Y seguimos con las 20 vulnerabilidades ahora la 10.0
Críticos de Control 10: configuraciones seguras para los dispositivos de red tales como firewalls, routers y conmutadores
¿Cómo atacantes aprovechan de la ausencia de este control?
Los atacantes se aprovechan del hecho de que los dispositivos de red pueden perder configurado de forma segura a través del tiempo como los usuarios exigen excepciones para necesidades empresariales específicas y temporales, como las excepciones que se despliegan, y como esas excepciones no se deshacen cuando las necesidades del negocio ya no es aplicable. Para empeorar las cosas, en algunos casos, el riesgo para la seguridad de la excepción no es ni analizado adecuadamente ni medida contra la necesidad de la empresa asociada y puede cambiar con el tiempo. Los atacantes búsqueda de agujeros electrónicos en firewalls, routers y switches y las usará para penetrar defensas. Los atacantes han explotado defectos en estos dispositivos de red para obtener acceso a redes de destino, redirigir el tráfico en una red (a un sistema malicioso enmascarado como un sistema de confianza), y interceptar y modificar la información de tiempo en la transmisión. A través de estas acciones, el atacante obtiene acceso a los datos sensibles, información altera importante, o incluso utiliza un sistema afectado, para hacerse pasar por otro sistema de confianza en la red.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Compare firewall, router, y la configuración del interruptor en contra de las configuraciones estándar de seguridad definidos para cada tipo de dispositivo de red en uso en la organización. La configuración de seguridad de dichos dispositivos deben estar documentados, revisados y aprobados por un comité de organización de control de cambios. Cualquier desviación de la configuración estándar o cambios a la configuración estándar debe ser documentado y aprobado en un sistema de control de cambios.
2. Victorias rápidas: En los puntos de interconexión de la red - como gateways de Internet, las conexiones entre organizaciones y segmentos de red internos con diferentes controles de seguridad - implementar filtrado de entrada y salida para permitir que sólo los puertos y protocolos con una necesidad de negocio explícito y documentado. Todos los demás puertos y protocolos deben ser bloqueadas con negar default-reglas por firewalls, IPS basados en la red y / o routers.
3. Configuración / Higiene: Todas las reglas de la nueva configuración más allá de una configuración de línea de base endurecida que permitir que el tráfico fluya a través de los dispositivos de seguridad de red, como firewalls e IPS basados en redes, deben estar documentadas y registradas en un sistema de gestión de la configuración, con una razón de negocios específico para cada cambio, el nombre del responsable de esa necesidad de la empresa, y una duración prevista de la necesidad de un individuo específico.
4. Configuración / Higiene: Red de tecnologías de filtrado de empleados entre redes con diferentes niveles de seguridad (cortafuegos, red basados en herramientas de IPS y routers con listas de control de acceso) debe ser implementado con la capacidad de filtrar el protocolo de Internet versión 6 (IPv6) de tráfico. Sin embargo, si IPv6 no está siendo utilizado actualmente debe ser desactivada. Dado que muchos sistemas operativos entrega el siguiente día con soporte IPv6 activado, las tecnologías de filtrado que tomarlo en cuenta.
5. Configuración / Higiene: Los dispositivos de red se regule mediante autenticación de dos factores y sesiones encriptadas.
6. Configuración / Higiene: La última versión estable de todas las actualizaciones relacionadas con la seguridad debe ser instalado dentro de los 30 días posteriores a la actualización que se está dado de alta del proveedor del dispositivo.
7. Avanzada: La infraestructura de la red deben ser manejados a través de conexiones de red que se separan de la utilización comercial de la red, basándose en VLAN separadas o, preferiblemente, en la conectividad física completamente diferente para las sesiones de gestión de dispositivos de red.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
AC-4 (7, 10, 11, 16), CM-1, CM-2 (1), CM-3 (2), CM-5 (1, 2, 5), CM-6 (4), CM -7 (1, 3), IA-2 (1, 6), IA-5, IL-8, RA-5, SC-7 (2, 4, 5, 6, 8, 11, 13, 14, 18 ), SC-9
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Hito 7: Gestión de Base
Configuración y Gestión del Cambio
Procedimientos y herramientas para implementar y automatizar este control
Algunas organizaciones utilizan herramientas comerciales que evalúan el conjunto de reglas de filtrado de dispositivos de red para determinar si son compatibles o en conflicto, proporcionando una comprobación de validez automática de filtros de red y la búsqueda de errores en los conjuntos de reglas o listas de control de acceso (ACL) que puede permitir no deseado servicios a través del dispositivo. Estas herramientas deben ejecutarse cada vez que se realizan cambios significativos a los conjuntos de reglas de firewall, ACL del router, u otras tecnologías de filtrado.
Controla 10 Metric:
El sistema debe ser capaz de identificar los cambios en los dispositivos de red, incluyendo routers, switches, firewalls y sistemas de IDS e IPS. Estos cambios incluyen las modificaciones a los archivos clave, servicios, puertos, archivos de configuración, o cualquier otro software instalado en el dispositivo. Las modificaciones incluyen supresiones, modificaciones o adiciones de un nuevo software a cualquier parte de la configuración del dispositivo. La configuración de cada sistema debe cotejarse con la base de datos master imagen oficial para verificar los cambios para asegurar configuraciones que podrían afectar la seguridad. Esto incluye tanto el sistema operativo y los archivos de configuración. Cualquiera de estos cambios en un dispositivo que puede detectar dentro de 24 horas y la notificación realizada por el envío de aviso o notificación por correo electrónico a una lista del personal de la empresa. Si es posible, los dispositivos deben evitar cambios en el sistema y enviar una alerta que indica que el cambio no se ha realizado correctamente. Cada 24 horas después de ese punto, el sistema debe alertar o enviar e-mail sobre el estado del sistema hasta que se investigan y / o remediación.
10 de control de la prueba:
Para evaluar la aplicación de control 10 en una base periódica, un equipo de evaluación debe realizar un cambio a cada tipo de dispositivo de red conectado a la red. Como mínimo, routers, switches, firewalls y necesita ser probado. Si existen, IPS, IDS y otros dispositivos de la red deben ser incluidos. Las copias de seguridad se debe hacer antes de hacer cualquier cambio a los dispositivos de red críticos. Es crítico que no cambia afectar o debilitar la seguridad del dispositivo. Cambios aceptables incluyen pero no se limitan a hacer un comentario o la adición de una entrada duplicada en la configuración. El cambio debe realizarse dos veces para cada dispositivo crítico. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con los cambios en el dispositivo dentro de las 24 horas. Es importante que el equipo de evaluación verificar que todos los cambios no autorizados se han detectado y han dado lugar a una alerta o notificación por correo electrónico. El equipo de evaluación debe verificar que el sistema proporciona información sobre la ubicación de cada dispositivo, incluyendo información sobre el propietario de los activos. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse aún más rápido para alertar y aislamiento, con notificación sobre cambios de configuración no autorizados en los dispositivos de red que se envían dentro de dos minutos.
Si es apropiado, una prueba adicional debe ser realizado sobre una base diaria para asegurarse de que otros protocolos, como IPv6 están correctamente que se filtra.
Entidad de Control 10 Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los dispositivos de red, dispositivos de red de pruebas de laboratorio, sistemas y dispositivos de configuración, gestión de la configuración. La siguiente lista de los pasos en el diagrama muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar cada paso con el fin de ayudar a identificar los posibles puntos de fallo en el control general.
Paso 1: Configuraciones endurecido dispositivo aplicado a dispositivos de producción
Paso 2: configuración de dispositivos endurecido almacenada en un sistema de gestión de la configuración segura
Paso 3: Sistema de gestión de red valida las configuraciones de los dispositivos de la red de producción
Paso 4: Sistema de gestión de parches probados aplica actualizaciones de software para los dispositivos de red de producción
Paso 5: sistema de dos factores de autenticación requerido para el acceso administrativo a los dispositivos de producción
Paso 6: Proxy / Firewall / network sistemas de seguimiento analiza todas las conexiones a dispositivos de red de producción
Fuente:http://www.sans.org/critical-security-controls/control.php?id=10
Traduccion:Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario