Los controles del CIS v8 han sido revisados y publicados por el Center for Internet Security (CIS). Estos controles son una colección de las mejores prácticas reconocidas por la industria para empresas que se enfrentan a riesgos de seguridad de datos. Estas medidas se crearon para facilitar las cosas y mantener la atención de los equipos de seguridad y operaciones de TI en las tareas cruciales. En la v8, el CIS cambia un poco la perspectiva sobre la seguridad básica y el hardening del sistema.
En este artículo, veremos cómo implementar las recomendaciones del CIS para la seguridad básica y la modificación de versiones anteriores.
- Establezca y mantenga un proceso de configuración seguro.
- Establezca y mantenga un proceso de configuración seguro para la infraestructura de red.
- Configure el bloqueo de sesión automático en activos empresariales.
- Implemente y administre un firewall en Servidores.
- Implemente y administre un firewall en los dispositivos de los usuarios finales.
- Gestione de forma segura los activos y el software de la empresa.
- Administre cuentas predeterminadas en activos y software empresariales.
- Desinstale o deshabilite los servicios innecesarios en los activos y el software de la empresa.
- Configure los servidores DNS de confianza en activos empresariales.
- Haga cumplir el bloqueo automático de dispositivos en dispositivos portátiles de usuario final.
- Haga cumplir la capacidad de borrado remoto en dispositivos portátiles de usuario final
- Habilite espacios de trabajo empresariales separados en dispositivos móviles de usuario final.
- Habilite herramientas de hardening automatizado como el elemento más importante de su proyecto de hardening.
Control del CIS #4: ASEGURAR LA CONFIGURACIÓN DE LOS ACTIVOS Y EL SOFTWARE DE LA EMPRESA
Este Control busca proteger la configuración de cualquier sistema ajustable, hardware o componente de software, esto incluye dispositivos de usuario final, incluidos portátiles y móviles; dispositivos de red; dispositivos no informáticos/IoT y servidores. También abarca software (sistemas operativos y aplicaciones). Para seleccionar la mejor opción, los empleados multidisciplinarios deben revisar varias opciones disponibles, y una vez que se implementan los ajustes de configuración, estos se deben mantener ya que el sistema es dinámico y nuevas amenazas se descubren constantemente.
Se puede lograr una infraestructura fortalecida mediante el uso de un número limitado de alternativas de herramientas de hardening. El hardening del sistema debe automatizarse . El uso de herramientas no automatizadas probablemente dará como resultado uno de estos dos escenarios: 1. Las máquinas críticas no están configuradas de la manera más segura, lo que aumenta la superficie de ataque de la organización. 2. El tiempo de inactividad de las máquinas se vuelve crítico debido al uso de herramientas manuales para tareas tan complejas.
De acuerdo con los controles del CIS, se requieren las siguientes 12 acciones para lograr un baseline seguro:
- <ID="SECURE">ESTABLECE Y MANTIENE UN PROCESO DE CONFIGURACIÓN SEGURO
Todos los recursos comerciales (hardware de usuario final, dispositivos que no sean computadoras/Internet de las cosas y servidores) y software están cubiertos por este baseline.
La seguridad de la configuración pasa por tres niveles :
- Creación de una política de seguridad de configuración: cada tipo de componente del sistema, función, versión y entorno debe tener sus propias políticas. Las políticas deben actualizarse anualmente, o si hay un cambio significativo dentro de la organización. Las políticas deben basarse en las mejores prácticas de seguridad de configuración, como los CIS Benchmarks.
- Prueba y aplicación de la política – Una vez autorizada la política, se debe aplicar en la forma en que fue aprobada. Cualquier desviación debe ser tratada como una excepción.
- Monitoreo de la postura de cumplimiento: Esforzarse en proteger adecuadamente los servidores es insuficiente.
Aspecto del Control CIS V7.1:
5.1 Establecer configuraciones seguras.
5.4 Implementar una herramienta de gestión de la configuración del sistema.
14.3 Deshabilitar la comunicación entre las estaciones de trabajo.
2) <ID="NETWORK>ESTABLECE Y MANTIENE UN PROCESO DE CONFIGURACIÓN SEGURO PARA LA INFRAESTRUCTURA DE RED
Establece el mismo proceso mencionado anteriormente en los dispositivos de red .
Aspecto de CIS Control V7.1:
11.1 Mantener configuraciones de seguridad estándar para dispositivos de red,
11.3 Usar herramientas automatizadas para verificar configuraciones de dispositivos estándar y detectar cambios
3) <ID="SESSION">CONFIGURA EL BLOQUEO AUTOMÁTICO DE SESIÓN EN LOS ACTIVOS DE LA EMPRESA
En la mayoría de los sistemas operativos (OS), los valores posibles del Bloqueo automático de sesión podrían estar Deshabilitado o No definido.
En el sistema operativo de propósito general, se recomienda configurar el tiempo de bloqueo en no más de 15 minutos, pero en dispositivos portátiles de usuario final, no más de 2 minutos.
Aspecto del Controla CIS V7.1:
16.11 Bloquear sesiones de la estación de trabajo después de la inactividad.
4) <ID="FIREWALL">IMPLEMENTA Y GESTIONA UN FIREWALL EN LOS SERVIDORES
Los pilares de ciberseguridad de una empresa incluyen firewalls o cortafuegos . Pero tenga cuidado, porque esta herramienta tiene sus propias fallas de seguridad.
- Errores de configuración: si sus firewalls o cortafuegos están mal configurados, un atacante no tendrá problemas para usarlos y violentar la red. Es normal notar errores como la habilitación del enrutamiento dinámico.
- Parches faltantes: estos suelen ser el resultado de una mala administración del firewall.
- Amenaza interna: sin un firewall interno, la amenaza interna o un firewall no será beneficioso para detectar el origen dentro de su empresa.
Aspecto de los controles CIS V7.1:
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobado.
9.4 Aplicar firewalls o cortafuegos basados en host o filtrado de puertos.
12.4 Denegar comunicación a través de puertos no autorizados.
11.2 Reglas de configuración del tráfico de documentos.
5) <ID="END">IMPLEMENTA Y GESTIONA UN FIREWALL EN DISPOSITIVOS DE USUARIOS FINALES
La línea inicial de protección contra los ataques de infiltración son los firewalls de los dispositivos de los usuarios finales. La función de un firewall personal es: 1. Filtrar el tráfico entrante y bloquear el código sospechoso. 2. Verificar los mensajes enviados en busca de amenazas para el destinatario. 3. Evitar que los piratas informáticos utilicen puertos lógicos .
Aspecto de los controles CIS V7.1:
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados.
9.4 Aplique firewalls o cortafuegos basados en host o filtrado de puertos.
12.4 Debe denegar la comunicación en aquellos puertos no autorizados.
11.2 Reglas de configuración del tráfico de documentos.
6) <ID="ASSETS">GESTIONA DE FORMA SEGURA LOS ACTIVOS Y EL SOFTWARE DE LA EMPRESA
Se recomienda poner en práctica:
- Establecer una política de hardening que sea particular para el tipo y la versión de la infraestructura. En otras palabras, las políticas de hardening para Windows Server 2016 y 2019 deberían diferir entre sí .
- Implemente solo protocolos de red seguros. Trate de evitar el uso de HTTP, por ejemplo, siempre que pueda.
- Evite utilizar protocolos inseguros siempre que sea posible.
Aspecto de los controles CIS V7.1 :
Esta sección es nueva. No se publicaron recomendaciones similares en los Controles CIS V7.
7) <ID="DEFAULT">GESTIONA LAS CUENTAS PREDETERMINADAS EN ACTIVOS Y SOFTWARE EMPRESARIALES
Las cuentas estándar obtienen contraseñas únicas establecidas por rutinas integradas. En consecuencia, todos los dispositivos de configuración utilizan la misma contraseña. Por ejemplo, sus activos tienen esta opción para que pueda usarla como una configuración o una cuenta de recuperación de crisis, debe apagarse cuando no esté en uso. La cuenta se volverá a habilitar de inmediato en las herramientas de solución de problemas si necesita usarla para la recuperación o para iniciar en modo seguro.
Aspecto de los Controles CIS V7.1:
4.2 Cambiar contraseñas predeterminadas
8) <ID="UNNECESSARY">DESINSTALA O DESACTIVA SERVICIOS INNECESARIOS EN ACTIVOS Y SOFTWARE EMPRESARIALES
No todos los componentes del sistema necesitan de todas las funciones. Si bien lo mejor para la empresa es permitir tantas funciones como sea posible, por lo general la seguridad no va de la mano con esto.
El mayor problema al implementar este consejo es la producción de un informe de análisis de efectos para determinar qué servicio se requiere y dónde . Este escenario tiene dos opciones:
- Utilizar soluciones de automatización que puedan comprender su red y notificarle automáticamente los efectos de cualquier cambio.
- Comenzar a evaluar manualmente cómo afectará cada modificación a su producción. Deberá comenzar a probar cada actualización mientras simula varios componentes y situaciones del sistema. Se requerirán horas extendidas y es probable que haya errores humanos que causen interrupciones.
Puede encontrar aquí todas las herramientas disponibles para esta tarea, tanto de pago como gratuitas,.
Aspecto de los Controles CIS V7.1:
Algunas de las recomendaciones de esta sección son nuevas. El resto aparece aquí:
9.2 Asegúrese de que solo se estén ejecutando los puertos, protocolos y servicios aprobados.
15.6 Deshabilite las capacidades de red inalámbrica punto a punto en los clientes inalámbricos.
15.9 Deshabilite el acceso periférico inalámbrico de dispositivos.
15.4 Deshabilite el acceso inalámbrico en dispositivos si no es necesario.
9) <ID="DNS">CONFIGURA SERVIDORES DNS DE CONFIANZA EN LOS ACTIVOS DE LA EMPRESA
La interfaz de una organización con Internet y las redes IP depende principalmente del Servidor de Nombres de Dominio o Domain Name Server (DNS). Las recomendaciones para la defensa del DNS incluyen:
- Manténgase actualizado con los últimos parches y compilaciones existentes.
- Separe entre servidores de DNS internos y externos.
- Deshabilite la recursividad (recursion).
- Intente ejecutar servidores DNS que solo estén dedicados a un solo propósito.
- Diversifique las ubicaciones de sus servidores DNS para ayudar a prevenir ataques DoS .
- Restrinja la transferencia de zona.
- Autentique la transferencia de zona.
- Restrinja las actualizaciones dinámicas.
- Oculte la versión BIND del servidor.
- Restrinja el acceso externo a los servidores DNS mediante consultas para clientes con direcciones IP públicas.
Aspecto de los Controles CIS Controls V7.1:
Esta sección es nueva. No se publicaron recomendaciones similares en los Controles CIS V7.
10) <ID="PORTABLE">HACE CUMPLIR EL BLOQUEO AUTOMÁTICO DE DISPOSITIVOS EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL
Diferentes dispositivos tienen diferentes números recomendados de intentos fallidos. La limitación de la cantidad de intentos fallidos para computadoras portátiles no debe ir más allá de 20. Para tabletas y teléfonos inteligentes, la cantidad máxima de intentos fallidos es de 10.
Aspecto de Controles CIS V7.1:
Esta sección es nueva. No se publicaron recomendaciones similares en los Controles CIS V7.
11) <ID="WIPE">APLICA LA CAPACIDAD DE LIMPIEZA REMOTA EN DISPOSITIVOS PORTÁTILES DE USUARIO FINAL
Esto es crucial en casos de equipos perdidos o robados. También es una práctica inteligente cuando se maneja el dispositivo de un ex empleado al que se desea impedir que acceda a los datos de la empresa.
Apariencia de los Controles CIS V7.1:
Esta sección es nueva. No se publicaron recomendaciones similares en CIS Controls V7.
12) <ID="MOBILE">SEPARA ESPACIOS EMPRESARIALES DE TRABAJO EN DISPOSITIVOS MÓVILES DE USUARIO FINAL
Trate de mantener separados el uso laboral y el personal para los espacios de trabajo móviles de los empleados. Habrá menos posibilidades de que los atacantes utilicen las actividades de los empleados para obtener acceso a su red .
Apariencia de los Controles CIS V7.1:
Esta sección es nueva. No se publicaron recomendaciones similares en CIS Controls V7.
BONUS) <ID=” AUTOMATION">HERRAMIENTAS TRANSFORMADORAS DE HARDENING AUTOMATIZADO PARA SU PROYECTO
Las herramientas para el Hardening automatizado proporcionan soluciones de hardening completas, porque simplifican este complicado procedimiento en operaciones de tan solo el “clic de un botón”. No necesitará escribir un solo script ni poseer ningún conocimiento especializado. Están equipados con habilidades de análisis de impacto y todas las características de las herramientas de configuración de seguridad y los escáneres de cumplimiento.
CalCom Hardening Automation Suite (CHS) es una plataforma de Hardening automatizado diseñada para reducir los costos operativos y aumentar la postura de seguridad y cumplimiento de la infraestructura. CHS elimina las interrupciones y reduce los costos de hardening al automatizar cada etapa del proceso brindando:
- Análisis de impacto automático: indica el impacto de un cambio de hardening de seguridad en los servicios de producción.
- Implementación automática de políticas: después de establecer una política de acuerdo con el informe de análisis de impacto, CHS implementará cada política en la máquina correcta desde un único punto de control.
- Cumplimiento continuo : CHS monitoreará su postura de cumplimiento, alertará y remediará las desviaciones de configuración. CHS se asegurará de que su nivel de cumplimiento se mantenga alto en la infraestructura dinámica en constante cambio, por lo que no necesitará realizar el hardening desde cero pasado un tiempo de su proyecto de hardening inicial.