En diferentes articulos les expongo las 20 Vulnerabilidades criticas.
Inventario de dispositivos autorizados y no autorizados
¿Cómo atacantes aprovechan de la ausencia de este control?
Muchos grupos criminales y los estados nación de implementar sistemas que continuamente exploran espacios de direcciones de organizaciones objetivo, a la espera de nuevos sistemas y desprotegidos que deben adjuntarse a la red. Los atacantes también buscan computadoras portátiles no están actualizadas con los parches, ya que no son frecuentemente conectados a la red. Un ataque común se aprovecha de un nuevo hardware que está instalado en la noche una red y no configurado y parcheado con las actualizaciones de seguridad apropiadas hasta el día siguiente. Los atacantes desde cualquier parte del mundo puede rápidamente encontrar y explotar estos sistemas que son accesibles a través de Internet. Además, incluso para los sistemas de la red interna, los atacantes que ya han tenido acceso interno puede cazar y comprometer otros sistemas internos indebidamente aseguradas informáticos. Algunos atacantes utilizar la ventana de la noche local para instalar puertas traseras en los sistemas antes de que se endurezca.
Apts (amenaza persistente avanzada) diana usuarios internos con el objetivo de poner en peligro un sistema en la red privada que puede ser utilizado como un punto de giro para atacar los sistemas internos. Incluso los sistemas que están conectados a la red privada, sin visibilidad de la Internet, todavía puede ser un objetivo del adversario avanzada. Cualquier sistema, incluso los sistemas de ensayo que están conectados por un corto período de tiempo, todavía se puede utilizar como un punto de relevo para causar daño a una organización.
Las nuevas tecnologías sigue saliendo, BYOD (traiga su propio dispositivo) - donde los empleados traer dispositivos personales en el trabajo y su conexión a la red - se está volviendo muy común. Estos dispositivos ya podría ser comprometido y se usa para infectar los recursos internos.Cómo implementar, automatizar y medir la efectividad de este control
1. Victorias rápidas: Implementar un inventario automatizado de activos herramienta de descubrimiento y utilizarlo para construir un inventario de activos preliminar de los sistemas conectados a la red pública y privada de una organización (s). Ambas herramientas activas que exploran a través de los rangos de direcciones de red y herramientas pasivas que identifican a los hosts basados en el análisis de su tráfico debe ser empleado.
2. Victorias rápidas: Implementar servidor de registro de DHCP y utilizar un sistema para mejorar el inventario de activos y ayudar a detectar sistemas desconocidos a través de esta información DHCP.
3. Ganancias rápidas: Todas las adquisiciones de equipo debe actualizar automáticamente el sistema de inventario como nuevo, dispositivos aprobados están conectados a la red. Un proceso de cambio de control robusto también se puede usar para validar y aprobar todos los nuevos dispositivos.
4. Visibilidad / Reconocimiento: Mantener un inventario de los activos de todos los sistemas conectados a la red y los dispositivos de red propios, registrando por lo menos las direcciones de red, el nombre de máquina (s), el propósito de cada sistema, un propietario activo responsable de cada dispositivo, y el departamento asociado con cada dispositivo. El inventario debe incluir todos los sistemas que tiene un protocolo de Internet (IP) de la red, incluyendo pero no limitado a ordenadores de sobremesa, portátiles, servidores, equipos de red (routers, switches, firewalls, etc), impresoras, redes de área de almacenamiento, Voz sobre IP, teléfonos multi-homed direcciones, direcciones virtuales, etc El inventario de activos creados también debe incluir datos acerca de si el dispositivo es un dispositivo portátil y / o personales. Los dispositivos tales como teléfonos móviles, tablets, portátiles y otros dispositivos electrónicos portátiles que almacenan datos o proceso debe ser identificado, independientemente de si están o no están conectados a la red de la organización.
5. Configuración / higiene: Asegúrese de que la base de datos de inventario de activos están debidamente protegidos y una copia almacenada en un lugar seguro.
6. Configuración / Higiene: Además de un inventario de hardware, las organizaciones deben desarrollar un inventario de los activos de información que identifica a su información crítica y los mapas de información crítica para los activos de hardware (incluidos los servidores, estaciones de trabajo y ordenadores portátiles) en el que se ubica. Un departamento y persona responsable de cada activo de información deben ser identificados, registrados y rastreados.
7. Configuración / Higiene: Implementar la autenticación de red 802.1x nivel a través de limitar y controlar los dispositivos que se pueden conectar a la red. 802.1x debe estar vinculada a los datos de inventario para determinar autorizadas frente a los sistemas no autorizados.
8. Configuración / Higiene: implementar el control de acceso de red (NAC) para supervisar sistemas autorizados por lo que si los ataques ocurren, el impacto puede ser remediada por el traslado del sistema que no se confía a una red de área local virtual que tiene un acceso mínimo.
9. Configuración / Higiene: Crear las VLAN separadas para BYOD (traiga su propio dispositivo) sistemas u otros dispositivos no fiables.
10. Avanzado: Utilice certificados de cliente para validar y autenticar los sistemas antes de conectarse a la red privada.Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
CM-8 (a, c, d, 2, 3, 4), PM-5, PM-6Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Hito 2: Mapa de la Red
Hito 3: Arquitectura de red
Network Access Protection / Control (NAP / NAC)Procedimientos y herramientas para implementar y automatizar este control
Las organizaciones deben primero establecer dueños de la información y los propietarios de los activos, decidir y documentar que las organizaciones y los individuos son responsables de cada componente de información y cada dispositivo. Algunas organizaciones mantienen inventarios de activos específicos que utilizan a gran escala productos para empresas comerciales dedicadas a la tarea, o utilizan soluciones libres para seguir y luego barrer la red periódicamente para nuevos activos conectados a la red. En particular, cuando las organizaciones eficaces de adquirir nuevos sistemas, graban el propietario y las características de cada activo nuevo, incluyendo su interfaz de red de Media Access Control (MAC), un identificador único codificado en la mayoría de las tarjetas de interfaz de red y dispositivos. Este mapeo de atributos de los activos y la dirección de propietario-a-MAC se pueden almacenar en un sistema de gestión de base libre o comercial.
Luego, con el inventario de activos montados, muchas organizaciones utilizan herramientas para extraer información a partir de los activos de red como switches y routers con respecto a las máquinas conectadas a la red. Usando autenticar de manera segura y cifrada protocolos de gestión de red, herramientas pueden recuperar direcciones MAC y otra información de dispositivos de red que pueden conciliarse con el inventario de activos de la organización de servidores, estaciones de trabajo, computadoras portátiles y otros dispositivos. Una vez que las direcciones MAC se confirman, los interruptores deben implementar 802.1x para permitir que sólo los sistemas autorizados para conectarse a la red.
Yendo más lejos, organizaciones eficaces configurar las herramientas de la red comercial o libre de exploración para realizar barridos de red sobre una base regular, como por ejemplo cada 12 horas, el envío de una variedad de diferentes tipos de paquetes para identificar los dispositivos conectados a la red. Antes de escanear tal puede tener lugar, las organizaciones deben comprobar que tienen ancho de banda adecuado para tales exploraciones periódicas de historial de carga de consultoría y capacidades de sus redes. En la realización de las exploraciones de inventario, herramientas de escaneo puede enviar paquetes tradicionales de ping (ICMP Echo Request), en busca de las respuestas de ping para identificar un sistema en una dirección IP determinada. Debido a que algunos sistemas de bloquear paquetes entrantes ping, además de pings tradicionales, los escáneres también puede identificar los dispositivos de la red mediante el protocolo de control de transmisión (TCP) sincronización (SYN) o reconocer (ACK) paquetes. Una vez que hayan identificado las direcciones IP de los dispositivos de la red, algunos escáneres ofrecen sólidas funciones de huellas para determinar el tipo de sistema operativo de la máquina descubierto.
Además de las herramientas de escaneo activas que barren la red, otras herramientas de identificación de activos escuchar pasivamente en las interfaces de red en busca de dispositivos para anunciar su presencia mediante el envío de tráfico. Tales herramientas pasivas pueden ser conectados para cambiar puertos span en lugares críticos de la red para ver todos los datos que fluyen a través de tales interruptores, la maximización de la posibilidad de identificar sistemas que se comunican a través de los interruptores.
Los dispositivos inalámbricos y computadoras portátiles (con cable) en forma periódica pueden unirse a una red y luego desaparecen, haciendo el inventario de los sistemas disponibles en la actualidad churn significativamente. Del mismo modo, las máquinas virtuales pueden ser difíciles de rastrear en los inventarios de activos cuando se apaga o en pausa, porque no son más que archivos del sistema de archivo de una máquina anfitrión. Además, las máquinas remotos que acceden a la red mediante una red privada virtual (VPN) puede aparecer en la red durante un tiempo y, a continuación se desconecta de ella. Ya sean físicos o virtuales, cada máquina conectada directamente a la red o conectado a través de VPN, funcionando actualmente o cerrar, deben ser incluidos en el inventario de activos de una organización.Control 1 Metric:
El sistema debe ser capaz de identificar nuevos dispositivos no autorizados que están conectados a la red dentro de las 24 horas, y de alertar o el envío de notificación por correo electrónico a una lista de empresas personal administrativo. Automáticamente, el sistema debe aislar el sistema no autorizado de la red dentro de la hora de la alerta inicial y enviar una alerta de seguimiento o notificación por correo electrónico cuando el aislamiento se logra. Cada 24 horas después de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que el sistema no autorizada ha sido retirado de la red. La base de datos de inventario de activos y sistema de alerta que debe ser capaz de identificar la ubicación, el departamento y otros detalles de donde los dispositivos autorizados y no autorizados están conectados a la red. Si bien los plazos de 24 horas y una hora-representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse aún más para alertar rápido y aislamiento. Con herramientas automatizadas, notificación sobre un activo no autorizado conectado a la red puede ser enviado a los dos minutos y el aislamiento conseguidos en cinco minutos.Controlar Prueba 1:
Para evaluar la aplicación de control 1 en forma periódica, el equipo de evaluación conectar sistemas endurecidos pruebas a por lo menos 10 lugares en la red, incluyendo una selección de subredes asociadas a las zonas desmilitarizadas (DMZ), estaciones de trabajo y servidores. Dos de los sistemas deben ser incluidos en la base de datos de inventario de activos, mientras que los otros sistemas no son. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con los sistemas nuevos que se conectan dentro de las 24 horas de las máquinas de prueba están conectados a la red. El equipo de evaluación debe verificar que el sistema proporciona los detalles de la ubicación de todas las máquinas de prueba conectados a la red. Para las máquinas de prueba incluidos en el inventario de activos, el equipo también debe verificar que el sistema proporciona información sobre el propietario de los activos.
El equipo de evaluación debe verificar que los sistemas de prueba son automáticamente aislado de la red de producción dentro de la hora de la notificación inicial y que un correo electrónico o una alerta que indica el aislamiento se ha producido. Posteriormente, el equipo debe verificar que los sistemas de prueba conectados están aislados de los sistemas de producción, tratando de hacer ping y utilizar otros protocolos para acceder a los sistemas de la red de producción y comprobar que la conectividad no está permitido.Control 1 Entidad Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de hardware en la red de la organización. Estos sistemas deben ser capaces de identificar si se introducen nuevos sistemas para el medio ambiente que no han sido autorizados por el personal de la empresa. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar cada uno de los pasos del proceso con el fin de ayudar a identificar los posibles puntos de fallo en el control general.
Paso 1: Escáner Dispositivo activo analiza los sistemas de red
Paso 2: Escáner Dispositivo pasivo capta la información del sistema
Paso 3: Active Reports escáner a la base de datos de inventario
Paso 4: Informes pasivos del escáner a la base de datos de inventario
Paso 5: Base de datos de inventario almacenada fuera de línea
Paso 6: Base de datos de inventario se inicia el sistema de alerta
Paso 7: Sistema de Alerta de seguridad notifica a los defensores de los
Paso 8: Monitor de seguridad y los defensores de la base de datos de inventario seguro
Paso 9: Actualizaciones de seguridad de los defensores de la base de datos de inventario seguro
Paso 10: El control de acceso a redes (NAC) monitoriza continuamente la red
Paso 11: Red de control de control de acceso y proporciona actualizaciones de la base de datos de inventario de activos.
Hay se los dejo segire traduciendo el resto para ustedes.
Fuente:http://www.sans.org/critical-security-controls/
Traduccion:Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario