La automatización se menciona a menudo en el contexto del hardening. Es razonable ya que la tarea de hardening es compleja y enredada, especialmente cuando se realiza en infraestructuras grandes y complejas.
De hecho, según nuestra investigación, la mayoría de los profesionales de TI informan que invierten más de 5 horas, en promedio, para fortalecer un servidor y aun así sufren interrupciones más que ocasionalmente. Intente convertir esta información en miles de máquinas responsables de operaciones críticas, y comprenderá el deseo de automatizar tanto como sea posible esta tarea, disminuyendo el tiempo y los recursos invertidos y apuntando a minimizar la posibilidad de daños en el entorno de producción.
Pero no todas las herramientas que pretenden automatizar el hardening proporcionarán las mismas capacidades; solo unas pocas pueden considerarse verdaderas herramientas de automatización de hardening. Es importante entender dónde la automatización puede resultar útil en el proceso de hardening y los diferentes tipos de automatización disponibles en el proceso de hardening.
Antes de sumergirnos en la automatización, comenzaremos por definir las diferentes etapas del proyecto de hardening. Después de crear políticas detalladas, a nivel granular, teniendo en cuenta los diferentes tipos y roles de máquinas y entornos, puede iniciar el proceso de hardening. Nos gusta dividir el proyecto de hardening en tres etapas: prueba, ejecución y monitoreo:
- Pruebas: Aplicar su política en sus sistemas tal como está causará daños importantes. Si bien las mejores prácticas de hardening recomiendan deshabilitar y bloquear cualquier vector de ataque potencial, algunas reglas simplemente no se pueden implementar ya que estas configuraciones están en uso. Para entender qué reglas pueden y no pueden aplicarse, debe comprender todas las dependencias de su red. La práctica de la etapa de prueba consiste en crear un entorno de prueba que simule su red con la mayor precisión posible y pruebe el impacto de la aplicación de cada regla en ella. Esta es, por supuesto, la etapa más difícil, más larga y que requiere más recursos del proyecto de hardening. Además, es el más importante, ya que, si no se hace correctamente, se producirán cortes en el entorno de producción.
Después de terminar de probar el impacto de cada cambio de configuración, la política debe discutirse nuevamente para decidir el curso de acción de cada regla que impacta el entorno.
- Aplicación y Cumplimiento: después de probar y ajustar la política a los resultados de la prueba, deberá aplicar y hacer cumplir todas las políticas en todos los componentes del sistema. Esta etapa también es muy propensa a errores humanos si no está utilizando herramientas que lo asistan. Asegurar se hayan aplicado las políticas correctas en todos los componentes y que todas las reglas de la política se hayan implementado correctamente tiene una alta complejidad de administración.
- Monitoreo: si no desea volver al punto de partida en su postura de cumplimiento, el monitoreo es esencial. La red de la organización es dinámica y cambia constantemente. Se instalan nuevas aplicaciones, las máquinas antiguas se dan de baja y usted debe tener la capacidad de reaccionar a estos cambios para no perder su postura de cumplimiento. Además, los cambios en la configuración pueden ocurrir intencionalmente o no, y debe tener la capacidad de monitorearlos y corregirlos.
Si desea profundizar en el proceso de hardening, sus desafíos comunes y algunas de las mejores prácticas para un proyecto de hardening exitoso, revise este whitepaper: “Cómo planificar y gestionar un proyecto de hardening“.
Después de comprender las diferentes etapas del proceso de hardening, veremos los diferentes tipos de herramientas, que afirman realizar la automatización del hardening:
-
Herramientas de gestión de la configuración:
Estas herramientas se utilizan tradicionalmente para el hardening, aunque no se desarrollaron específicamente para ese propósito sino para el control general de la configuración de los sistemas. Estas herramientas automatizan solo una de las tres etapas de hardening: la etapa de Aplicación y Cumplimiento. Requieren ciertas habilidades y conocimientos para su uso, ya que generalmente requieren la escritura de "scripts" y reglas para operar. El nivel de automatización depende de la experiencia del usuario, por lo que requiere tener conocimiento y experiencia interna en hardening. Incluso las herramientas que se desarrollaron con una mayor afinidad con el hardening están solo parcialmente automatizadas, ya que cubren solo la etapa de aplicación y cumplimiento y no es cuestión de hacer clic en un botón.
Atribuir la capacidad de automatizar el proceso de hardening a herramientas de gestión de la configuración es una definición inadecuada, ya que solo proporcionan una solución parcial a una de las etapas.
-
Escáneres de cumplimiento:
Los proveedores de análisis de cumplimiento también suelen afirmar que automatizan el proceso de refuerzo. Esto también es solo parcialmente cierto, ya que ellos solo abordan una de las tres etapas. Los escáneres de cumplimiento ayudan a automatizar la etapa de monitoreo (cada herramienta de acuerdo con sus características y capacidades únicas). Estas herramientas lo ayudarán a comprender sus brechas antes de comenzar a robustecer y mantener su postura de cumplimiento al mismo nivel después del hardening. Al igual que las herramientas de gestión de la configuración, también es inadecuado referirse a los analizadores de cumplimiento como herramientas de automatización de hardening.
A estas dos familias de herramientas generalmente les gusta atribuirse cualidades de automatización de hardening, aunque no es exacto. Ambos tipos de herramientas no brindan ninguna solución a la etapa de prueba, que es, por mucho, la etapa más compleja y que requiere más recursos. Entonces, ¿qué son las verdaderas herramientas de automatización de hardening? ¿Hay alguna en el mercado? Si.
HERRAMIENTAS DE AUTOMATIZACIÓN DE HARDENING:
Las verdaderas herramientas de automatización de hardening automatizan completamente las tres etapas del proyecto de hardening, transformando el proyecto de hardening en cuestión de unos pocos clics sin necesidad de conocimientos especializados internos. Las verdaderas herramientas de automatización de hardening realmente automatizan el proceso de hardening. ¿Cómo?
Pruebas:
Las herramientas de automatización de hardening le ahorran la necesidad de probar y generar automáticamente un informe de análisis de impacto que indica qué regla de política se aplica y cuál no. Las reglas que no se aplican se dividen en reglas que se pueden hacer cumplir y reglas que darán lugar a interrupciones de la operación cuando se apliquen (y su razón específica). Se proporciona toda la información necesaria sin tener que hacer nada. Las herramientas de automatización de hardening generan este análisis de impacto identificando sus dependencias en el entorno de producción. Esto significa que la precisión del informe es lo más alta posible, minimizando el riesgo de interrupciones causado por el hardening. Esta capacidad también permite a las organizaciones minimizar el tiempo invertido en endurecer una máquina a solo 5 minutos (en lugar de cinco horas).
Aplicación y Cumplimiento:
Las verdaderas herramientas de automatización de hardening automatizarán completamente también la etapa de aplicación de las políticas. Si bien el proceso de administración de la configuración es complejo de manejar, administrar y monitorear, las herramientas de automatización de hardening le permiten controlar toda su infraestructura desde un solo punto de control. Esto significa que desde un solo punto podrá enviar cualquier política a cualquier servidor en cualquier entorno, y también revertirla en caso de que lo necesite. No hay necesidad de scripts o conocimientos internos sobre cómo automatizar. Con solo unos pocos clics, todas sus políticas se pueden implementar en la máquina correcta.
Monitoreo:
Además de las capacidades anteriores, las herramientas de automatización de hardening también monitorearán y se asegurarán de que su postura de cumplimiento permanezca tan alta como estaba un minuto después de que terminó de endurecer. Esto se hace alertando y remediando cualquier cambio de configuración realizado, sea por actividad maliciosa, error humano o cambios aceptados en la infraestructura. Esto es extremadamente importante ya que el hardening no es una tarea de una sola vez, sino un proceso continuo.
La automatización del hardening se debe referir solo a herramientas que automatizan todo el proceso de hardening. Cualquier otra cosa proporcionará solo una solución parcial y confundirá al usuario. Para continuar con su lectura y saber qué proveedor ofrece herramientas de automatización de refuerzo, puede continuar leyendo aquí: “Herramientas de Hardening 101“