30 junio 2008

Unificando los criterios de seguridad con CIS

¿Que significa tener un sistema seguro? Esta pregunta a priori parece fácil de responder: Contraseñas seguras, deshabilitar servicios, configurar bien los dispositivos de perímetro y un largo etcétera que, según le vamos dando vuelta tras vuelta, empieza a dejar de parecer una tarea fácil. Y si a ese ejercicio añadimos el hecho de que en casi ningún sitio existe la homogeneidad en los sistemas gestionados; Windows, Linux, Solaris, casi con total seguridad también habrá un buen numero de dispositivos de red... nos damos cuenta que, por muchos conocimientos que tengamos, la complejidad es mayor de lo inicialmente previsto. Ante este panorama, definir criterios de seguro / inseguro resulta una ardua y tediosa tarea.

La respuesta ante este reto es CIS

CIS es una organización internacional (nuevamente se echa de menos presencia Española) compuesta por organismos militares, gubernamentales y en general, por múltiples organismos dedicados a la seguridad informática.

Lo que ofrece CIS, básicamente, es un conjunto de herramientas (libres) que permiten auditar la seguridad en un sistema. Una vez ejecutados los tests de seguridad, CIS puntúa la seguridad del sistema auditado del 1 al 10, y explica, dando pautas para solventarlos, los errores que ha detectado.

Las pruebas que CIS realiza van desde políticas de contraseñas, servicios inseguros o configuraciones erróneas, además, lejos de centrarse en uno o dos sistemas, soportan:
  • Windows (desde NT hasta 2003 pasando por XP)
  • Mac OS X (Leopard y Tiger)
  • FreeBSD
  • Solaris(Desde la version 2.51 hasta Solaris 10)
  • Linux (RedHat, Novell, Debian ...)
A nivel dispositivos de red, soportan casi toda la gama de CISCO (IOS, Pix y cia), CheckPoint y multiples dispositivos WIFI.

Incluso desde hace un tiempo, tienen herramientas para auditar aplicaciones tales como, Exchange, BIND, Apache o ISS.

En definitiva, las herramientas CIS a nivel corporativo nos permiten definir unos criterios de seguridad aplicables a practicamente todos nuestros dispositivos, pudiendo definir umbrales "aceptables" para permitir o denegar nuevos servicios, sistemas o aplicaciones.

A nivel particular, las herramientas CIS para windows / Linux son una excelente guia para saber exactamente el nivel de seguridad de nuestros dispositivos y tomar medidas.

Desde mi punto de vista, basar los criterios de seguridad en la métrica CIS, supone ahorrarse muchisimos quebraderos de cabeza y en el caso de que la política interna no se ajuste totalmente a los criterios CIS, las herramientas pueden ser fácilmente adaptadas en esos puntos.