Tal como las entrega el fabricante, las configuraciones predeterminadas de sus sistemas de red a menudo están orientadas más hacia la funcionalidad que hacia la seguridad. Cuando hablamos de hardening del sistema, nos referimos a cambiar esa configuración predeterminada a un esquema mucho más seguro.
Esta tarea es fundamental por dos razones principales:
- Seguridad: el panorama del delito cibernético sigue evolucionando con técnicas de ataque cada vez más sofisticadas. Sin embargo, se ha demostrado que invertir en controles básicos, como el hardening del sistema, tendrá mayor impacto en la seguridad de su organización. El hardening del sistema puede tener un gran impacto en la seguridad de su organización. De hecho, los activos mal configurados son responsables de más del 40 % de las vulnerabilidades de la infraestructura. Además, establecer configuraciones seguras protegerá a su organización de la mayor cantidad de técnicas de ataque (según un informe de ATT&CK).
- Cumplimiento: El hardening del sistema es ahora un requisito básico en la mayoría de las normas de seguridad de la información. Regulaciones como PCI-DSS, HIPAA, CMMC y otras, requieren que las organizaciones implementen una sólida política de hardening. Esta ya no puede ser una tarea de ‘marcar la casilla’ para aprobar una auditoría. La implementación de una política integral de hardening, basada en la referencia de las mejores prácticas de la industria, es un proceso continuo que debe manejarse con cuidado.
La alta demanda regulatoria y el riesgo emergente de ataques cibernéticos requieren que las organizaciones inviertan más que nunca para lograr una línea base segura, mediante la implementación de políticas sólidas de hardening.
TRES DESAFÍOS PRINCIPALES EN UN PROYECTO DE HARDENING:
- La creación de un informe de análisis de impacto.
- La implementación de políticas y gestión de cambios.
- Mantener el cumplimiento a dichas políticas.
https://www.calcomsoftware.com/5-reasons-for-hardening/
LAS TRES ETAPAS PRINCIPALES EN UN PROYECTO DE HARDENING:
- Establecer las políticas de hardening: estas políticas deben detallarse tanto como sea posible, abordando los diferentes entornos, tipos de máquinas, roles y versiones. Es normal ver a una organización administrar decenas de políticas para su infraestructura. Las políticas a menudo toman como referencia las mejores prácticas de la industria, y se ajustan a las necesidades únicas de cada organización.
- Realizar un análisis de impacto de las políticas e implementarlas: se debe analizar el impacto de las políticas para evitar interrupciones en la producción como resultado de la implementación de dichas políticas. Esta es una etapa fundamental, ya que es propensa a errores que pueden conducir a resultados devastadores. Después de analizar, solo se implementarán en las máquinas relevantes aquellas políticas que no afecten la producción.
- Monitoreo y cumplimiento: el hardening a menudo se toma como una tarea de una sola vez. La verdad es que, si lo ve así, se encontrará nuevamente en el punto de partida uno o dos años después de su proyecto de hardening inicial, debido al carácter dinámico de la infraestructura. Mientras se quitan unas máquinas y se instalan otras, los procedimientos de gestión de cambios son un eslabón débil para mantener su postura de cumplimiento. Además, nuevas vulnerabilidades deberán abordarse en sus políticas de hardening.
DESAFÍO #1: REALIZAR UN INFORME DE ANÁLISIS DE IMPACTO:
Para realizar un informe de análisis de impacto que detalle cómo su política afectará su producción, deberá crear un entorno de prueba.
¿Por qué? La implementación de la política directamente en los sistemas de producción puede causar daños graves. Por lo tanto, la política debe probarse en un entorno de prueba dedicado para medir su impacto (análisis de impacto).
El desafío reside en la cantidad de entornos diferentes, tipos de máquinas y aplicaciones que tiene en su infraestructura.
Ultimate Guide to Security Impact Analysis: Essential Checklists
Solución:
No automatizada
En un análisis de impacto óptimo, deberá simular perfectamente cada tipo de entorno que tenga en producción. Después de hacerlo, deberá simular todas las políticas requeridas y verificar su impacto en la funcionalidad del servidor. Considere que, incluso después de crear un entorno de este tipo, no podrá simular la cantidad de tráfico y usuarios en la red. Asegúrese de tener esto en cuenta en normativa de políticas relevantes.
Automatizada
Utilice herramientas automatizadas que generarán este informe a partir del análisis del impacto directamente en la producción. Estas herramientas suelen estar basadas en agentes y generarán el informe más preciso posible.
DESAFÍO #2: IMPLEMENTACIÓN DE POLÍTICAS Y GESTIÓN DE CAMBIOS:
Para lograr realmente una infraestructura segura y que mantiene el cumplimiento, las políticas deben ser lo más detalladas posible. Es por eso que implementar la política correcta en la máquina correcta y asegurarse de que se sigan todas las reglas puede ser complicado. Este proceso es propenso a errores humanos que pueden terminar en una disminución de la postura de seguridad y cumplimiento. Además, realizar un seguimiento, administrar y tener la capacidad de revertir cualquier cambio de política es bastante complejo cuando se tiene una infraestructura de varios entornos.
Solución:
No automatizada
Utilice objetos de directiva de grupo (GPO) o herramientas de administración de configuración, así como métodos administrativos para asegurarse de que la política correcta se implementó en la máquina correcta. Siga los métodos de las mejores prácticas para crear una política de gestión de cambios dentro de su organización.
Automatizada
Una solución automatizada para este desafío le permitirá controlar todo el proceso de implementación desde un punto único de control. Una solución automatizada le ayudará a adaptarse cuando administre múltiples políticas para su infraestructura. Los procedimientos de gestión de cambios ya no serán un problema, y todo el proceso será mucho menos propenso a errores humanos.
DESAFÍO #3: MANTENER EL CUMPLIMIENTO:
Invertir esfuerzos en el hardening adecuado de los servidores no es suficiente. Se requiere un monitoreo y mantenimiento continuos ya que el entorno de producción cambia constantemente, y se descubren nuevas vulnerabilidades. Se puede ahorrar mucho tiempo y dinero al adoptar hábitos saludables que evitarán la necesidad de hacer hardening desde cero a su infraestructura cada cierto tiempo.
Solución:
No automatizada / Usando herramientas de escaneo
Deberá implementar procedimientos estructurados para:
- La Actualización Anual de Políticas, por nuevas vulnerabilidades y actualizaciones en los componentes y configuración de la infraestructura.
- Las comprobaciones de cumplimiento, para asegurarse de que los cambios en la política y la infraestructura no dañaron el cumplimiento.
- Conservar información sobre qué cambios se realizaron, dónde y cuándo, es crucial. Por lo general, todo el conocimiento relevante lo posee el miembro del personal de TI responsable de este asunto. Una vez que esa persona deja la organización, nadie sabe qué sucedió realmente en el sistema y por qué se tomaron ciertas decisiones.
Automatizada
Una solución automatizada para este desafío proporcionará un monitoreo continuo de su postura de cumplimiento, evitará alteraciones de configuración y remediará los cambios no deseados.
CONCLUSIÓN:
Hay dos enfoques para el hardening del sistema: el automatizado y el no automatizado. Al elegir un enfoque no automatizado, deberá desarrollar procedimientos dentro de la organización y contar con la asistencia de herramientas específicas que no sean de hardening. El nivel de conocimientos y recursos internos que necesitará será alto. Este enfoque es relevante para empresas pequeñas con una infraestructura de hasta 150 servidores. Para organizaciones más grandes, el enfoque recomendado es el uso de herramientas de hardening automatizado. Estas proporcionarán una solución completa para este proceso, y aumentarán drásticamente las posibilidades de tener una infraestructura segura y en cumplimiento.