de legislación y/o poco después de que los investigadores o vendedores de seguridad descubren e informan nuevas vulnerabilidades, tenemos la incansable carrera de los atacantes que diseñan el código y lo lanzan contra objetivos de interés, por lo que cualquier retraso significativo en la búsqueda o reparación de software con vulnerabilidades críticas ofrece una amplia oportunidad para que los atacantes persistentes se abran paso y ganen el control de las máquinas vulnerables.
En la actualidad tenemos una gran cantidad de herramientas de escaneo de vulnerabilidades que están disponibles para evaluar la configuración de seguridad de los sistemas, las más efectivas comparan los resultados del escaneo actual con escaneos anteriores para determinar cómo las vulnerabilidades en el entorno han cambiado con el tiempo, entonces todas las máquinas identificadas por el sistema de inventario de activos deben analizarse en busca de vulnerabilidades en forma periódica.
Debe estar controlado el uso de privilegios administrativos
Cuando no se ha concientizado en general a los usuarios de un entorno de red apropiadamente, podemos abrir la puerta al método más común que usan los atacantes para infiltrarse en una empresa, que es a través del mal uso de los privilegios de administrador por parte de cualquier usuario, incluyendo al personal de TI y ciberseguridad, un atacante puede convencer fácilmente a un usuario de la estación de trabajo para que abra un archivo adjunto de correo electrónico malicioso, descargue y abra un archivo desde un sitio malicioso o navegue a un sitio que descargue automáticamente contenido malicioso, lo critico es que, si el usuario ha iniciado sesión como administrador, el atacante tiene acceso completo al sistema, entonces las características integradas del sistema operativo pueden extraer listas de cuentas con privilegios de superusuario, tanto localmente en sistemas individuales, como en controladores de dominio, estas cuentas deben ser monitoreadas y rastreadas, también verificar que se utilice la política de contraseña y las cuentas de administrador se controlan cuidadosamente.
Muchos usuarios piensan que los equipos de cómputo de la empresa son de su propiedad, sin importarles o desconocer que sus acciones pueden dejar vulnerable su equipo por el mal uso que hacen de ellos.
De forma habitual algunos usuarios de nivel solicitan que puedan tener el control absoluto de su equipo y por comodidad o miedo a que no funcione como ellos esperan, el personal de sistemas de antemano les proporciona el privilegio de administradores, esto es una muy mala práctica.
Otros ejemplos de malas prácticas:
- Almacenar las fotos de la comunión o los videos de la fiesta de cumpleaños de sus hijos en su disco duro.
- No pueden resistirse a descargar sus series favoritas y canciones preferidas.
- Conectan dispositivos USB a la red, pudiendo transferir archivos infectados.
- Pierden el tiempo navegando libremente por Internet, ralentizando la red y visitando sitios de riesgo.
- En muchos casos se exponen a la descarga de software ilegal o archivos infectados.
- En la navegación en internet, instalan cuanto software en forma de plugin les requiera.
- Utilizan algún Mensajero sin protección para hablar con clientes o proveedores, exponiendo información confidencial en un medio poco seguro.
- Detienen el servicio de antivirus, si esto también sucede.
Controlando estos detalles elementales, podemos valorar cuando las solicitudes de configuración son razonables y justificadas, se reducirá las incidencias de apoyo técnico, que resultan por problemas de rendimiento en sus equipos de cómputo y, sobre todo, se minimizaran riesgos de seguridad interna, está comprobado que más de la mitad de las brechas de seguridad, ocurren dentro del perímetro corporativo, ya sea involuntariamente o de forma maliciosa.
Análisis de registros de auditoría
Los registros de auditoría proporcionan la única evidencia de un ataque exitoso, muchas organizaciones mantienen registros de auditoría para fines de cumplimiento, pero rara vez los revisan y esto es una práctica bastante arraigada, cuando no se revisan los registros de auditoría, las organizaciones no saben que sus sistemas se han visto comprometidos, definitivamente los atacantes confían en esto.
La mayoría de los sistemas operativos, servicios de red y tecnologías de firewall gratuitos y comerciales ofrecen capacidades de registro, dicho registro debe activarse y los registros deben enviarse a los servidores de registro centralizados, el sistema de red debe ser capaz de registrar todos los eventos en la red, deben validarse tanto en la red como en los sistemas basados en host.
Este es parte de los temas, que me gustaría que intercambiáramos ideas, conceptos y recomendaciones para ayudarnos a mejorar la gestión de TI.
Conozca el estado de seguridad de sus sistemas informáticos
El producto del análisis de registros, escaneos, logs, etc., se integra a controles que son importantes para los KPI del rendimiento de TI, ante eventos de esta naturaleza, prevención, detección y respuesta.
Espero les sirva para poder identificar si estamos haciendo bien las cosas, para prevenir perdida de información por ataque cibernético, esta serie de publicaciones sobre seguridad informática está dirigida a integrantes y colaboradores del CIO, Gerentes de TI, Personal de TI, Administradores de seguridad, CEO, Administradores y dueños del negocio.
Saludos,
Bibliografía
- El costo de los dispositivos móviles sin protección en el lugar de trabajo, Sitio web:https://www.eset-la.com/pdf/landing/2019/template-leads-b2b/guia-ciberseguridad-pequenas-empresas.pdf
- “Aleph One”. Smashing The Stack for Fun and Profit. Phrack, 7(49), November 1996, Sitio web: http://phrack.org/issues/49/14.html
- HACKING: THE ART OF EXPLOITATION. Jon Erickson.
- The Shellcode’s Handbook: Discovering and Exploiting Security Holes. Chris Anley, John Heasman, Felix Lindner & Gerardo Richarte
- Practical Malware Analysis. Sikorski, Honig.
- Diccionario de amenazas, Sitio web: https://www.sophos.com/es-es/medialibrary/PDFs/other/sophosthreatsaurusaz.pdf
- Dr. Jorge Ramió Aguirre. (2006). Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1.
- Dan Boneh and Victor Shoup. (2017). A Graduate Course in Applied Cryptography. Sitio web: http://toc.cryptobook.us/
- Libro crypto 101 – Laurens Van Houtven. Sitio web: https://www.crypto101.io/
- De la cifra clásica al cifrado RSA. Sitio web:http://www.criptored.upm.es/guiateoria/gt_m001a.htm
- Libro fundamentos de seguridad en redes 2da edición – Stallings
- Handbook for Computer Security Incident Response Teams (CSIRTs). Sitio web:https://resources.sei.cmu.edu/asset_files/Handbook/2003_002_001_14102.pdf.
- Proyecto Amparo: Manual básico en Gestión de Incidentes de Seguridad Informática. Sitio web:http://www.proyectoamparo.net/files/manual_seguridad/manual_basico_sp.pdf
Views: 1