Y seguimos con las 20 vulnerabilidades criticas 12.0
Ahora que tengo tiempo ya que me han suspendido de mi trabajo toda la semana por hackear la red del jefe y compartirla con los empleados para que navegen pues ya ni modo nunca seme quitara.
Aqui tienen la siguiente vulnerabilidad critica de estas 20 ahora le toca a la 12.0
Uso Controlado de privilegios administrativos
¿Cómo atacantes aprovechan de la ausencia de este control?
El mal uso de los privilegios de administrador es un método principal para los atacantes para propagar dentro de una empresa objetivo. Dos técnicas muy comunes atacante aprovechar incontrolados privilegios administrativos. En la técnica de ataque común en primer lugar, un usuario de estación de trabajo, se ejecuta como un usuario con privilegios, es engañado para que abra un malicioso adjunto de correo electrónico, descargar y abrir un archivo de un sitio web malicioso, o simplemente navegar a un sitio web malintencionado el contenido de alojamiento que puede automáticamente explotar los navegadores. El archivo o exploit contiene código ejecutable que se ejecuta en la máquina de la víctima, ya sea de forma automática o engañando al usuario para que ejecute el contenido del atacante. Si la cuenta del usuario víctima tiene privilegios administrativos, el atacante puede tomar el control de la máquina de la víctima completamente e instalar keyloggers, sniffers, y software de control remoto para encontrar las contraseñas de administrador y otros datos sensibles. Ataques similares se producen con el e-mail. Un administrador inadvertidamente abre un correo electrónico que contiene un archivo adjunto infectado y esta se utiliza para obtener un punto de pivote dentro de la red que se utiliza para atacar otros sistemas.
La segunda técnica común usada por los atacantes es la elevación de privilegios por adivinar o romper una contraseña de un usuario de administración para tener acceso a un equipo de destino. Si los privilegios administrativos libremente y distribuirse ampliamente, el atacante tiene un tiempo mucho más fácil hacerse con el control total de los sistemas, porque hay muchos relatos más que pueden actuar como vías para la malintencionado poner en peligro los privilegios administrativos.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Utilice las herramientas automatizadas para inventariar todas las cuentas administrativas y validar que cada persona con privilegios administrativos en equipos de escritorio, portátiles y servidores está autorizado por un alto ejecutivo.
2. Ganancias rápidas: Configurar las contraseñas administrativas a ser complejos y contener letras, números y caracteres especiales mezclados con ninguna palabra de diccionario presentes en la contraseña. Contraseñas seguras deben ser de una longitud suficiente para aumentar la dificultad que se necesita para romper la clave. Pase frases que contienen varias palabras de diccionario, junto con caracteres especiales, son aceptables si son de una longitud razonable.
3. Ganancias rápidas: Configure todas las cuentas de nivel administrativo para requerir cambios periódicos de contraseña en un intervalo de frecuencia ligada a la complejidad de la contraseña.
4. Ganancias rápidas: Antes de implementar cualquier nuevo dispositivo en un entorno de red, las organizaciones deben cambiar todas las contraseñas por defecto para las aplicaciones, sistemas operativos, routers, cortafuegos, puntos de acceso inalámbricos, y otros sistemas para una difícil de adivinar valor.
5. Ganancias rápidas: Asegúrese de que todas las cuentas de servicio desde hace mucho tiempo y difícil de adivinar las contraseñas que se cambian de forma periódica, como se hace para el usuario y las contraseñas de administrador tradicional, en un intervalo de frecuencia de no más de 90 días.
6. Victorias rápidas: contraseñas para todos los sistemas deben ser almacenados en un formato bien ordenada o cifrado, con formatos más débiles eliminados del medio ambiente. Además, los archivos que contienen las contraseñas cifradas o en hash necesarios para los sistemas de autenticación de los usuarios debe ser legible sólo con privilegios de superusuario.
7. Ganancias rápidas: Utilizar listas de control de acceso para asegurarse de que las cuentas de administrador sólo se utilizan para las actividades de administración del sistema, y no para leer el correo electrónico, redactar documentos o navegar por Internet. Navegadores web y clientes de correo electrónico, sobre todo debe estar configurado para no ejecutar como administrador.
8. Ganancias rápidas: A través de la política y la sensibilización de los usuarios, requieren que los administradores establecer contraseñas únicas, diferentes para sus cuentas de administrador y no es administrador. Cada persona requiere acceso administrativo debe dar su / su cuenta por separado. Cuentas administrativas nunca debe compartirse. Los usuarios sólo deben utilizar el Windows "administrador" o "root" de Unix cuentas en situaciones de emergencia. Dominio cuentas de administración se debe utilizar cuando sea necesario para la administración del sistema en lugar de las cuentas de administrador local.
9. Ganancias rápidas: Configuración de los sistemas operativos para que las contraseñas no se pueden volver a utilizar dentro de un plazo determinado, tal como seis meses.
10. Visibilidad / Reconocimiento: Implementar auditoría centrada en el uso de las funciones administrativas privilegiados y controlar la conducta anómala (por ejemplo, las reconfiguraciones del sistema durante el turno de noche).
11. Visibilidad / Reconocimiento: Configurar sistemas para emitir una entrada de registro y alerta cuando una cuenta se agrega o quita de un grupo de administradores de dominio.
12. Configuración / Higiene: Todo el acceso administrativo, incluido el acceso administrativa de dominio, debe utilizar autenticación de dos factores.
13. Configuración / Higiene: El acceso a una máquina (ya sea remota o local) debe ser bloqueado para las cuentas de administrador. En cambio, los administradores deberían estar obligados a acceder a un sistema con una cuenta de registro completo y no administrativa. Luego, una vez conectado a la máquina sin privilegios de administrador, el administrador debe transición a los privilegios de administrador que utiliza herramientas como sudo en Linux / UNIX, RunAs en Windows, y otras instalaciones similares para otros tipos de sistemas. Los usuarios que utilizan sus propias cuentas de administrador e introduzca una contraseña cada vez que es diferente que su cuenta de usuario.
14. Configuración / Higiene: Si los servicios se subcontratan a terceros, lenguaje debe ser incluida en los contratos para garantizar que se protejan adecuadamente y controlar el acceso administrativo. Y debe estar validado que no comparten las contraseñas y tener la responsabilidad de mantener los administradores responsables de sus acciones.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
AC-6 (2, 5), AC-17 (3), AC-19, AU-2 (4)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Hito 5: Acceso de Usuario
Hito 7: Gestión de Base
Procedimientos y herramientas para implementar y automatizar este control
Construido en funciones del sistema operativo puede extraer listas de cuentas con privilegios de superusuario, tanto a nivel local en los sistemas individuales y en controladores de dominio general. Para verificar que los usuarios con altas privilegiadas cuentas no usar dichas cuentas para la web día a día navegando y leyendo el correo electrónico, el personal de seguridad periódicamente debe reunir una lista de procesos en ejecución para determinar si alguno de los navegadores y lectores de correo electrónico está ejecutando con privilegios elevados. La recogida de información puede ser escrito, con guiones de shell en busca de los navegadores más de una docena diferentes, lectores de correo electrónico, y los programas de edición de documentos que se ejecutan con privilegios elevados en las máquinas. Algunas actividades de administración del sistema legítimo podrá exigir la ejecución de dichos programas en el corto plazo, pero el uso a largo plazo o frecuente de este tipo de programas con privilegios administrativos pueden indicar que un administrador no se ha adherido a este control.
Para cumplir el requisito de contraseñas seguras, una función de las características del sistema operativo para la longitud mínima de la contraseña se puede configurar que evitar que los usuarios elegir contraseñas cortas. Para hacer cumplir la complejidad de contraseñas (passwords requieren para ser una serie de pseudo-aleatorios caracteres), una función de la configuración del sistema operativo o herramientas de terceros complejidad de las contraseñas de aplicación puede ser aplicada.
Controla 12 Metric:
El sistema debe estar configurado para cumplir con las directivas de contraseñas que sean tan severas como las que se describen en los controles anteriores. Además, el personal de seguridad deben ser notificados mediante una alerta o correo electrónico dentro de las 24 horas de la adición de una cuenta a un grupo de super-usuario, tal como un administrador de dominio. Cada 24 horas después de ese punto, el sistema debe alertar o enviar un correo electrónico sobre el estado de privilegios de administrador hasta que el cambio no autorizado se ha corregido o autorizado por un proceso de gestión del cambio. Si bien los plazos de 24 horas representan la métrica actual para ayudar a las organizaciones a mejorar su estado de seguridad, en las futuras organizaciones deben esforzarse para aún más rápido de alerta.
12 de control de la prueba:
Para evaluar la aplicación de control 12 de forma periódica, un equipo de evaluación debe verificar que la política de la organización contraseña se hace cumplir mediante la creación de un temporal, cuenta deshabilitada, limitada prueba privilegio en 10 sistemas diferentes y luego intentar cambiar la contraseña de la cuenta de un valor que no cumple con la política de la organización contraseña. La selección de estos sistemas deben ser tan aleatorio como sea posible e incluir una sección transversal de sistemas de la organización y ubicaciones. Después de la terminación de la prueba, esta cuenta debe ser eliminado. Por otra parte, el equipo de evaluación debe agregar una cuenta de prueba con discapacidad temporal a un grupo de usuarios super-(por ejemplo, un grupo de administradores de dominio) para verificar que una alerta por correo electrónico o se genera dentro de las 24 horas. Después de este ensayo, la cuenta debe ser eliminado del grupo y deshabilitado.
Por último, en forma periódica, el equipo de evaluación debe ejecutar un script que determina qué programas navegadores y correo electrónico del cliente se ejecuta en una muestra de 10 sistemas de prueba, entre ellos cinco clientes y servidores cinco. Los navegadores o software de cliente de correo que se ejecuta con administrador de Windows o Linux / Unix privilegios UID 0 debe estar identificado.
Entidad de Control 12 Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando los componentes de aprovisionamiento de cuentas de usuarios y la autenticación de usuario. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan juntos para alcanzar el objetivo de negocio definida en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.
Paso 1: Los sistemas de producción utilizan sistemas adecuados de autenticación
Paso 2: cuentas de usuario estándar y administrativa utilizar sistemas adecuados de autenticación
Paso 3: cuentas de usuario estándar y administrativo debidamente gestionado a través de la pertenencia a grupos
Paso 4: El acceso administrativo a los sistemas correctamente conectados a través de sistemas de gestión de registros
Paso 5: sistema de evaluación contraseña valida la fortaleza de los sistemas de autenticación
Fuente:http://www.sans.org/critical-security-controls/control.php?id=12
Traduccion:Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario