Existe una lista de 18 procedimientos (reducidos de 20) o “controles” recomendados por el Centro para la Seguridad de Internet (CIS) que se deben seguir para construir una infraestructura de TI resistente a los ataques cibernéticos. El 4to procedimiento de la CIS aconseja establecer y mantener un proceso de configuración seguro para los activos empresariales (dispositivos de usuario final, incluidos dispositivos portátiles y móviles; dispositivos no informáticos/IoT; y servidores) y software (sistemas operativos y aplicaciones) (4.1). También aconsejan implementar tecnologías de administración de la configuración del sistema que impongan y reinstalen automáticamente la configuración de la red en los dispositivos durante períodos predeterminados. Para detener los ataques que se aprovechan de servicios y configuraciones débiles, el CIS aconseja a las organizaciones implementar procedimientos estrictos de control de configuración y modificación.
Junto con estos procedimientos, el CIS también publicó una colección de pautas de fortalecimiento conocidas como CIS Benchmarks para varios hosts, plataformas y sistemas operativos. A pesar de ser la norma de la industria para el hardening del sistema, las investigaciones demuestran que casi todas las empresas se quedan cortas en más del 50 % de las evaluaciones de conformidad de los CIS Benchmarks. Las preocupaciones de más gravedad contribuyeron a más de la mitad de estas pérdidas., y la mayoría de las restricciones hacen que el hardening del sistema sea obligatorio. Por otro lado, la complejidad de los CIS Benchmarks hace que seguirlos sea una dificultad.
¿QUÉ SON LOS CIS BENCHMARKS?
Los CIS Benchmarks son un grupo de estándares sugeridos de hardening que enumeran varios hosts, servicios y plataformas de software. Los CIS Benchmarks son el marco disponible más complejo y profundo, ya que cada sistema tiene regulaciones únicas para cada edición . Los CIS Benchmarks son docenas de archivos separados, cada uno con varios cientos de páginas de regulaciones. Estos reglamentos se dividen en categorías y subdivisiones según el tipo de directriz; la política de bloqueo de cuentas y los controles de acceso, por ejemplo, es parte de las regulaciones de políticas de cuentas.
Insertar imagen del blog: https://www.calcomsoftware.com/cis-hardening-and-configuration-security-guide/
Las siguientes secciones se encuentran en las reglas idénticas. Aquí está el desglose de la configuración: Asegúrese de que ‘Acceder a esta computadora desde la red’ esté configurado en ‘Administradores, Usuarios autenticados, CONTROLADORES DE DOMINIO EMPRESARIAL’ (solo DC) (Automatizado)
- Título : La recomendación está contenida en el TÍTULO y en el nivel de significancia de la propuesta (N1). Una propuesta puede categorizarse como L1, que debe ser ejecutada; L2, que puede ejecutarse en un punto posterior del hardening; o NA, que será la propuesta menos esencial.
- Aplicabilidad del perfil : la “Aplicabilidad del perfil” indica qué componente del sistema se verá afectado por esta polí
- Descripción : Una descripción de las reglas de la configuración.
- Justificación : La justificación para establecer la regulación en la forma sugerida.
- Impacto : Cualquier efecto anticipado en la producción.
- Auditoría : Sugerencias de auditoría para esta regla.
- Remediación : Técnica que puede utilizar para que su máquina cumpla con esta directriz.
- Valor predeterminado : Se refiere al valor predeterminado de la configuración tal como se estableció
- Controles CIS : Aquellos con los que está asociada esta política.
De acuerdo con las intrusiones recientemente identificadas, los ataques similares y las actualizaciones del sistema, los CIS Benchmarks se actualizan una o más veces al año.
¿POR QUÉ DEBERÍA UTILIZAR LOS CIS BENCHMARKS?
La configuración estándar de los sistemas operativos, tal como los envía el proveedor, prioriza la usabilidad sobre la seguridad. Por lo tanto, los sistemas operativos son muy susceptibles a los ataques cibernéticos si no se toman precauciones de seguridad. Los atacantes penetran con frecuencia en la red de TI de una organización, distribuyen malware y causan daños significativos usando un esquema de amenazas. Por ejemplo, el gusano WannaCry de Server Message Block (SMB) , que apareció inicialmente en mayo de 2017, hace uso de dicho esquema para obtener acceso a la red y propagarse. Además, a pesar de que Microsoft entregó las actualizaciones de seguridad adecuadas en 2016 y 2017, el malware WannaCry y otros gusanos SMB como el malware Brambul aún causan pérdidas diarias de miles de dólares. Otro objetivo conocido es el protocolo RDP , que puede ser significativamente más seguro una vez que se implementan las acciones adecuadas de hardening.
También se deben tener en cuenta las restricciones para limitar la superficie de conexión de la organización determinando si se utilizan o no los CIS Benchmarks. Podemos afirmar que prácticamente todas las reglamentaciones importantes exigen, directa o indirectamente, la adhesión a estas pautas de la CIS. Al decir indirectamente nos referimos a que leyes específicas exigen la adhesión a otros marcos, como el marco de Seguridad Cibernética del NIST , pero estos marcos hacen referencia a los CIS Benchmarks.
¿CÓMO UTILIZAR LOS CIS BENCHMARKS?
El objetivo de los CIS Benchmarks es ayudar a las empresas en el ” hardening” de sus sistemas existentes, lo que significa resguardar sus configuraciones. Uno de los pasos más desafiantes para establecer una infraestructura reforzada es poner en práctica estas pautas de la CIS. Para asegurarse de que sus dispositivos estén protegidos, se debe llevar a cabo una serie de procedimientos que incluyen:
- Configurar el software y los sistemas operativos con configuraciones estandarizadas y seguras. Teniendo en cuenta las debilidades más recientes y los posibles ataques, las configuraciones deben actualizarse y verificarse. Los CIS Benchmarks deben servir como base para su polí
- Aplicar estrictamente la gestión de configuración en todos los sistemas recién instalados de la empresa. Actualice la versión de seguridad, que corregirá cualquier debilidad en una máquina vulnerable. Los diferentes tipos de sistemas (servidores, estaciones de trabajo, etc.) deben tener sus propias imágenes de seguridad.
- En servidores con configuraciones de seguridad que se han sometido a pruebas de integridad, conservar la imagen de seguridad principal. Asegúrese de que solo se permitan modificaciones aprobadas. Otra opción es almacenar la imagen maestra en estaciones de trabajo desconectadas, y cuando mueva una imagen del almacenamiento a la red de producción, utilice medios cifrados.
- Usar únicamente canales encriptados para todas las tareas administrativas lejanas. Telnet, VNC, RDP y otros protocolos que no admiten abiertamente el software de encriptación solo deben usarse cuando se utilizan en un canal de encriptación secundario como SSL, TLS o IPSEC.
- Utilizar un software de verificación de integridad de archivos para asegurarse de que los archivos esenciales no hayan sido alterados. La herramienta de monitoreo está diseñada para aceptar modificaciones anticipadas y regulares mientras alerta a los usuarios sobre cualquier modificación imprevista. La herramienta debe mostrar el registro de las modificaciones de configuración a lo largo del tiempo y anotar quién realizó cada ajuste. Las herramientas de verificación de integridad deben detectar el uso de otros flujos de datos que podrían usarse para ocultar ataques sospechosos, la incorporación de nuevos archivos a ubicaciones esenciales del sistema y modificaciones sospechosas del sistema, como alteraciones de propietarios y derechos de archivos o directorios.
- Utilizar la vigilancia de configuración automatizada , que puede examinar todos los componentes de configuración protegidos que han sido probados de forma remota, y emitir notificaciones cuando se produzcan modificaciones ilegales. Se recomiendan herramientas integradas en SCAP.
- Implementar tecnologías de administración de la configuración que impongan automáticamente los ajustes de configuración de los sistemas de manera regular o, idealmente, en tiempo real. Con esa ayuda, debería poder cambiar los ajustes de configuración de inmediato o de forma regular, manual o por ocurrencia.
Debido a la complejidad del negocio y la amplitud de las capacidades que se ofrecen, es probable que deba admitir una serie de tomas de seguridad estándar. Para comprender y administrar mejor las características de seguridad de las variantes de cada imagen, se debe usar la menor cantidad posible; sin embargo, la organización está obligada a manejar varios puntos de referencia.
¿QUÉ HERRAMIENTAS uso para implementar CIS BENCHMARKS?
Escáneres y herramientas de evaluación
Los escáneres y las herramientas de evaluación indicarán su postura de cumplimiento de los CIS Benchmark . Cuando se utilizan , indican la brecha entre su póliza actual y estas pautas de CIS, pero no brindan ninguna solución para superar esta brecha. Tendrá que probar y hacer cumplir los cambios para mejorar su postura de cumplimiento. CIS ofrece su propio escáner desarrollado: el CIS CAT.
Herramientas Hardening automatizado
Las herramientas Hardening automatizado proporcionan una solución integral para el hardening. Estas herramientas escanean a través de la implementación mientras también monitorean y mantienen la postura de cumplimiento. Durante el hardening, el uso más lento e ineficiente de los recursos es monitorear las posibles desviaciones. La mayor ventaja de las herramientas de Hardening automatizado es que eliminan la necesidad de verificar cuál será el impacto de cada cambio de configuración en su red.
Las herramientas Hardening automatizado ofrecen la opción de escanear para descubrir la brecha entre su política actual y la política deseada.
También permiten conocer la red e indican cuál será el impacto de cada cambio de configuración.
A su vez implementan la nueva política directamente en producción sin probar ni dañar nada.
Supervisan, controlan y evitan cambios de configuración, todo desde un único punto de control.
La CHS de CalCom es una herramienta de Hardening automatizado de servidores. La CHS aprende el entorno de producción y analiza el impacto de cada cambio de configuración, eliminando así la necesidad de pruebas de laboratorio y permitiendo que los CIS Benchmarks se implementen directamente en el entorno sin el riesgo de interrupciones en la producción. Obtenga más información sobre los beneficios de la CHS .
Herramientas de gestión de la configuración
Las herramientas de gestión de la configuración no son necesariamente específicas para fines de seguridad, pero permiten la implementación de cambios de configuración en una infraestructura. Estas herramientas son relevantes solo después de escanear y encontrar la brecha entre la política y los CIS Benchmarks, para luego probar el impacto previsto de cada cambio de configuración.