09 septiembre 2010

Controles críticos de seguridad para evitar ataques en redes corporativas

El instituto SANS lleva desde hace unos años manteniendo unas buenas prácticas que incluyen un total de 20 controles de seguridad a tener en cuenta para protegernos (o sentirnos más seguros) de posibles ataques tanto externos como internos. En ellos, se proponen, además de acciones posibles, herramientas que podrían facilitarnos las tareas de automatización para llevar a cabo y cubrir correctamente casi 15 de los 20 puntos. 

Vamos a revisar uno por uno los puntos para tener una visión muy general de las directrices que conforman esta guía.


Para obtener más información en profundidad sobre cada uno de ellos, lo mejor es echarle un vistazo a todo el proyecto y a su extensa literatura:

#1: Inventario de dispositivos autorizados y no autorizados
Conocer e inventariar los dispositivos que forman parte o deben pertenecer a nuestra red, y bloquear el acceso al resto. 

#2: Inventario de software autorizado y no autorizado
Al igual que con los dispositivos, realizar la misma tarea con el software corporativo. Esto facilitará futuras tareas ya sean de mantenimiento, actualización, etc. Así mismo, utilizar herramientas que hagan un seguimiento del software instalado, consolas de gestión y centralización...Con ello podremos evitar contar en nuestra infraestructura con el típico PC del rincón con acceso a internet y con una jungla que ni la del amazonas con tanto espécimen.

#3: Configuraciones seguras de hardware y software para portátiles, equipos y servidores.
Bastionado de los equipos que utilizan los usuarios, antes de su inclusión en la red así como durante su actividad. Aunque parezca simple la acción de enchufar un cable de red a un portátil, os recuerdo que hace unos años existía un bicho que en 10 segundos nos dejaba los equipos inutilizados nada más configurar la conexión a Internet, reiniciándonos el sistema una y otra vez.

#4: Configuraciones seguras para dispositivos de red (Firewalls, Routers y Switches)
Hace poco os hablábamos por aquí sobre herramientas capaces de auditar la seguridad de estos dispositivos de red. En la mayoría de los casos son dispositivos que no sufren grandes cambios en sus configuraciones, por lo que no está de más revisarlos, ya que en muchas ocasiones todo el peso de la seguridad se delega en ellos.

#5: Defensa perimetral
Establecer una buena seguridad "perimetral" mediante proxys, redes DMZ, sistemas de prevención de intrusiones (IPS - Intrusion Prevention System), firewalls... Para ataques que provengan del exterior, esta es la primera puerta que se encontrarán nuestros amigos los "malos", por lo que conviene tenerla con unas cuantas cerraduras.

#6: Mantenimiento, monitorización y análisis de registros de auditoría
Aunque en muchos casos se opte por desactivar los registros de eventos en los dispositivos por cuestiones de rendimiento, y evitar tener trabajo de revisión de logs todas las mañanas a primera hora que nos dificulten el disfrutar de nuestro primer café, conviene revisar las configuraciones para registrar los eventos adecuados, ya que en un futuro lo agradeceremos cuando se nos pidan explicaciones frente a cualquier tipo de incidentes.

#7: Seguridad en aplicaciones software
Todos los desarrollos, ya sean propios de nuestra compañía como desarrollos de terceros, deberían ser revisados antes de ponerlos a funcionar dentro de nuestra infraestructura. Aún con herramientas automáticas (que facilitarían a su vez revisiones periódicas) o de forma manual, nunca está de más conocer a fondo los posibles peligros o riesgos. No importa de dónde venga el software que tenemos que implantar, al fin y al cabo...programan humanos.

#8: Uso controlado de privilegios de administración
Con unos buenos mecanismos de control de acceso para dispositivos, ya sean de red, equipos de usuario o servidores, un usuario con privilegios máximos se autenticará en los sistemas en ocasiones contadas con los dedos de una mano. Por ello, se recomienda vigilar, monitorizar y rastrear accesos mediante usuarios que cuenten con privilegios máximos. Pongamos un ejemplo rápido: Si en una compañía, el único método de acceso a equipos de usuarios es mediante una cuenta del dominio, la cuenta de Administrador local se encuentra restringida, ¿no resultaría extraño que todas las mañanas, a las 9, se detectara un proceso de logon en un equipo por el usuario Administrador?.

#9: Acceso controlado a recursos basado en su grado de confidencialidad
Siempre es necesario realizar un ejercicio de análisis de la información a la que se pueda acceder, y por ello, es conveniente realizar segregaciones de datos en base a su nivel de confidencialidad. En ejemplos de recursos compartidos, por ejemplo, los privilegios deberían definirse según directorios y quién pueda acceder a ellos.

#10: Análisis continuo de vulnerabilidades y sus correspondientes mitigaciones
Se deben realizar análisis periódicos de vulnerabilidades de nuestros activos, no únicamente cuando estos se vayan a conectar en nuestra red. En la actualidad, gran parte de las herramientas utilizadas para la auditoría de vulnerabilidades en sistemas suelen contar con gestión de procesos periódicos, capaces de generar informes detallados con la "foto" entre análisis y análisis. Quizás una revisión diaria sea absurda, pero en ciertas ocasiones, y según el tipo de dispositivos en objeto de revisión, un año resulte demasiado. Busquemos el término medio que no moleste y sea adecuado.

#11: Control y monitorización de cuentas
Al hilo de la recomendación #8, también sería conveniente contar con registros un poco más detallados sobre los accesos. No sólo cuando y quién accede, si no posibles intentos fallidos continuos, si la autenticación fallida se debe al usuario o a la contraseña suministrada, etc.

#12: Defensa frente a malware
Punto clave, de nada sirve protegernos de lo que nos pueda venir de fuera, si luego permitimos que nuestra red interna sea un parque de atracciones para los bichos que puedan venir en pendrives y demás. La protección y monitorización de estas amenazas también debe constituirse estableciéndose en diferentes puntos de nuestra red, apoyándonos no sólo en las soluciones típicas de antivirus, si no en sistemas de detección y prevención de intrusiones.

#13: Control y limitación de puertos de red, protocolos y servicios
Cuantas veces habremos oído las típicas frases de "hombre, si desde fuera no pueden acceder, ¿para que voy a restringir puertos?". Mal. Es muy habitual realizar revisiones internas de infraestructuras y encontrarse sistemas en los que dudas si realmente son honeypots (mínimo 1000 puertos abiertos, desde el finger, echo, daytime....) o sistemas que ofrezcan un servicio legítimo. No está de más restringir siempre, a nivel del propio sistema, puertos y servicios que no sean necesarios para la función que desempeña.

#14: Control de dispositivos wireless
Podemos contar con dispositivos y access points que ofrezcan los mecanismos de cifrado más potentes para nuestras redes inalámbricas, portales cautivos, con restricciones a nivel físico, etc etc etc...y luego de repente descubres que X departamento le ha dado por enchufar un router wifi típico para su conexión propia de ADSL. Y si, también es posible mediante ellos acceder a la red interna. Es conveniente en ocasiones sacar a pasear cualquier Stumbler para comprobar, al igual que necesitábamos inventariar todos los dispositivos de red, si tenemos en cuenta todos y cada uno de los dispositivos que ofrezcan conectividad inalámbrica y que formen parte, en muchos casos sin conocimiento alguno, de nuestra infraestructura.

#15: Prevención de fugas de información
La fuga de información está suponiendo, cada vez más, una grave amenaza para multitud de empresas. Ya lejos de volcados de bases de datos por aplicaciones vulnerables online, o incluso de robo de portátiles que tanto estuvieron de moda, en la mayoría de los casos el problema viene desde dentro. Muchas veces lo hemos comentado por aquí, cuando se dan situaciones en los que los empleados tienen su emule instalado y compartiendo carpetas que no deben, cuando tienen acceso, por no prevenir lo comentado en el punto #9, a demasiada información, cuando por correo electrónico pasan ciertos documentos a otras compañías....para ello ya existen soluciones software denominadas DLP (Data Loss Prevention) que son capaces de definir, monitorizar y proteger aquella información sensible. 

#16: Ingeniería de red segura
El buen diseño y arquitectura de una red es fundamental, definiendo una correcta y adecuada segmentación basada tanto en la organización como en la seguridad.

#17: Tests de intrusión y pruebas por parte de equipos "Red Team"
Además de los típicos análisis de vulnerabilidades, es conveniente definir y simular una serie de patrones de posibles ataques sobre nuestra infraestructura contra los que nos podríamos enfrentar, y conocer si estamos preparados antes ellos, para su monitorización, respuesta y actuación. Estas pruebas suelen contratarse a personal externo de la organización, pudiendo así tener una perspectiva diferente y alejada de "nuestra realidad".

#18: Capacidad de respuesta frente a incidentes
Lejos de pruebas, en este punto se propone la elaboración de procedimientos para la respuesta frente a incidentes que puedan ocasionarse. Al igual que con los simulacros de incendios, también es conveniente revisar y poner en práctica estos procedimientos para definir si realmente son correctos y suficientes, provocando acciones como las comentadas en el anterior punto #17

#19: Capacidad de recuperación de datos
Que decir de las copias de seguridad y su vital importancia, en varias ocasiones os hemos hablado de ellas en este blog. Debe contarse con un sistema robusto de copias de seguridad, sobretodo para aquellos datos de mayor importancia.

#20: Estudio de técnicas de seguridad y formación necesaria para cubrir huecos
Formación, formación y formación. Pero no sólo a nuestro personal más técnico, todos y cada uno (también sabiendo diferenciar perfiles y el tipo de formación a ofrecer) de nuestros empleados deberían contar con una formación básica en materia de seguridad. Quizás a algunos departamentos sólo debamos recordarles los consejos básicos sobre navegación segura por internet, elección de contraseñas robustas, identificación de posibles phishings en e-mails...y a otros como validar correctamente los parámetros de sus aplicaciones en desarrollo, como cifrar las conexiones, etc etc.

Para conocer muchísimo más a fondo cada uno de los puntos descritos anteriormente, podréis pasaros por la versión HTML o versión interactiva de estos 20 controles de seguridad a modo de buenas prácticas para evitar posibles ataques en nuestras redes corporativas. También se han publicado estos puntos en formato poster, incluyendo otros diferentes TOP relacionados con la seguridad, vectores de ataque típicos, posibles atacantes...

3 comments :

nico dijo...

Genial el post, sólo una cosilla, en el punto #13 el enlace al que apunta DLP está dando un 404.

José A. Guasch dijo...

Gracias @nico por el aviso, corregido apuntando correctamente a la definición de DLP por la wikipedia:

http://en.wikipedia.org/wiki/Data_loss_prevention_software

José A. Guasch dijo...

Gracias @nico por el aviso, corregido apuntando correctamente a la definición de DLP por la wikipedia:

http://en.wikipedia.org/wiki/Data_loss_prevention_software