He aqui la 3ra parte de las 20 vulnerabilidades criticas ahora le toca a.
Configuraciones seguras para hardware y software en los dispositivos móviles, ordenadores portátiles, estaciones de trabajo y servidores.
¿Cómo atacantes aprovechan de la ausencia de este control?
Tanto en el Internet y las redes internas que los atacantes ya comprometidos, programas automatizados de ataques informáticos en constante búsqueda de redes de destino en busca de sistemas que se configuran con el software vulnerable instalado la forma en que fue entregado a los fabricantes y distribuidores, lo que es inmediatamente vulnerable a la explotación. Configuraciones predeterminadas se adaptan con frecuencia a la facilidad de despliegue y facilidad de uso y no de seguridad, dejando los servicios externos que son explotables en su estado por defecto. Además, los parches no siempre se aplican de manera oportuna y actualizaciones de software a menudo introducen fallos desconocidos en una pieza de software que puede ser explotado por ataques de día cero. Los atacantes intentan explotar tanto accesible desde la red de servicios y software de cliente de exploración utilizando estas técnicas.
Defensas contra estos exploits automatizados incluyen la adquisición de ordenador y componentes de la red con las configuraciones de seguridad ya aplicadas, la implementación de tales sistemas preconfigurados endurecidos, la actualización de estas configuraciones sobre una base regular, y el seguimiento de ellos en un sistema de gestión de la configuración.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Estricta gestión de la configuración, se seguirán construyendo una imagen de seguridad que se utiliza para construir todos los nuevos sistemas que se implementan en la empresa. Todo sistema que se ve comprometida es re-fotografiada con la construcción segura. Las actualizaciones regulares a esta imagen se integran en los procesos de la organización de gestión del cambio. Las imágenes deben ser creadas tanto para estaciones de trabajo y servidores.
2. Ganancias rápidas: las imágenes del sistema deben haber documentado la configuración de seguridad que se prueban antes de su despliegue, aprobada por una junta de organización de control de cambios, e inscrita en una biblioteca de imagen central para la organización o varias organizaciones. Estas imágenes deberán ser validadas y actualizar en forma periódica para actualizar la configuración de seguridad a la luz de recientes vulnerabilidades y vectores de ataque.
3. Ganancias rápidas: imágenes estandarizadas deben representar versiones reforzadas de que el sistema operativo subyacente y las aplicaciones instaladas en el sistema, tales como los publicados por el NIST, NSA, Agencia de Sistemas de Información de Defensa (DISA), Center for Internet Security (CIS), y otros . Este endurecimiento típicamente incluyen la eliminación de cuentas innecesarias, la desactivación o eliminación de servicios innecesarios y la configuración de las pilas y las pilas no ejecutables. Este endurecimiento también implica, entre otras medidas, la aplicación de parches, el cierre de los puertos de red abiertos y sin usar, la aplicación de sistemas de detección de intrusos y / o sistemas de prevención de intrusos y firewalls basados en host erección.
4. Victorias rápidas: Las imágenes de los propios maestros deben ser almacenados en los servidores configurados con seguridad, con herramientas de comprobación de la integridad y gestión del cambio para asegurar que los cambios sólo los usuarios autorizados a las imágenes son posibles. Alternativamente, estas imágenes maestras se pueden almacenar en máquinas fuera de línea, con aire gapped de la red de producción, con las imágenes copiadas a través de medios seguros para moverlos entre los servidores de almacenamiento de imágenes y la red de producción. Las imágenes deben ser probados en el sitio de recuperación de desastres caliente o tibia que no hay uno disponible.
5. Victorias rápidas: Ejecute la última versión del software y asegúrese de que está completamente parcheado. Eliminación de software anticuado o más del sistema.
6. Visibilidad / Atribución: Cualquier desviación de la norma de construcción o cambios a la norma de construcción debe ser aprobada por una junta de control de cambios y documentados en un sistema de gestión del cambio.
7. Visibilidad / Reconocimiento: Negociar contratos para comprar sistemas configurados con seguridad fuera de la caja usando imágenes estandarizadas, que debían concebirse para evitar el software extraño que aumentaría su superficie de ataque y la susceptibilidad a las vulnerabilidades.
8. Visibilidad / Reconocimiento: Utilizar lista blanca de aplicaciones para controlar y gestionar los cambios de configuración en el software que se ejecuta en el sistema.
9. Configuración / Higiene: Toda la administración remota de servidores, estaciones de trabajo, dispositivos de red y equipo similar se llevará a cabo a través de canales seguros. Los protocolos como Telnet, VNC, RDP, u otros que no apoyan activamente una fuerte encriptación sólo se debe utilizar si se realizan a través de un canal cifrado secundaria, como SSL o IPSEC.
10. Configuración / Higiene: Utilizar herramientas de comprobación de la integridad de archivos en por lo menos una vez por semana para asegurarse de que los archivos críticos del sistema (incluido el sistema sensible y ejecutables de aplicaciones, bibliotecas y configuraciones) no han sido alterados. Todas las alteraciones en dichos archivos deben ser automáticamente informado al personal de seguridad. El sistema de información debe tener la capacidad de dar cuenta de los cambios de rutina y esperados, destacando alteraciones inusuales o inesperados.
11. Configuración / Higiene: Implementar y probar un sistema de configuración de monitoreo automatizado que mide todos los elementos de configuración de seguridad que se pueden medir a través de pruebas a distancia, utilizando las características como las que se incluye con las herramientas compatibles con Content Security Automation Protocol (SCAP) para reunir información sobre la vulnerabilidad de configuración. Estos ensayos automatizados deben analizar tanto de hardware como los cambios de software, los cambios de configuración de red, y otras modificaciones que afectan a la seguridad del sistema.
12. Configuración / Higiene: Implementar herramientas del sistema de gestión de la configuración, tales como objetos de Active Directory directiva de grupo para los sistemas Microsoft Windows o títeres para sistemas Unix que forzará automáticamente y los ajustes de configuración para volver a desplegar sistemas a intervalos regulares.
13. Avanzado: Las organizaciones deben adoptar un proceso formal y la infraestructura de gestión de control de la configuración de los dispositivos móviles. El proceso debe incluir borrado de seguridad remotas de dispositivos perdidos o robados, la aprobación de aplicaciones empresariales, y la negación de aplicaciones no aprobadas. Si el dispositivo es propiedad de la organización, un completo limpie debe ser realizada. Si se trata de un sistema de BYOD, un selectivo limpiar se debe realizar, la eliminación de información de la organización.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
CM-1, CM-2 (1, 2), CM-3 (b, c, d, e, 2, 3), CM-5 (2), CM-6 (1, 2, 4), CM- 7 (1), SA-1 (a), SA-4 (5), SI-7 (3), PM-6
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Hito 7: Gestión de Base
Configuración y Gestión del Cambio
Procedimientos y herramientas para implementar y automatizar este control
Las organizaciones pueden implementar este control mediante el desarrollo de una serie de imágenes y servidores de almacenamiento seguro para la celebración de estas imágenes estándar. Herramientas de configuración comerciales y / o de gestión libre puede ser empleado para medir la configuración del sistema operativo y las aplicaciones de las máquinas administradas a tener en cuenta las desviaciones de las configuraciones de imagen estándar utilizados por la organización. Algunas de las herramientas de gestión de configuración requieren que un agente esté instalado en cada sistema administrado, mientras que otros remotamente iniciar sesión en cada equipo gestionado con credenciales de administrador. Cualquiera de los enfoques o combinaciones de los dos enfoques pueden proporcionar la información necesaria para este control.
Control 3 Metric:
El sistema debe ser capaz de identificar cualquier cambio a una imagen oficial endurecida que puede incluir modificaciones en los archivos clave, servicios, puertos, archivos de configuración o de cualquier software instalado en el sistema. Las modificaciones incluyen la eliminación, cambios o adiciones de software nuevo a cualquier parte de los sistemas operativos, servicios o aplicaciones que se ejecutan en el sistema. La configuración de cada sistema debe cotejarse con la base de datos master imagen oficial para verificar los cambios para asegurar configuraciones que podrían afectar la seguridad. Cualquiera de estos cambios en un sistema informático debe ser detectada dentro de 24 horas y la notificación realizada por el envío de aviso o notificación por correo electrónico a una lista de personal administrativo de la empresa. Los sistemas deben bloquear la instalación, prevenir la ejecución o software no autorizado cuarentena dentro de una hora adicional, aviso o enviar e-mail cuando esta acción se ha producido. Cada 24 horas después de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red o remediadas. Si bien los plazos de 24 horas y una hora-representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse aún más para alertar rápido y aislamiento.
Control 3 de la prueba:
Para evaluar la aplicación de control 3 en forma periódica, un equipo de evaluación debe mover un sistema de prueba benigna que no contiene la imagen endurecido oficial, pero que contiene servicios adicionales, los puertos, y los cambios de los archivos de configuración en la red. Esto debe llevarse a cabo en 10 diferentes segmentos aleatorios usando cualquiera de los sistemas reales o virtuales. El equipo de evaluación debe verificar que los sistemas de generar una alerta en relación con los cambios en el software dentro de las 24 horas. Es importante que el equipo de evaluación verificar que todos los cambios no autorizados se han detectado. El equipo también debe verificar que la alerta o el correo electrónico que se recibe en una hora adicional que indica que el software ha sido bloqueado o puesto en cuarentena. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada máquina con los cambios no autorizados, incluida la información sobre el propietario de los activos.
El equipo de evaluación debe verificar que el software se bloquea al intentar ejecutarlo y comprobar que no se le permite correr. Además de estas pruebas, dos pruebas adicionales deben ser realizadas:
1. Herramientas de comprobación de la integridad del archivo se debe ejecutar en una base regular. Cualquier cambio en el sistema operativo crítico, servicios y archivos de configuración debe ser confirmada en cada hora. Cualquier cambio debe ser bloqueado y seguir el proceso de notificación anterior.
2. Sistema de herramientas de análisis que comprueban la versión del software, los niveles de parches y archivos de configuración se debe ejecutar en una base diaria. Cualquier cambio debe ser bloqueado y seguir el e-mail proceso de notificación.
Control 3 Entidad Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la forma de aplicar el, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir. Al igual que con cualquier configuración, todos los cambios deben ser aprobados y administrados por un proceso de control de cambios.
Un sistema de control es un dispositivo o conjunto de dispositivos para la gestión, mando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos, software y entidades utilizadas para gestionar y aplicar una configuración coherente de configuración para estaciones de trabajo, portátiles y servidores de la red. Vamos a discutir otros dispositivos de red más adelante en el curso. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar cada paso con el fin de identificar los puntos potenciales de fallo en el control general.
Paso 1: imágenes con garantía del sistema se aplican a los sistemas informáticos
Paso 2: las imágenes garantizados almacenados del sistema de una manera segura
Paso 3: Sistema de Gestión de la configuración valida y verifica imágenes del sistema
Paso 4: Configuración del sistema de aplicación de políticas explora activamente los sistemas de producción de errores de configuración o desviaciones de las líneas de base
Paso 5: sistemas de evaluación de la integridad de archivos binarios controlar críticos del sistema y conjuntos de datos
Paso 6: Blanco listado monitores de herramientas configuraciones de sistemas y software
Paso 7: Escáner SCAP configuración valida las configuraciones
Paso 8: la integridad del sistema de archivos evaluación envía desviaciones sistema de alerta
Paso 9: Herramienta establecimiento White envía a desviaciones sistema de alerta
Paso 10: Escáner SCAP configuración envía desviaciones sistema de alerta
Paso 11 y 12: Gestión de documentos informes de estado de configuración
Fuente:http://www.sans.org/critical-security-controls/control.php?id=3
Traduccion:Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario