Reduce the Attack Surface and Mitigate Common Security Risks Rberny 2023

Reducir la Superficie de Ataque y Mitigar los Riesgos de Seguridad Comunes.

Para elaborar la estrategia de ciberseguridad, es necesario ir más a fondo para delinear las políticas de tu empresa, tratando de no dejar algún supuesto fuera de ellas.

Excelente que nos volvamos a ver, agradezco de antemano el tiempo que se toman para leer un poco de mi experiencia en tecnologías de la información y Ciberseguridad, como en el artículo anterior vimos una breve introducción a los controles del CIS, en su proceso 1 y 2, seguiremos tomando los controles sin seguir el orden numérico que tienen, lo haremos de la manera funcional.

Les vuelvo a comentar, los Controles de seguridad críticos de CIS creados por el Centro para la seguridad de Internet ofrecen un conjunto de mejores prácticas y recomendaciones que abordan áreas clave de la seguridad del sistema, como configuraciones seguras, controles de acceso y administración de vulnerabilidades, hemos comprobado que al seguir los Controles de CIS, las organizaciones pueden fortalecer sistemáticamente sus sistemas, reducir la superficie de ataque y mitigar los riesgos de seguridad comunes.

La información base de los controles CIS se actualizan regularmente para adaptarse a las amenazas en evolución, lo que garantiza que las organizaciones se mantengan al día con las vulnerabilidades emergentes y las estrategias de mitigación.

Entonces este es el control 4

Configuración segura de activos y software empresariales

Analizaremos las configuraciones predeterminadas de software, que en la mayoría de los casos están orientadas a la facilidad de implementación y facilidad de uso y no a la seguridad, dejando a algunos sistemas que pueden ser explotados en su estado predeterminado, este es una mala práctica de TI a la presión que representa el entregar equipamiento o sistemas sin establecer las políticas, lineamientos y difundirlos en la empresa, ¡recordemos todo urge!, y ¡hazlo como puedas, pero hazlo ya!, claro nos cuentan que en ocasiones así eran las solicitudes cuando había que entregar el equipamiento, accesos, sistemas, etc., sobre todo de puestos altos o de ruta crítica.

De esta manera les realizo las siguientes preguntas:

¿Cuenta el negocio con una estrategia de configuraciones seguras, de acuerdo a políticas de seguridad, normas y estándares?

¿Consideran que el bienestar de los empleados debería liderar la estrategia de ciberseguridad de todas las empresas?

La postura cambia y es vista de diferentes formas, si no hay concientización en todas las áreas del negocio y la participación de la alta dirección, quienes proporcionaran el ejemplo de que la ciberseguridad es una prioridad, la seguridad fallará, esto puede no parecer intuitivo si se piensa en la ciberseguridad, o puede que la mayoría lo considere algo muy cibernético, ¡hay quien dice, dejemos eso a los expertos! Y tienen parcialmente razón, no tienen por qué saber de configuraciones, hardware, o soluciones de continuidad del negocio, de lo que deben saber es como protegerse de las trampas puestas en internet para los usuarios finales, o que nos hacen llegar por correo electrónico.

Sin embargo, la creciente prevalencia de los dispositivos del Internet de las Cosas, ha diluido la línea entre la seguridad física y la ciberseguridad, como las cámaras de seguridad inalámbricas que se gestionan a través de una interfaz web o una cerradura inteligente que se abre a través del Smartphone de un empleado, debemos considerar que las cosas dejan de ser físicas y pasan a ser cibernéticas, esto es un arquetipo, de esta manera, para tener los recursos necesarios para diseñar la política de seguridad informática, se requiere que la mayor autoridad del negocio tenga la participación para generarla y en dar su aval, es importante que se realice con la integración de TI al negocio.

Les recomiendo y sé que es útil remarcar que la falta de una política de seguridad, puede exponer al negocio a situaciones de responsabilidad legal, por ejemplo, si no quiere que sus empleados se conecten a la red desde sus propios dispositivos, pero no se los ha comunicado, ¿Qué sucedería si el dispositivo de un empleado con datos empresariales se pierde?, la primera reacción puede ser probablemente borrar en remoto el dispositivo y aquí un gran “pero”, ¿Puede hacerse eso sin una política escrita y conocida por el usuario?

Pues bien, dentro de los mecanismos que un atacante puede realizar, sin duda, es intentar explotar tanto los servicios accesibles a la red como el software del cliente y son muy comunes, para ello utilizan diversas formas de malware, de esta manera se incrementa la importancia de contar con el inventario de hardware y Software (Control CIS 1 y 2), con ello es posible implementar políticas homologadas de configuración de dispositivos, de acuerdo a su rol y funciones dentro del negocio.

Configuraciones por defecto

Uno de los principales errores en la administración de red, por parte del equipo de TI, es dejar las configuraciones por defecto de servidores, estaciones de trabajo, elementos de red y otros dispositivos, son una de las principales fuentes de vulnerabilidad de los sistemas, por ejemplo, que un sistema tenga habilitadas cuentas de usuario predefinidas con contraseñas ampliamente conocidas que permitirán a un atacante una vez identificadas tomar el control del sistema.

                Por ejemplo:

                               Un Router Cisco, imaginemos que tienen esta configuración:

  •                                                User: cisco
  •                                                Password: admin

Es correcto decir que una gran parte de los incidentes de seguridad tienen su origen en vulnerabilidades de este tipo; por ello, cualquier estrategia de seguridad debe incorporar como elemento básico en la gestión de vulnerabilidades la configuración de los sistemas de acuerdo a parámetros que reduzcan su superficie de ataque, para ello una de las mejores prácticas para verificar nuestro entorno es el Hardening de los sistemas, podemos encontrar este requisito en la mayoría de los estándares de seguridad, como el de la industria de tarjetas de pago PCI/DSS y es una precondición necesaria para cumplir con regulaciones como las de protección de datos.

Definir Estado

Debemos tener presente en la estrategia de seguridad de la información del negocio, que debemos establecer los estándares de configuración de seguridad de los distintos elementos de nuestra plataforma informática, esto constituye el estado de seguridad que se propuso de cada tipo de sistema operativo y aplicación que utilicemos, para ello, se pueden tomar como punto de partida las recomendaciones de cada proveedor de software o guías como las proporcionadas por organismos como el NIST (Instituto Nacional de Estándares y Tecnología), para el caso de aplicaciones propias, deberán elaborarse estas guías de configuración de manera interna.

Determinar lineamientos de Seguridad o políticas del negocio para TI

Una razón fundamental por la cual se necesita de políticas que estén perfiladas al negocio, es por la complejidad de la ciberseguridad moderna, existen muchos detalles de los que hay que tener registro, incluso en las organizaciones más pequeñas, al mismo tiempo que el escenario está en constante cambio, a medida que la tecnología de seguridad y los atacantes, se vuelven más avanzados, los administradores de red, gerentes y responsables de sistemas, deben conocer las necesidades informáticas de la empresa, algunos aspectos que debe tener en cuenta:

  • ¿Con qué regulaciones de la industria necesita cumplir?
  • ¿Qué información necesita proteger y cómo debe ser almacenada y transferida?
  • ¿Qué software de negocio se necesita mantener y actualizar para estar protegido?
  • ¿Qué espera de sus empleados en relación con las contraseñas elegidas, el uso apropiado de internet, el acceso remoto a la red, los lineamientos de correo electrónico, etc.?
  • ¿Quién administrará y mantendrá la política de ciberseguridad?
  • ¿Cómo reforzará los lineamientos y cuál es la penalidad por falta de cumplimiento?

Estas preguntas son un punto de partida, para elaborar la estrategia de ciberseguridad, es necesario ir más a fondo para delinear las políticas de tu empresa, tratando de no dejar algún supuesto fuera de ellas, claro dependiendo de la situación actual del entorno, comprender las necesidades de seguridad puede ser fácil o requerir una auditoría profunda sobre sus activos y herramientas.

Existen documentos de referencia para seguir los lineamientos de instituciones, normas y estándares, por ejemplo:

  • Témplate de políticas de Seguridad generales, de red, de servidores y aplicaciones (SANS.org)
  • Témplate de internet, seguridad física, privacidad, planificación y procesos (CSO)
  • Guía de planeamiento de Seguridad (FCC)

Recuerden sin la capacidad de inventario y control instalado y operando correctamente, las empresas hacen que sus sistemas sean más vulnerables, las organizaciones pueden implementar este control desarrollando una serie de imágenes y servidores de almacenamiento para estas funciones.

Monitoreo y supervisión

Las herramientas de administración de la configuración se pueden emplear para medir la configuración del software instalado y buscar desviaciones de las configuraciones de imagen estándar utilizadas por la organización.

Evaluar periódicamente el control de cambios en la imagen estándar de configuración segura, re requisito que el equipo de evaluación debe verificar que los sistemas generan una alerta o un aviso por correo electrónico con respecto a los cambios en el software.

Evaluación continua de vulnerabilidades y documentar los eventos

Dentro de la modernización y actualización de la infraestructura tecnológica, herramientas de seguridad, políticas, cambios de legislación y/o poco después de que los investigadores o vendedores de seguridad descubren e informan nuevas vulnerabilidades, no olvidemos que tenemos la incansable carrera de los atacantes que diseñan el código y lo lanzan contra objetivos de interés, por lo que cualquier retraso significativo en la búsqueda o reparación de software con vulnerabilidades críticas ofrece una amplia oportunidad para que los atacantes persistentes se abran paso y ganen el control de las máquinas vulnerables.

En la actualidad tenemos una gran cantidad de herramientas de escaneo de vulnerabilidades que están disponibles para evaluar la configuración de seguridad de los sistemas, las más efectivas comparan los resultados del escaneo actual con escaneos anteriores para determinar cómo las vulnerabilidades en el entorno han cambiado con el tiempo, entonces todas las máquinas identificadas por el sistema de inventario de activos deben analizarse en busca de vulnerabilidades en forma periódica.

Debe estar controlado el uso de privilegios administrativos

Cuando no se ha concientizado en general a los usuarios de un entorno de red apropiadamente, podemos abrir la puerta al método más común que usan los atacantes para infiltrarse en una empresa, que es a través del mal uso de los privilegios de administrador por parte de cualquier usuario, incluyendo al personal de TI y ciberseguridad, un atacante puede convencer fácilmente a un usuario de la estación de trabajo para que abra un archivo adjunto de correo electrónico malicioso, descargue y abra un archivo desde un sitio malicioso o navegue a un sitio que descargue automáticamente contenido malicioso, lo critico es que, si el usuario ha iniciado sesión como administrador, el atacante tiene acceso completo al sistema, entonces las características integradas del sistema operativo pueden extraer listas de cuentas con privilegios de superusuario, tanto localmente en sistemas individuales, como en controladores de dominio, estas cuentas deben ser monitoreadas y rastreadas, también verificar que se utilice la política de contraseña y las cuentas de administrador se controlan cuidadosamente.

“Muchos usuarios piensan que los equipos de cómputo de la empresa son de su propiedad, sin importarles o desconocer que sus acciones pueden dejar vulnerable su equipo por el mal uso que hacen de ellos”

De forma habitual algunos usuarios de nivel solicitan que puedan tener el control absoluto de su equipo y por comodidad o miedo a que no funcione como ellos esperan, el personal de sistemas de antemano les proporciona el privilegio de administradores, esto es una muy mala práctica.

Otros ejemplos de malas prácticas:

  • Almacenar las fotos de la comunión o los videos de la fiesta de cumpleaños de sus hijos en su disco duro.
  • No pueden resistirse a descargar sus series favoritas y canciones preferidas.
  • Conectan dispositivos USB a la red, pudiendo transferir archivos infectados.
  • Pierden el tiempo navegando libremente por Internet, ralentizando la red y visitando sitios de riesgo.
  • En muchos casos se exponen a la descarga de software ilegal o archivos infectados.
  • En la navegación en internet, instalan cuanto software en forma de plugin les requiera.
  • Utilizan algún Mensajero sin protección para hablar con clientes o proveedores, exponiendo información confidencial en un medio poco seguro.
  • Detienen el servicio de antivirus, si esto también sucede.

Controlando estos detalles elementales, podemos valorar cuando las solicitudes de configuración son razonables y justificadas, se reducirá las incidencias de apoyo técnico, que resultan por problemas de rendimiento en sus equipos de cómputo y, sobre todo, se minimizaran riesgos de seguridad interna, está comprobado que más de la mitad de las brechas de seguridad, ocurren dentro del perímetro corporativo, ya sea involuntariamente o de forma maliciosa.

Análisis de registros de auditoría (Control CIS 8)

Los registros de auditoría proporcionan la única evidencia real de un ataque exitoso, muchas organizaciones mantienen registros de auditoría para fines de cumplimiento, pero rara vez los revisan y esto es una práctica bastante arraigada, cuando no se revisan los registros de auditoría, las organizaciones no saben que sus sistemas se han visto comprometidos, definitivamente los atacantes confían en esto.

La mayoría de los sistemas operativos, servicios de red y tecnologías de firewall gratuitos y comerciales ofrecen capacidades de registro, dicho registro debe activarse y los registros deben enviarse a los servidores de registro centralizados, el sistema de red debe ser capaz de integrar todos los eventos en la red, deben validarse tanto en la red como en los sistemas basados en host.

Este es parte de los temas, que me gustaría que intercambiáramos ideas, conceptos y recomendaciones para ayudarnos a mejorar la gestión de TI.

Conozca el estado de seguridad de sus sistemas informáticos

El producto del análisis de registros, escaneos, logs, etc., se integra a controles que son importantes para los KPI del rendimiento de TI, ante eventos de esta naturaleza, prevención, detección y respuesta.

Espero les sirva para poder identificar si estamos haciendo bien las cosas, para prevenir perdida de información por ataque cibernético, esta serie de publicaciones sobre seguridad informática está dirigida a integrantes y colaboradores del CIO, Gerentes de TI, Personal de TI, Administradores de seguridad, CEO, Administradores y dueños del negocio, originados por los controles del CIS versión 8.

Saludos, su amigo,

Firma 2023 Rberny - Ing. Rubén Bernardo Guzmán Mercado
Firma 2023 Rberny – Ing. Rubén Bernardo Guzmán Mercado

Bibliografía

El costo de los dispositivos móviles sin protección en el lugar de trabajo, Sitio web:https://www.eset-la.com/pdf/landing/2019/template-leads-b2b/guia-ciberseguridad-pequenas-empresas.pdf

“Aleph One”. Smashing The Stack for Fun and Profit. Phrack, 7(49), November 1996, Sitio web: http://phrack.org/issues/49/14.html

HACKING: THE ART OF EXPLOITATION. Jon Erickson.

The Shellcode’s Handbook: Discovering and Exploiting Security Holes. Chris Anley, John Heasman, Felix Lindner & Gerardo Richarte

Practical Malware Analysis. Sikorski, Honig.

Diccionario de amenazas, Sitio web: https://www.sophos.com/es-es/medialibrary/PDFs/other/sophosthreatsaurusaz.pdf

Dr. Jorge Ramió Aguirre. (2006). Libro Electrónico de Seguridad Informática y Criptografía Versión 4.1.

Dan Boneh and Victor Shoup. (2017). A Graduate Course in Applied Cryptography. Sitio web: http://toc.cryptobook.us/

Libro crypto 101 – Laurens Van Houtven. Sitio web: https://www.crypto101.io/

De la cifra clásica al cifrado RSA. Sitio web:http://www.criptored.upm.es/guiateoria/gt_m001a.htm

Libro fundamentos de seguridad en redes 2da edición – Stallings

Handbook for Computer Security Incident Response Teams (CSIRTs). Sitio web:https://resources.sei.cmu.edu/asset_files/Handbook/2003_002_001_14102.pdf.

Proyecto Amparo: Manual básico en Gestión de Incidentes de Seguridad Informática. Sitio web:http://www.proyectoamparo.net/files/manual_seguridad/manual_basico_sp.pdf

Views: 9

Comparte si fue de tu agrado

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.