Y seguimos con las 20 vulnerabilidades criticas ahora 11.0
Limitación y Control de los puertos de red, protocolos y servicios.
¿Cómo atacantes aprovechan de la ausencia de este control?
Los atacantes búsqueda de servicios de red de acceso remoto que son vulnerables a la explotación. Los ejemplos más comunes incluyen mal configurados servidores web, servidores de correo, archivos y servicios de impresión y el sistema de nombres de dominio (DNS) servidores instalados por defecto en una variedad de diferentes tipos de dispositivos, a menudo sin necesidad de negocio para el servicio dado. Muchos paquetes de software se instala automáticamente servicios y enciéndalos como parte de la instalación del paquete de software principal sin informar al usuario o administrador que los servicios han sido activados. Los atacantes buscar estas cuestiones y tratar de aprovechar estos servicios, a menudo tratando de identificadores de usuario y contraseñas por defecto o el código de explotación ampliamente disponibles.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Cualquier servicio que no es necesario se debe apagar durante 30 días y después de 30 días desinstalado del sistema.
2. Victorias rápidas: firewalls basados en host o puerto herramientas de filtrado se debe aplicar en los sistemas finales, con una regla default-negar que descarta todo el tráfico excepto aquellos servicios y puertos que se hayan permitido explícitamente.
3. Ganancias rápidas: análisis automatizados de puerto debe ser realizado sobre una base regular contra todos los servidores de claves y en comparación con una línea de base efectivo conocido. Si un cambio que no se encuentra al nivel básico aprobado de la organización se descubre una alerta debe ser generada y revisada.
4. Ganancias rápidas: Todos los servicios deben mantenerse al día y todos los componentes innecesarios desinstalado y eliminado del sistema.
5. Visibilidad / Reconocimiento: Cualquier servidor que es visible desde Internet o desde una red que no debe ser verificado, y si no es necesario para fines de negocios, debe ser trasladado a una VLAN interna y dado una dirección privada.
6. Configuración / Higiene: Servicios necesarios para el uso del negocio a través de la red interna deben ser revisados trimestralmente a través de un grupo de control de cambios, y las unidades de negocios deben rejustify el uso del negocio. Los servicios que se activan para proyectos o compromisos limitados deben estar apagados cuando ya no son necesarios y debidamente documentado.
7. Configuración / Higiene: Operar los servicios críticos en diferentes máquinas host físicos o lógicos, tales como DNS, archivos, correo, web y servidores de bases de datos.
8. Avanzado: firewalls de aplicaciones deben ser colocados delante de los servidores críticos para verificar y validar el tráfico hacia el servidor. Cualquier servicio no autorizados o el tráfico debe ser bloqueado y generó una alerta.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
CM-6 (a, b, d, 2, 3), CM-7 (1), SC-7 (4, 5, 11, 12)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Hito 3: Arquitectura de red
Security Gateways, Proxies y Firewalls
Procedimientos y herramientas para implementar y automatizar este control
Herramientas de escaneo de puertos se utilizan para determinar qué servicios están escuchando en la red para una amplia gama de sistemas de destino. Además de determinar qué puertos están abiertos, escáneres eficaces puerto puede ser configurado para identificar la versión del protocolo y el servicio de escucha en cada puerto abierto descubierto. Esta lista de servicios y sus versiones se comparan con un inventario de los servicios requeridos por la organización para cada servidor y estación de trabajo en un sistema de gestión de activos. Características añadidas en estos escaneadores de puertos se utilizan para determinar los cambios en los servicios ofrecidos por las máquinas escaneadas en la red desde el análisis anterior, lo que ayuda al personal de seguridad identificar las diferencias en el tiempo.
11 de control métrico:
El sistema debe ser capaz de identificar los nuevos puertos no autorizados escucha que están conectados a la red dentro de las 24 horas, o el envío de alertas de notificación por correo electrónico a una lista del personal de la empresa. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado del sistema hasta el puerto de escucha de red se ha deshabilitado o haya sido autorizado por la gestión del cambio. El servicio del sistema de base de datos de referencia y sistema de alerta que debe ser capaz de identificar la ubicación, el departamento y otros detalles sobre el sistema en el que autoriza y puertos no autorizados se están ejecutando. Si bien el plazo de 24 horas representa la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.
11 de control de la prueba:
Para evaluar la aplicación de control 11 de forma periódica, el equipo de evaluación debe instalar servicios endurecidos de prueba con los oyentes de la red en 10 ubicaciones en la red, incluyendo una selección de subredes asociadas con DMZ, estaciones de trabajo y servidores. La selección de estos sistemas deben ser tan aleatorio como sea posible e incluir una sección transversal de sistemas de la organización y ubicaciones. El equipo de evaluación debe verificar que los sistemas de generar un aviso de alerta por correo electrónico o en relación con los servicios recién instalados dentro de las 24 horas de los servicios que se instalan en la red. El equipo debe verificar que el sistema proporciona información sobre la localización de todos los sistemas en los servicios de prueba han sido instalados.
Entidad de Control 11 Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando cómo los sistemas activos de exploración reunir información sobre los dispositivos de red y evaluar esos datos contra la base de datos de servicios de referencia autorizado. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.
Paso 1: Escáner activo analiza los sistemas de producción para los puertos no autorizados, protocolos y servicios
Paso 2: las líneas de base del sistema actualizará periódicamente basándose en los servicios necesarios / requerido
Paso 3: Activos escáner que valida los puertos, protocolos y servicios están bloqueados o permitidos por el firewall de aplicaciones
Paso 4: Activos escáner que valida los puertos, protocolos y servicios sean accesibles en los sistemas empresariales protegidos con firewalls basados en host
Fuente:http://www.sans.org/critical-security-controls/control.php?id=11
Traduccion:Dellcom1@.
saludos Mundo Libre.
No hay comentarios:
Publicar un comentario